EncuentrosFormación

Una política de seguridad eficiente con costes contenidos debe incluir protección en la nube

Los riesgos y amenazas de seguridad gozan de un crecimiento exponencial cada día en número y objetivo económico. La forma de combatir dichos ataques exige una conectividad en tiempo real con el laboratorio de seguridad, siendo primordial la optimización de costes y consumo de recursos. En esta Tertulia que COMPUTING ha organizado en colaboración con Panda Security se ha hablado de estos aspectos así como de las ventajas que aporta el Cloud Protection, que ofrece seguridad continua minimizando los gastos de mantenimiento.

  Nuevas variantes de malware, aplicaciones falsas y engañosas, ataques dirigidos basados en web, fuga de datos, spam, phishing y estafas vía correo electrónico, espionaje industrial o amenazas relacionadas con las redes sociales han sido las protagonistas de 2009, y continuarán constituyendo un peligro en este año 2010. La evolución y sofisticación de estos ataques están llevando a las empresas de seguridad a buscar nuevas fórmulas y alternativas, que además deben tener en cuenta un factor externo a su actividad, pero también relacionado: la crisis económica que está mermando los presupuestos destinados a las TI, y en consecuencia a la seguridad.
Bajo este marco ha tenido lugar la Tertulia que COMPUTING ha organizado en colaboración con Panda Security, que ha reunido, principalmente a organismos públicos, y donde han quedado manifiestas las dudas, necesidades y satisfacciones en materia de protección de la información.
Iniciaba la conversación Emilio Castellote, director de Marketing de Producto de Panda Security, destacando la precariedad presupuestaria a la que se estaban enfrentando actualmente los departamentos de TI, escasa para eliminar la problemática del incremento de los ataques de seguridad. “Además de la crisis, que está provocando que los atacantes agudicen el ingenio para extraer fondos de cualquier parte, también nos encontramos en el entorno de la seguridad con unos presupuestos acotados, una infraestructura que cada vez más hay que dotarla de mayor identidad, y unos entornos empresariales con personal reducido pero con mayores necesidades. Y todo ello unido a que justificar una inversión en seguridad es cuanto menos difícil”, tal como comenta el directivo.
En este contexto, una de las soluciones que Panda plantea es el servicio Cloud Protection, que hospedado y gestionado por proveedores de seguridad, ofrece protección continua y desatendida para endpoint y correo. “Permite solventar esa especialización de ataques y optimizar las infraestructuras y costes en tiempos de crisis y en un marco global de protección. Y es que toda la inversión que habitualmente se requiere en hardware y software de seguridad, así como el personal especializado, queda reducido al pago de una cuota de servicio ya que toda la infraestructura y mantenimiento se encuentra en la nube”,explica Castellote.
El Ministerio de Ciencia e Innovación, por ejemplo, es uno de los organismos públicos más proclive a los temas cloud. De momento, ya tiene implementada la solución Panda Cloud Office Protection basada en el modelo de Software as a Service, que le permite liberarse de las tareas de gestión y de los costes operativos de las soluciones de seguridad tradicionales. Y como apunta María Antonia López, jefa de área de Logística y Atención al Usuario del Ministerio de Ciencia e Innovación, es el primer paso para unirse a la nube. “En el Ministerio nos hemos renovado, vamos a estar en la nube. Y el primer paso ha sido renovar con Panda optando por la versión PCOP, aunque todavía hay poco despliegue para equipos de fuera de la organización, como los ordenadores portátiles. Pero la experiencia hasta ahora es realmente buena”, aclara.
Sin embargo, no todos los organismos y empresas tienen tan buena predisposición hacia el cloud computing; aún hay ciertos escepticismos. Temas como la confidencialidad de los datos o privacidad aún pesan mucho a la hora de tomar una decisión para externalizar la seguridad de los mismos. Por ejemplo, Gabriel Arriero de Inspección General CIS del área de Seguridad del Ministerio de Defensa, así lo manifestaba. “Nosotros no podemos externalizar al completo ya que dependemos del entorno y de la información que estemos tratando. La confidencialidad de nuestra documentación no nos permite externalizar diversos temas, como puede ser el de la seguridad, con una empresa. En cuanto a la nube, lo estamos mirando y analizando pero para hacerlo de forma interna, en nuestros centros, porque es complicado depositar la confianza en alguien ajeno a la organización. Es una cuestión que hay que afrontar; sin embargo, para este año y el que viene los recursos son cada vez son más bajos, por lo que de momento, como no hay dinero evaluamos, estudiamos y sacamos el ingenio”, afirma Arriero.
Efectivamente el correo electrónico, navegación online y endpoint son tres puntos muy sensibles en cuestión de privacidad. Sin embargo, para protegerlos es preciso una solución antivirus y actualizarla todos los días, además de un firewall, antimalware… Según Panda eso es el concepto de cloud computing en seguridad ya que permite mantener el control sin temer por la confidencialidad, y “filtrar el tráfico de correo desde la nube entregando mensajes limpios de virus y spam, -el 98 por ciento del correo recibido es basura-, y optimizando los recursos de hardware, software y ancho de banda”, concreta Emilio Castellote.
DLP como alternativa
En el Ministerio de Defensa aún se muestran reticentes a la nube y prefieren evaluar otras opciones como las soluciones contra la fuga de datos. “Tenemos un servicio de mensajería militar para temas internos y Lotus Notes para el correo externo. Y ahora estamos mirando una solución DLP (Data Loss Prevention), valorando las diferentes soluciones que hay en el mercado para afrontar su implementación cuando haya dinero. La fuga de información es una asignatura que nosotros tenemos pendiente”,declara Gabriel Arriero.
En la misma disyuntiva se encuentra el Servicio de Salud de Castilla La Mancha (Sescam), que también ha estado valorando la opción DLP ya que, “en algunos hospitales surgió la necesidad de mantener un control más estricto de la información clínica y que ésta no saliera de nuestros centros. Estuvimos analizando aplicaciones de Symantec, McAffee… y cada una tenía sus peculiaridades, unas incidían más en el puesto de trabajo otras en la transmisión de los datos… Al final la organización no nos dio el visto bueno para seguir adelante e instalarla por el momento”, explica Gustavo Adolfo Rojo, jefe de Desarrollo del Sescam.
Apunta aquí Joaquín de la Torre, gerente de Gran Cuenta de Panda, “que antes de implantar cualquier solución contra la fuga de información hay que catalogar los datos, clasificarlos según su privacidad. Y si no es posible, se implanta un sistema de cifrado de las comunicaciones”.
Igualmente, Emilio Castellote de Panda añade que“DLP es una asignatura pendiente en todas las empresas cuando llegue la recuperación económica, pero yo lo percibo como que hay indeterminación: ¿en dónde lo aplicamos?, ¿en los contenidos?, ¿en las transmisiones? Nosotros estamos ahora observando una tendencia para los próximos años y es la fuga de información en los entornos 2.0 a través de blogs, webmail… y esto es difícil de restringir. Precisamente durante estos días lanzamos una nueva solución para cubrir esta problemática, que no sólo afecta a los jóvenes, que con total impunidad intercambian información, también puede implicar a expedientes clínicos o información militar. En Afganistán, por ejemplo, se está viendo a muchos soldados twiteando contando su posición, ataques… y ese tipo de información es la que queremos contener y atacar en primera línea de fuego”.
Tomás de Lucas, jefe de área de Comunicaciones del Ministerio de Educación, también está de acuerdo en esta tendencia a la que asocia un cambio cultural entre la juventud. “Hemos creado la cultura del todo vale, se puede hacer de todo en la Red, intercambiar datos, publicar fotos… sin embargo, ya está empezando a haber problemas. Las empresas de selección ahora miran en Internet lo que su candidato hace y esto puede ser un obstáculo para las personas en paro. Los jóvenes piensan que por aparecer en Internet con la corbata en la cabeza, por ejemplo, no pasa nada, pero sí pasa”, observa. ¿Es más seguro tener la información en la nube?
Para Emilio Castellote de Panda, es la única forma por un principio estadístico. “Nuestros laboratorios han detectado este año 40 millones de malware calificado y el fichero de firmas, la base de datos de virus, sólo tiene 1,8 millones por el tamaño; no pueden pasar de 50 megas. Entonces, ¿cómo se ofrece todo ese conocimiento que hay en el laboratorio? Nosotros intentamos establecer unas pautas de comportamiento: cuando un archivo .doc quiere conectarse al correo, se detecta como comportamiento anómalo, se bloquea, se envía al laboratorio y se da una respuesta. Los servicios de Cloud Protection ofrecen eso junto con una mayor actualización principalmente en entornos de puestos de trabajo. Por ejemplo, los clientes tradicionales no actualizan versiones, pero con Cloud Protection cuando hay una nueva versión se transmite a todos por igual. Y ahí es donde vemos la necesidad de la nube. Por otro lado, en temas de correo, este servicio también tiene en cuenta la utilización del ancho de banda. El 98 por ciento del correo que se recibe es spam. Muchas empresas invierten en ancho de banda pero esta inversión se tira por la ventana porque es spam. Cuando se tiene una plataforma en la nube, puede ofrecer alta disponibilidad del servidor de correo. En filtrado de correo se vigila lo que entra y sale de la organización, se definen políticas para que ciertos contenidos no entren o páginas web que no se puedan visitar. Este es el punto más conflictivo y confidencial porque en realidad se trata de establecer un proxy en la nube. Sin embargo, gestionar todo esto es una tarea muy difícil. La nube es una tendencia a la que vamos a ir todos”.
De aliviar el servidor de correo y liberalizar el ancho de banda sabe Pelayo Seguros, que tiene instalada precisamente Panda Cloud Protection. “La clave fue la reducción de spam en el ancho de banda. Teníamos un sistema propio que hacía antispam, antivirus… pero había que actualizar las versiones, controlar el mantenimiento… y además entraba el 97 por ciento de spam. Por eso decidimos externalizarlo porque así no necesitábamos tanto software, actualizaciones, y hemos ahorrado mucho en ancho de banda. Por contra, al final dependemos de Panda para que el correo funcione, estás en sus manos, aunque de momento, están respondiendo”, manifiesta Alfredo Martín, gerente de Explotación de Sistemas de Pelayo Seguros.
En cambio, para el Ministerio de Educación, la fuga de información es más bien un problema cultural, y eso que este año es crítico para la Administración Pública en temas de seguridad, ya que ahora cualquier ciudadano a través de cualquier dispositivo puede conectar con los organismos públicos. “Para mí 2010 es un año muy crítico por la Administración electrónica; tenemos bombas de relojería en la organización por la forma en que se irá incorporando la documentación. Es un riesgo pero iremos reuniendo todas las medidas que podamos para evitar su fuga, robo... Pondremos barreras pero siempre sabiendo que ellos serán más listos”,proclama Tomás de Lucas.
Seguridad remota o in-site
Otra de las dudas que se han puesto de manifiesto durante la Mesa Redonda ha sido la inclinación generalizada de mantener físicamente dentro de las organizaciones las infraestructuras e información frente a externalizar su gestión, seguridad, administración, mantenimiento… Es el caso del Sescam, cuya plataforma de correo cae bajo responsabilidad de la Junta de Castilla La Mancha. “En los temas de cloud computing nos da bastante reparo que nuestra información esté en la nube. No somos partidarios de que los datos estén circulando por ahí y siempre queremos mantenerlos dentro de casa. Por ejemplo, ahora en breve saldrá un proyecto para instalar una solución antimalware, pero en nuestros sistemas y equipamiento, en nuestras dependencias porque queremos mantenerlo dentro para controlarlo nosotros y tenerlo disponible. Nosotros tenemos el sistema de información de atención primaria centralizado para los 200 centros de salud y los 800 ambulatorios y la disponibilidad la tenemos nosotros. Si la tiene una empresa y nos deja un día sin servicio la podemos penalizar pero será el Sescam quien salga en los periódicos por tener paralizados los centros. Por el momento esa es nuestra línea estratégica”,reitera Gustavo Adolfo Rojo.
La necesidad de implicar y formar a la alta dirección en cuestiones de seguridad ha sido otro de los puntos sensibles tratados en la Tertulia, y que ha puesto de manifiesto María Antonia López del Ministerio de Ciencia. “Hay que mentalizar a la dirección, elevar los temas de seguridad a los altos cargos. Ellos quieren tener el ordenador protegido pero en realidad no son conscientes de todo lo que sale por la Red. Se pide su apoyo para promover la cultura interna dentro de la casa en cuanto al uso de los productos que se tienen. Una de las cosas que tuve que hacer para llevar a cabo el proyecto de Panda Cloud Office Protection fue presentar un informe del abaratamiento que esta solución nos suponía. Y la pregunta que me hacía la alta dirección era: ¿pero nuestros correos los tendrán ellos? Al asegurar que no, que se quedaban en el Ministerio me dieron el visto bueno. No obstante, con las empresas externas por mucho que se firme la confidencialidad, aunque se trata de un servicio al final se contratan los técnicos que son los que están manejando la información. Tienes el control pero no vigilas al minuto al ingeniero”, señala.
Sin embargo, es preciso tener en cuenta otro aspecto, aparte de los problemas de confianza que una empresa externa pueda traer consigo, y es la dependencia de las operadoras de red que dan servicio a las organizaciones.Efectivamente hay que ver todos los aspectos y no sólo el tecnológico porque si no estaríamos perdidos”, incide Gustavo Adolfo Rojo del Sescam. “Hay que combinar tres aspectos: organizativo, técnico y legal. El Sescam es un organismo muy complejo con mucha información sensible y muchos centros y no estamos donde queremos llegar, pero vamos dando pasos poco a poco en estas tres líneas de trabajo junto con los aspectos de la seguridad: confidencialidad, integridad, disponibilidad… Por el momento seguimos esa estrategia de colaboración con empresas pero dentro de nuestra organización porque nos sentimos más a gusto así y no queremos depender de un tercero ya que al final quien sale perjudicado somos nosotros”.
“Al final vamos a un modelo hibrido”,concluye Emilio Castellote de Panda. “Además, quien ha probado un modelo SaaS no retrocede, lo va ampliando y complementando ya que no sólo se trata de costes sino de todo el trabajo que te quitas de en medio y de los recursos que se ganan para dedicarse al negocio core. Por eso creo que el modelo hibrido funciona”.
“Pero se corre el riesgo de que el proveedor en el que al final confías sea comprado por otra empresa que no conoces de nada”,alega Gabriel Arriero del Ministerio de Defensa. “Nosotros por ejemplo dependemos de Telefónica así que si la compra una operadora china todos nuestros datos serán transferidos a Pekín. Hay una delgada línea de hasta donde puedo llegar y eso depende de tu organización”.
“Por eso el cloud está tan en boga, por la optimización de recursos, incluidos los humanos, y los costes. Para muchas empresas la nube es la única opción de evolucionar y ser competitivos”,finaliza Castellote.

Computing 798