La primera edición de Respuestas SIC de 2013, vigésimo segunda en su trayectoria, se celebró los pasados 12 y 14 de marzo en Madrid y Barcelona, respectivamente, congregando a casi 350 profesionales del sector para debatir sobre los escenarios y soluciones de nueva generación para la gestión segura de la información en entornos móviles. En este contexto, se analizaron aspectos como la propiedad del dispositivo y su gestión, la necesidad de licenciamientos de pago por uso, y la urgencia de educación y concienciación, además de dejar la puerta abierta a la aparición generalizada de una nueva unidad departamental de movilidad, encabezada por el Chief Mobility Officer, ya existente en algunas entidades.
Sesión de Madrid Sesión de Barcelona
El actual panorama, marcado por las diversas plataformas tecnológicas para movilidad (incluidas sus arquitecturas de seguridad),ha llevado a la industria a aportar soluciones en varios frentes: MDM (Mobile Device Management), MAC (Mobile Access Control), MAM (Mobile Application Management), MDP (Mobile Data Protection) y MDS (Mobile Data Security). Sobre todos ellos se debatió en la más reciente convocatoria de Respuestas SIC, la primera del año y la número 22 de la historia. En el primer bloque de la jornada se contó con la participación de Javier Zubieta Moreno, Responsable de Desarrollo de Negocio de Seguridad de GMV, que habló de “Movilidad: seguridad integrada para la gestión”; y Javier Fernández Martín, Arquitecto de soluciones en BT Global Services, con su ponencia “MDM, MAM, MDP y MDS. Soluciones y servicios gestionados para la empresa”.
Sesión de Madrid
Profundizando en la primera intervención, el ponente compartió con la nutrida asistencia el marco de referencia con el que trabaja su compañía en estos entornos, basado en 7 dimensiones, cada una de ellas con 3 aspectos a tener en cuenta: Organización (a considerar la estrategia corporativa, su cultura y su estructura), Usuarios (perfilado, formación y participación), Dispositivos (propiedad, soporte y provisión), Seguridad (sandbox, MDP y EMM), Gobierno (gestión de riesgos, indicadores y políticas), Aplicaciones (corpappstore, frameworks y movilización) e Infraestructura (network, virtualización y NAC). Zubieta aclaró que “el foco no está tanto en quién tiene la propiedad del dispositivo, sino si está o no gestionado”; añadiendo que “últimamente, se empieza a pensar seriamente en crear una unidad departamental de movilidad, con una nueva figura asociada: Chief Mobility Officer”.
Sesión de Barcelona
Por su parte, Fernández Martín, en una solvente y muy pormenorizada intervención, desgranó el reto corporativo de gestionar un escenario, como es el de la movilidad segura de sus usuarios, nada trivial y muy cambiante, repleto de tecnologías aún sin consolidar y con amenazas replicadas de escenarios más estandarizados y de otras emergentes y de complicada gestión. El especialista de BT abogó por la necesidad de encajar el proyecto de movilidad en el núcleo del SGSI de la compañía y en motivar al usuario a la participación en la política corporativa, proporcionándole aplicaciones sin coste y concienciándolo en buenas prácticas. “Podemos ver todo el escenario desde una pirámide donde en la base pondríamos los servicios gestionados; luego los MDM, MAC, MDS MAM y MDP; para llegar a la parte más alta, donde se coloca el SGSI, la consultoría y la integración”, apostilló.
Tras estas intervenciones, y ya en el segundo bloque de la jornada, tomaron la palabra los representantes de las seis empresas copatrocinadoras del evento, quienes especificaron sus propuestas tecnológicas en toda la cadena de protección: Román Vargas, Consultor de Seguridad de Cisco Systems; Santiago Campuzano, Director General para Iberia de Citrix Systems; Isaac Fores, Director General para Iberia de Dell SonicWall; José Carlos García, Director Técnico de Enterasys Networks; Joan Vila, Responsable de Soluciones de Seguridad de Huawei Enterprise España; y Carlos Ferro, Director Regional en Security & Cloud Business de Symantec.
Sesión de Madrid
De las intervenciones de estos profesionales se extrajeron algunas conclusiones de alto valor, como la necesidad de concienciación, o de análisis de todo el escenario y los posibles usos, buscando la participación del resto de departamentos, así como la conveniencia de “extender el puesto de trabajo”. En general, consideraron que la responsabilidad del usuario en estos escenarios es una extensión de la global con la compañía y que su libertad en movilidad será grande mientras no atente contra la organización. Otras preguntas planteadas por la audiencia se centraron en la tipología de los proyectos acometidos, nuevas formas de licenciamiento de pago por uso, o la preferencia futura entre los fenómenos BYOD y COPE (Corporate-owned, personally enabled).
Sesión de Barcelona
En el tercer bloque, ya en el marco del ya tradicional debate sobre la visión de los usuarios, escenarios actuales, limitaciones y necesidades futuras, participaron sendos responsables de las compañías Produbán-Grupo Santander (José Díaz Lifante, Responsable de Seguridad IT. Riesgos tecnológicos); y Unidad Editorial (Mario TrottaMoreu, Responsable de Seguridad Informática).
En opinión de Díaz Lifante, “tenemos lo que nos hemos buscado”: queríamos un mundo open, y ahora no podemos asustarnos de su inseguridad. “En todo caso, ¿es necesario poner tanta información en un dispositivo portátil? Dejemos los datos donde tienen que estar, protegidos; y estemos más atentos a las señales de peligro”, matizó. Según él, como los nuevos dispositivos son PCs con móvil, tienen ahora también todas las antiguas vulnerabilidades; y hay que asegurarlos, “hasta donde se pueda”.
Por su parte, Trotta Moreu apuntó hacia una labor de convencer y vigilar, y no tanto de prohibir. Echó en falta el concepto de monitorización en las intervenciones de los representantes de las compañías copatrocinadoras. “Es preferible decirle a una persona qué es lo que no puede hacer y darle libertad, pero decirle que se le está vigilando”, explica. Consideró también que el error podría haber sido centrarse en el dispositivo y no en los servicios; y que sigue habiendo un problema en el campo de la gestión de identidades.
En el turno de preguntas, ambos ponentes reconocieron trabajar muy de la mano de las compañías integradoras, además de abordar sus proyectos con el beneplácito del resto de los departamentos de la organización.SIC