La vigésimocuarta edición de Respuestas SIC, la primera de 2014, se celebró los pasados 18 y 20 de marzo en Barcelona y Madrid, respectivamente, reuniendo aproximadamente a 350 profesionales. Durante sendas jornadas se debatió sobre el incesante incremento de la prestación de servicios avanzados de protección IT, del cambio de paradigma que esto supone para la seguridad o de sus consecuencias legales y jurídicas, entre otros asuntos de capital interés. El evento contó con el patrocinio de compañías punteras como Check Point, Cisco, FireEye, Palo Alto, Trend Micro y Zscaler.
Sesión de Madrid
Ante el imparable avance de la computación en la nube a todos los niveles, incluido el de la seguridad, el primer Respuestas SIC de 2014 se sumergió en un tema de rabiosa actualidad, como es el de la prestación de servicios avanzados de protección IT, habida cuenta de que la consultora Gartner ha publicado recientemente que este mercado facturará en 2015 la nada despreciable cifra de 2.200 millones de euros en todo el mundo.
Sesión de Barcelona
Durante las jornadas que tuvieron lugar los pasados días 18 y 20 de marzo en Barcelona y Madrid respectivamente, un nutrido grupo de profesionales entró de lleno en cuestiones como las ventajas e inconvenientes de las soluciones cloud frente a fórmulas tradicionales, las diatribas en torno a las normativas legales de cada territorio, la confianza en los proveedores o los entornos tecnológicos que mejor se adecuan a la utilización de la seguridad como servicio.
Sesión de Madrid
Ante este cúmulo de temas que tratar, Rafael Ortega, Director General de I4S (Grupo BBVA), abrió el evento con una ponencia en la que trató de dar un enfoque más esclarecedor alrededor del cloud computing y lo que su adopción supone para las empresas en materia de seguridad.
Rafael Ortega
Lo primero que dejó claro fue la necesidad de llevar a cabo una transformación en la que “tenemos que cambiar los paradigmas de la seguridad o de lo contrario nos pasarán por encima”. Y es que, para Ortega, las empresas han de tener un conocimiento completo de los servicios que se prestan en la nube; de ahí que el concepto “DevOps”, es decir, la unión de desarrollo y operaciones, resulte esencial.
Después de repasar los diferentes modelos de externalización y centrarse en el cloud público, donde es el proveedor y no la propia organización el que gestiona un perímetro cada vez más difuso, llegó a conclusión de que se ha de tener confianza en dichos proveedores y propuso un segundo nivel de cifrado en virtud de las necesidades de cada empresa. Eso sí, señaló que el principal problema se halla en el software como servicio (SaaS), “en la gran cantidad de microaplicaciones que han nacido en la nube y que son utilizadas en los procesos de negocio. Ahí es donde realmente hay que poner foco, en la capa de aplicación”.
Asimismo, el directivo de I4S, se centró en los servicios de seguridad (IDaaS) que se dan desde la nube, cuyo crecimiento se antoja imparable. Y señaló tanto la necesidad de “crear nubes de proveedores de servicios de seguridad”, como de “saltar a la capa de aplicaciones para que se pueda desarrollar con buenas garantías de servicio”; para finalizar con un escueto y directo mensaje: “La seguridad en estos entornos tiene que automatizarse”.
Tras esta intervención tomaron la palabra los diferentes patrocinadores. En primer lugar, Mario García, Director General de Check Point para España y Portugal, quiso centrarse especialmente en las preocupaciones de los usuarios y en las tecnologías que les ayuden a afrontarlas. Para ello se refirió al catálogo de servicios flexibles que la compañía israelí les ofrece, cuya aproximación holística pretende dar la respuesta adecuada a sus necesidades. “El perímetro ha cambiado. Por lo tanto, hay que redefinirlo y ver qué medidas de seguridad se han de adoptar de cara a cifrar y manejar los datos”, expuso antes de poner un ejemplo de su tecnología: Document Security, en la que es el documento -y no los usuarios- el que arrastra los permisos.
Por su parte, Eutimio Fernandez, Director Regional de Ventas de Sourcefire en Cisco, compartió en la sesión de Madrid la idea de cambio, no sólo del perímetro, sino del hacking en general. “Todos los proveedores han sido comprometidos”, aseguró antes de esgrimir la idea de que “la clave es tener la mayor visibilidad posible de un ataque”. En este sentido, Cisco propone SIO, una nube que incluye todos los elementos de seguridad: cortafuegos, IPS, seguridad web, seguridad de correo y AMP (protección frente al malware). “La alimentamos para que nos devuelva reglas, contenido, etc. Con FireAMP, por ejemplo, proporcionamos retrospección de la ejecución de cada fichero durante todo el ciclo de vida. Esto nos aporta conclusiones para poder frenar un problema en minutos”. En términos parecidos se expresó en la sesión de Barcelona su compañero Román Vargas, Consulting System Engineer de Cisco.
El relevo lo tomaron Vesku Turtia y Álvaro García, Director de Ventas y Responsable Técnico, respectivamente, de FireEye para Iberia, quienes denominaron la tecnología de esta compañía como disruptiva. “La nueva generación de ataques está evadiendo las defensas basadas en firmas”, explicó Turtia antes de referirse a que “la magia de FireEye se basa en un sistema de virtualización con un hipervisor propio”.
Álvaro García, por su parte, profundizó en la solución y explicó que aunque “el uso de la nube es clave, el análisis en cloud es inviable”. Y finalizó su intervención recordando cómo la incorporación de Mandiant les ha proporcionado herramientas de remediación y contención para completar el ciclo.
Tras una pausa, Xavier Homs, Ingeniero Preventa de Palo Alto Networks, recogió el testigo y centró su intervención en los tres principios sobre los que la compañía ha desarrollado su plataforma de seguridad: aplicar controles positivos, evitar amenazas conocidas y descubrir las desconocidas. “Apostamos por proporcionar visibilidad global y correlar eventos, así como por inspeccionar el tráfico en todos los puestos”, expuso. Esta estrategia les ha llevado a contabilizar 368 aplicaciones diferentes que sirven al hacker para propagar su malware, e incorporar 6.200 nuevas vulnerabilidades al día (tras el análisis de 370.000 ficheros). Homs apostó por centrar la defensa en las vulnerabilidades críticas de cada empresa, detectarlas amenazas nuevas procesando todo lo que sea sospechoso y validar una posterior remediación.
Para Tomás Lara, Director Regional de Ventas de Trend Micro para Iberia, en cambio, la flexibilidad y la facilidad que aporta para manejar los recursos hacen de la nube un elemento perfecto para trabajar en equipo. Ésta es la filosofía que Lara destacó de la compañía que representa, la del socio que acompaña a su cliente proporcionándole las herramientas necesarias. “Deep Security, por ejemplo, protege la infraestructura cloud y los entornos virtuales; o SecureCloud, una herramienta que gestiona el propio cliente, permite cifrar todos los datos que tiene en la nube”, apuntó antes de señalar que el principal valor de Trend Micro es su Big Data de seguridad, capaz de procesar terabytes de información.
Finalmente, José Ramón Fernández, Director de Ventas a Proveedores de Servicios de Zscaler, volvió a incidir en que el mecanismo tradicional de seguridad está cambiando. “La nube está aquí, es la evolución más efectiva y eficaz”, expuso como principal argumento de la filosofía de Zscaler. “Tenemos la mayor nube de seguridad del mundo, con más de 12 millones de usuarios en 180 países y la gestión de 12.000 millones de transacciones al día en más de 100 centros de datos en todo el mundo”, cuantificó el directivo de Zscaler, quien concluyó su exposición recordando las dos tendencias que mueven al mundo de las TI: “El mundo es cada vez más móvil y todos usamos la nube, con lo que gran parte de la actividad de la empresa ocurre fuera del perímetro tradicional”.
Tras las respectivas ponencias, los patrocinadores atendieron a una serie de cuestiones, como fue el caso del abaratamiento de los presupuestos de seguridad al emplear solucionas en o para la nube. Xavier Homs cifró el ahorro en un 30% en cuanto a ancho de banda y otro 30% en el total de los proyectos de ciberseguridad. Eutimio Fernández, por su parte, llevó el abaratamiento de costes aún más allá y lo situó en un 85% en la gestión de eventos. “Si a eso le añades que al parar una amenaza consigues remediar un problema que puede durar horas e incluso semanas, el valor que se aporta es brutal”. “Brutal” también fue el adjetivo que utilizó Tomás Lara al hablar de ahorro en CAPEX, OPEX y TCO.
La prestación de servicios de seguridad o la integración de los mismos requiere de una madurez y unos conocimientos que los ponentes también evaluaron. Para Mario García, “hay profesionales muy buenos, pero son pocos y eso provoca que no todos los proveedores de servicios estén al mismo nivel”. De igual modo opinó José Ramón Fernández, al reconocer que aunque los “proveedores están subiendo el nivel de los servicios que dan, no hay muchos y sería adecuado que fueran más”. Por su parte, Álvaro García rompió una lanza a favor de los grandes referentes internacionales que hay en España, “gente con perfil muy bueno, así que hemos de romper el hielo y ser más valientes”.
Representantes de la industria
Finalmente, cuando se les cuestionó por qué sugerencias harían para una mejor transición hacia la utilización de servicios en la nube, los seis ponentes marcaron unas pautas similares, que pasaban por definir una política de seguridad en la que el usuario debe conocer qué tiene y qué quiere utilizar ante el nuevo paradigma al que se enfrenta. Y tras examinar los costes y la conveniencia de moverse a la nube, hacerlo con conocimiento y con un socio de seguridad adecuado.
Xavier Serrano Cossio (Banco Sabadell) y Ramón Ortiz González (Mediaset)
La jornada concluyó con la visión que dos empresas usuarias tienen de los escenarios actuales en los que utilizan servicios en la nube, así como de las necesidades y limitaciones que les surgen.
En primer lugar, Ramón Ortiz, Responsable de Seguridad Informática de Mediaset, explicó que en la compañía utilizan múltiples servicios en la nube (correo limpio, hosting web, mitigación DDoS, fondo documental…) porque “no podríamos tenerlos todos alojados internamente”.
Por su parte, Xavier Serrano, Director de Seguridad de la Información y Continuidad en el Banco Sabadell, reconoció que “no se puede vivir sin el cloud y tendremos que utilizar servicios de una manera o de otra, aunque cada uno decide qué quiere llevar a la nube y qué no”. Eso sí, para esta entidad bancaria algunos datos y aplicaciones es mejor controlarlos directamente, y no sólo porque se trate de un sector regulado por el Banco de España. De ahí que ante la pregunta de si llevarían a la nube un servicio de defensa avanzada como la protección frente a APTs, expuso que “hay veces que una parte de tu información más crítica no quieres confiarla a un servicio cloud”.
En cuanto a lo que echan en falta en torno a la seguridad en y para la nube, tanto Ortiz como Serrano coincidieron en la necesidad de tener un mayor control por parte del propio cliente. “Si no te dejan auditar, te genera desconfianza”, señaló el Responsable de Seguridad Informática de Mediaset, al tiempo que el Director de Seguridad de la Información y Continuidad en el Banco Sabadell asumía que aunque “hay buenos servicios en cloud, se hace patente y necesaria la mayor sensibilidad de los proveedores locales”.