Respuestas 
Crónica
La última edición de Respuestas SIC congregó a más de 300 profesionales en Madrid y Barcelona
La seguridad empresarial pasa por el control y la gestión del dato en un entorno tecnológico sin perímetro
La vigésimo séptima edición de Respuestas SIC, celebrada los pasados días 24 y 26 de febrero en Barcelona y Madrid, respectivamente, puso foco en la gestión del documento como elemento clave en un entorno tecnológico sin perímetro y con una amalgama de dispositivos personales difícil de controlar. Como es habitual, el evento, que contó con la presencia de más de 300 profesionales, tuvo el patrocinio de compañías relevantes como Check Point, Intel Security, Prot-on, Seclore, Symantec y Trend Micro.
Sesión de Madrid
La última convocatoria de Respuestas SIC, destacada por la multitudinaria asistencia de profesionales interesados en la creciente necesidad de controlar la información que generan las empresas, se sumergió de lleno en la problemática que los modelos de servicio en la nube o la movilidad, entre otros factores, suscitan en la seguridad de los datos.
Tras la desaparición del perímetro como última frontera de las organizaciones, la protección del documento se ha convertido en vital para salvaguardar los activos empresariales y cumplir con las reglamentaciones pertinentes. De ahí que tecnologías para la prevención y detección de fugas (DLP) y la gestión de derechos digitales (IRM) -así como la combinación de las mismas-, estén adquiriendo una gran relevancia.
Rafael Ortega
En la ponencia que abrió la jornada, titulada “El control del dato y la gestión de la seguridad por los usuarios”, Rafael Ortega, Director General de Innovation 4 Security (I4S), del Grupo BBVA, comenzó poniendo toda la carne en el asador abogando por llevar a cabo un cambio radical para afrontar los problemas existentes en torno a la fuga de información. “Cuanto más cerca del dato implantes un control, más segura y eficiente será su gestión. Y en este sentido, está claro que las técnicas criptográficas son las más eficaces”, apuntó antes de señalar como necesario un cambio de paradigma. “O reaccionamos como industria o estamos en peligro en el mundo digital”, advirtió.
Ortega delimitó los ámbitos de uso tanto para DLP (perímetros, host y redes), como para DRM (más allá del perímetro), y sobre esta tecnología comentó que “aunque no termina de pegar el empujón para ser utilizada de forma masiva, es esencial de cara a la concienciación”. Asimismo, explicó que la clave para ambas pasa por una buena gestión de identidades y accesos.
Sesión de Barcelona
Por lo tanto, para el Director General de I4S resulta capital etiquetar la información, clasificarla y hacerlo desde un punto centralizado, en el que una persona o un departamento decida qué securizar y qué no. “Es imposible etiquetar toda esa información, hay que dedicarse a la que está regulada y a aquella que interesa al crimen organizado”, puntualizó.
En su intervención también aprovechó para señalar dos elementos importantes para el creciente interés en DLP e IRM. Por un lado, los dispositivos móviles de los usuarios, a los que hay que tratar como algo externo a la organización, y relacionado con éstos, el cloud computing, especialmente en SaaS (software as a service) impidiendo que los datos sensibles suban a la nube.
Sesión de Madrid
Controlar el dato donde esté
“El perímetro ha muerto y la información fluye sin control”, con esta sentencia y con el aviso de que, por lo tanto, hay que mitigar los riesgos y poner controles para reducir el impacto, comenzó su exposición Javier Fernández, Security Deal Architect de BT España. Titulada “Las soluciones de DLP e IRM ante los nuevos escenarios de negocio”, la ponencia dejó claro que si antes protegíamos el contenedor, ahora queremos cifrar el dato para controlarlo donde quiera que esté. Para ello es necesario un marco de trabajo y una metodología, todo alineado con el sistema de gestión de la seguridad de la información”.
Javier Fernández
“Del perímetro se encarga DLP. Por lo tanto, la regla saliente de un DLP es la entrante de un IRM, que se encarga de la seguridad fuera de dicho perímetro. Pero eso ha de ir acompañado de una integración completa, y contar con tecnología para la gestión de identidades”, explicó este profesional, que fue tajante al asegurar que “la verdadera amenaza es la nube”.
Sesión de Madrid
Antes de dar paso a la intervención de los fabricantes patrocinadores del evento, Fernández realizó las siguientes recomendaciones a la hora de embarcarse en un proyecto: definir y revisar el SGSI; contar con el apoyo de la alta dirección y la colaboración de los departamentos afectados; diseñar una correcta campaña de comunicación y formación; descartar cualquier tecnología no sustentada por un soporte 24x7x365; realizar pruebas de concepto; guardarse de emplear marcas blancas; no olvidar que las reglas salientes de un DLP pueden ser las entrantes de un IRM; no hacer inversiones innecesarias, y elegir un proveedor de confianza.
Sesión de Barcelona
La oferta del mercado
“Ni la tecnología ni los procedimientos pueden evitar que una persona muy motivada saque información fuera”, expuso Mario García, Director General de Check Point para España y Portugal, nada más tomar la palabra. Así pues, según este directivo, las compañías han de disponer de las herramientas que les permitan tener una política de protección de datos adecuada, en la cual, los usuarios sean responsables de la información y de lo que hacen con ella. Es decir “hay que prevenir, educar y forzar las normas”.
García también señaló que los dispositivos se multiplican y tienen multitud de usos. Por ello se debe ir un paso más allá y ofrecer al usuario una tecnología cuyo uso sea muy sencillo, haciendo una clara referencia a Check Point Capsule. “Somos capaces de controlar tanto la fase de preinfección como la de postinfección. La seguridad perfecta no existe, por eso es clave detectar si la información está saliendo”.
A continuación, David Baldomero, Content Security Architect Manager de Intel Security para España y Portugal, mencionó el concepto de seguridad conectada como camino a seguir en la protección de los datos. “DLP e IRM antes eran alternativas, ahora son complementarias. Ambas hacen falta y contribuyen a mejorar la seguridad. En este sentido, es muy importante la seguridad conectada. Nuestra proposición une nuestro DLP con los IRM de Adobe, Seclore y Microsoft, que es con quien trabajamos”, explicó.
De izquierda a derecha: Oscar Maire-Richard, Mario García y David Baldomero
Baldomero quiso incidir además que DLP no solo es útil para evitar la fuga de datos. “Sus capacidades nos proporcionan más oportunidades. Identifican dónde está la información sensible, la clasifican, nos ayudan al cumplimiento normativo y a la concienciación”.
Sobre la segunda de las tecnologías que se trataron en esta edición de Respuestas SIC se pronunció Oscar Maire-Richard, Fundador y CTO de Prot-on, cuyo IRM se caracteriza, según sus propias palabras, por “su facilidad de uso y su flexibilidad en la gestión de identidad”.
Acerca de la tecnología de esta compañía, apuntó los elementos más destacados: “cumplimiento de los requerimientos en materia de seguridad (con un coste atractivo y la posibilidad de una implantación gradual), la interoperabilidad entre todo tipo de usuarios, la facilidad de uso, de implantación y de despliegue, y el hecho de tratarse de tecnología española”. Y señaló como siguiente paso a dar el de conectarla con DLP, algo que hasta ahora no han hecho porque “los clientes no nos lo habían pedido”.
También como representante de una compañía dedicada al IRM se presentó Ángel Fernandez, Director de Desarrollo de Negocio de Secutatis, firma que comercializa en exclusiva en nuestro país Seclore. “Como multinacional con 4 millones de usuarios, presencia en 23 países y capacidad para ofrecer soporte 24x7 multi-idioma, destacamos además por ser la única solución que se integra con todos los líderes de DLP, así como con SAP”, aseguró Fernández, que también se centró en las ventajas principales de Seclore: que es una solución persistente independientemente de donde la información viaje o resida; la integración con todo tipo de soluciones, no solo de DLP; que es independiente al tipo de dispositivo; una seguridad de grado militar; su escalabilidad y la posibilidad de ofrecer accesos sin agente.
Por su parte, Miguel Suárez, TSS Iberia Security Manager de Symantec, consideró que en este foro se debía “hablar de protección y tratamiento de la información”. De ahí que apuntara como primer aspecto clave la visibilidad de dicha información (dónde se encuentra, quién accede a ella…), al tiempo que se refería a tecnologías de detección para la prevención de fuga de datos (described content matching, exact data matching, indexed document matching y vector machine learning).
De izquierda a derecha: Miguel Suárez, Ángel Fernández y Javier Cazaña
“La estrategia de Symantec, líderes en tecnología DLP, pasa por una gestión unificada con nuevas capacidades como el tratamiento de incidentes por parte de usuarios finales (self service portal) o la integración con cloud (la posibilidad de monitorizar tráfico entrante o saliente para Office 365 o Google)”, comentó durante la ponencia.
El último representante de las compañías patrocinadoras fue Javier Cazaña, Responsable de Canal y Alianzas de Trend Micro, para quien “la información lo es todo”, especialmente la relativa a la propiedad intelectual, la privacidad de los datos del cliente y la corporativa (“la reputación tiene mucho valor”).
Para dar una visión del momento actual, Cazaña se refirió a un estudio de Forrester, que señala que el 89% de los responsables de seguridad consideran que es necesario proteger información, aunque sólo el 25% se sienten satisfechos a la hora de implementar una solución de DLP global. También explicó que el mercado se encuentra en la tercera oleada de DLP, la de la gestión centralizada, la cual se caracteriza porque, ante todo, ha de ser simple. Para finalizar, señaló los tres pilares sobre los que Trend Micro se basa en su relación con el cliente en este tema: confianza, transparencia y cercanía.
Sesión de Madrid
Terreno por recorrer
Una vez finalizadas las intervenciones particulares, los representantes de los fabricantes respondieron a las preguntas formuladas por el público asistente. Y ante la cuestión de cuál es el estado de las compañías en su labor de proteger y clasificar su información, las respuestas fueron las siguientes. “Ninguna compañía tiene cifrada toda su información. Hay que clasificar la más sensible utilizando DLM e IRM”, recomendó David Baldomero. Oscar Maire-Richard incidió en ese punto al asegurar que “todavía estamos muy lejos de que la clasificación de la información sea algo generalizado. El usuario debe tener la responsabilidad de poner una clasificación a todo documento que genere y luego hay tecnologías exploran el contenido y afinan más”.
No tan seguro de esa responsabilidad estuvo Miguel Suárez: “Es difícil saber si es cuestión del usuario final, de la empresa, de un tercero... La tecnología nos permite saber qué información tratamos y cómo. Hay que dar más pasos en determinar responsabilidades del proceso y las diversas regulaciones van a ayudar”. A lo que Ángel Fernández añadió que “tiene que haber un comité multidisciplinar para saber qué información quieres proteger”.
Para Javier Cazaña, esa clasificación “es una labor de toda la compañía, todos los departamentos han de ser flexibles para determinar qué es lo importante para ellos”. Y Mario García agregó: “Hay normas para saber cómo clasificarlo, pero está claro que para el usuario ha de ser todo muy claro”.
Otras cuestiones que se trataron fueron el tiempo medio de los proyectos, para lo que no hubo una respuesta concreta, dado que los clientes son de muy diferentes tamaños y en la mayoría de las ocasiones se trata de procesos continuos; y el modo más adecuado de concienciar a los usuarios, para lo que se propuso una mayor relevancia empresarial de los CISOs, se habló de la importancia de las regulaciones, de dar visibilidad a los eventos de seguridad y de que haya una total transparencia con respecto a estos temas de cara a la sociedad digital.
Fernando Vega y Santiago Minguito
Visión de los usuarios
Como es norma habitual en Respuestas SIC, la última parte de la jornada corrió a cargo de dos usuarios, en este caso grandes entidades financieras. El primero en explicar su caso fue Fernando Vega, Director de Seguridad de la Información de Gneis (Grupo Bankinter), que convino que “DLP e IRM son dos tecnologías necesarias. Cuando queremos proteger, tenemos que saber sobre qué queremos hacerlo. Hace 13 años se implantó tecnología en Bankinter y ahora mismo estamos en una redefinición con todos los casos de uso para sacarle el fruto. Lo estamos utilizando como una herramienta clara de concienciación a los usuarios”.
“Estoy totalmente de acuerdo, se trata de una herramienta de concienciación”, coincidió Santiago Minguito, CISO del Banco de Sabadell, que añadió: “Empezamos hace seis o siete años con DLP, todos decían que no servía para nada, cuando realmente es un producto que se vende solo al enseñárselo a un directivo. Después, el camino es largo, hay que tener claro qué quieres proteger. Eso sí, si no haces responsables a los propietarios de la información, de poco sirve”.
Santiago Minguito y Fernando Vega
Para finalizar, cuando se les cuestionó sobre quiénes ponen las reglas DLP en las respectivas compañías, Fernando Vega tenía muy claro que “o tira el Departamento de Seguridad o no sale nada”, opinión con la que concordaba Santiago Minguito, para quien “el éxito fue involucrar a las diferentes áreas. El departamento de Seguridad no ha de tener acceso a todos los datos de la compañía, solo a los necesarios para la realización de sus funciones”.
Sesión de Madrid
