La fuerza está en el userware
Panel de tendencias de los patrocinadores del b:Secure Conference 2010
En una dinámica innovadora que empleó Twitter como recurso de apoyo, en el marco del b:Secure Conference se llevó a cabo un panel de tendencias que reunió a 19 organizaciones, a saber: Bit defender, CA, Cisco, Ernst&Young, Excelerate Systems, Fortinet, Grupo Scanda, ISC2, Kaspersky, Mattica, Oracle, ProTGT, RSA, Seguridad de la Información (SI), SonicWall, Scitum, Symantec, TippingPoint y Websense.
Durante poco más de hora y media se tocó el tema de la seguridad informática y su relación con temas de actualidad, como el cloud computing, las redes sociales en el entorno laboral, la evolución de la industria del cibercrimen y la movilidad, entre otros.
Se puede hablar de dos conclusiones finales: por un lado, la mayoría de los panelistas, aunque pertenecientes a firmas proveedoras de tecnología de seguridad, coincidió en que la tecnología no es por si misma la solución a los problemas; la mancuerna incluye dos elementos más, tal vez más prioritarios, que son gente y procesos. Y por otro lado, aunque hubo algunas versiones en contra, algunos panelistas señalaron que las redes sociales y el fenómeno de comunicación y colaboración a través del social networking es algo que no puede negarse ni prohibirse; hay que integrar su uso en un ambiente regulado y monitoreado.
He aquí una breve reseña de los comentarios de los panelistas en la mesa de la seguridad.
¿Forrester Research dice que 50% de las grandes empresas y 60% de las pequeñas ponen la seguridad de la información como la principal preocupación para migrar su infraestructura a la nube. ¿Qué hacer ante esto?
Anderson Ramos (ICS2): A mi juicio, como profesional de seguridad, considero que debemos empezar desde un punto de vista de gestión del riesgo; buscar soluciones IT que nos permitan tener transparencia. Por ejemplo, si vamos a almacenar en la nube, lo cual nos traerá ventajas para el negocio, hay que hacerlo de forma encriptada y con llaves de seguridad encriptadas y con el control de nuestro lado, más que del proveedor.
¿Ante la ola de adopción de cloud computing que se avecina en los próximos años, ¿cómo resolver el problema de privacidad, acceso y sanciones en el manejo de los datos?
Zamantha Anguiano (RSA): Todos hoy están emocionados con el cómputo en nube, pero no estamos implementando soluciones de seguridad. Es necesario enfatizar en que cualquiera entra a la nube, es información móvil, y no sabemos bien a bien dónde está. Por todo esto, exige esquemas de seguridad muy altos, incluyendo dispositivos de autenticación robusta (tipo Token) e incluso autenticación a nivel de las aplicaciones. Bases de datos, servidores, switches, routers… todo integra una infraestructura de riesgo en el cloud computing; hay que monitorear por dónde pasa toda información, para entonces colocar los controles adecuados.
Luis Adrián Gómez (Grupo Scanda): Al contratar con un proveedor de nube, debemos saber dónde va a poner nuestra infraestructura; conocer si es algo dedicado o compartirmos con otros clientes. Posteriormente, el proveedor también debe garantizarnos que cuenta con los mecanismos adecuados de autenticación y transporte, y preferentemente si las auditorías serán posibles.
Ramos: La gran catástrofe con la nube es la que también cometimos al principio de Internet: vemos la nube como paradigma arquitectural. En realidad, hay mucha tecnología que no se ha desarrollado y que hace falta. Estamos usando soluciones anteriores para tecnología nueva cuando debería existir tecnología desarrollada para esta nueva arquitectura.
Francisco Argüelles (CA): Un componente fundamental para un esquema de nube es el ancho de banda. Si este asunto no se completa pasará lo mismo que a las punto.com.
¿En el arranque de la segunda década del siglo XXI, ¿qué podemos esperar de la industria del cibercrimen y sus repercusiones durante los próximos cinco años?
Daniel Molina (Kaspersky): Ahora los gobiernos patrocinan el hackeo; es una de las tendencias que más me preocupan en este futuro próximo.
Carlos Ayala (TippingPoint): Actualmente vemos que la tendencia es hacia ataques a aplicaciones enfocadas en el Web. MIentras vemos un decremento en los ataques contra vulnerabilidades en sistemas operativos, hoy por hoy 60% de los ataques vienen por medios de Internet. Asimismo, por un lado son visibles investigaciones de vulnerabilidades que conllevan liberaciones de ataques de Día Cero, y por el otro no estamos aplicando parches de manera oportuna, ni en el server ni en el punto final, que debería ser prioritario por el ritmo de navegación desde equipos cliente.
Collin Lawrie (Bit defender): Algo que no hay que olvidar es el sentido comun. En la mayoría de los casos, el error para la propagacion de una vulnerabilidad es humano; hay muchos puntos que las empresas deben tomar en cuenta en la preparación de sus políticas de cara a los usuarios.
¿En seguridad, es muy fácil pensar en el rostro de un criminal virtual oculto tras una IP en algún sitio remoto. Pero ¿qué tan conscientes son las empresas para resolver el problema del enemigo interno?
Francisco Villegas (ProTGT): Las empresas están ocupadas en proteger el perímetro y un poco las redes internas, pero no se acercan a supervisar y monitorear a los usuarios. Es necesario integrar tecnologías que monitoreen y supervisen, pero también es necesario que el usuario sepa, porque los recursos son de la empresa, no suyos. Además, no se está violando su privacidad, pues todo lo que hace es usado con recursos de la organización. ¿Por qué debemos supervisar el tráfico? Porque de otra forma no sabremos qué cursa por la red y qué hacen los usuarios.
Andrés Velázquez (Mattica): Cuántos de nosotros no hemos, al dejar la organización, copiado datos y llevárnoslos en un USB. Eso es robo de secreto industrial. Las empresas deben ser conscientes de que hay cosas más allá del hacking.
Gómez: En ocasiones vemos que proyectos de DLP no son tan exitosos. Y es que no es sólo la tecnología el secreto del éxito, sino que hay otros temas involucrados. Para proteger la información al interior de la empresa, además de contar con tecnología de apoyo, es necesario vigilar al eslabón más débil de la cadena, que es el usuario. De ahí que sea notorio que muchas organizaciones hoy por hoy están invirtiendo mucho en concientización.
¿Los más de 400 millones de usuarios en Facebook y las más de 50 millones de visitas únicas de Twitter, muestran que los empleados ven las redes sociales como un “must have” en la empresa. ¿Es posible considerar este uso en la empresa?
Anguiano: Sí es posible. Hoy es, de hecho, una estrategia de mercadotecnia. Sin embargo, al igual que con otras tecnologías como es el cloud computing, a veces no tenemos los mecanismos diseñados para ofrecer seguridad directamente ante estas tendencias. Ciertamente el social networking es un “must have”, pero existen tecnologías de seguridad que convendría revisar, en el entendido de que además debe haber una estrategia real de parte de las empresas. De otra forma no sirve. El awareness de la gente es básico.
Víctor Pichardo (Excelerate Systems): Hay que ser prácticos: que el empleado responda si lo que hace en las redes sociales tiene valor para el negocio o no, y entonces actuar en consecuencia permitiéndoselo o no.
Villegas: Claro que si el uso del social networking es un diferenciador de negocio, hay que usarlo con las medidas de seguridad, pero quiero dejar claro que cuestiones personales no son un “must have” para las empresas.
Pável Orozco (Websense): Yo difiero. Más allá de permitir el uso de redes sociales cuando significan un negocio, considero que no podemos ponerle barrotes a los usuarios. Ellos ya están empleando estas redes. Es sabido que de 45% a 50% de los usuarios en México usan el horario laboral para interactuar vía Internet, y esto ya es una necesidad para ellos. Para el negocio, incluso considero que es una necesidad desde el punto de vista de la productividad, y para los empleados como estabilidad emocional, pues la gente frustrada será menos productiva, interactuará menos.
Enrique Martínez (Scitum): Para mí, una red social no es confiable. Estoy de acuerdo con Francisco (ProTGT).
Gómez: Las redes sociales. son un tema maisvo y no lo vamos a poder parar; es un fenómeno que está fuera del control de la empresa. Lo que hay que hacer ante esta situación es mitigar los riesgos.
Martín Hoz (Fortinet): La computadora de mi trabajo permite ver películas, pero la empresa no lo permite. Es igual con la red social: en el rabajo hay que hacer lo que es relativo al trabajo.
Ramos: Para mi no es que sea o no posible; es un comportamiento natural. Estamos queriendo controlar la interaccion social, que hoy día y en adelante se dará mediante el social networking. Eso no se puede controlar.
Alejandro Loza (Symantec): Trabajo con jóvenes, y les puedo decir que las redes sociales son una realidad.
¿Cuál es el reto en materia de seguridad móvil: control y manejo de dispositivos dentro de la red, control y manejo de dispositivos fuera de la red, la creciente heterogeneidad de equipos, o ninguno de los anteriores?
Pichardo: A mi juicio, ninguna. Debe ser la cultura de usuarios; con cultura empresarial podríamos resolver los temas aquí tratados. Por ejemplo, mi celular tiene todos los controles, pero mi hija se sabe los passwords, entra y hace lo que quiere.
Gómez: El reto es cómo doy al usuario la información que reuqiere, cuando la necesita y con el dispositivo que tenga a mano. Es muy dificil. A mediano plazo, creo que el reto para los proveedores será cómo unificar las diferentes herramientas y bajarlas al negocio.
Conclusiones.
Francisco Guzmán (Sonicwall): La tecnología es muy importante, pero más lo es centrar toda la estrategia en la gente. Firmar con los empleados acuerdos de confidencialiddad es básico.
Velázquez: La gente es la mayor vulnerabilidad.
Ayala: Yo exhorto a la audiencia a probar las soluciones de seguridad y a forzarnos a los fabricantes a garantizarles que todo lo que promovemos en PDFs y data sheets lo vamos a cumplir.
Ricardo Díaz (Oracle): Por un lado, es prioritario hacer el awareness desde arriba, para gente que no es de tecnología; ahí está el riesgo. Por otro lado, también hay que saber dónde nace la información y cuál es el flujo. Es necesaria una política interna y un líder que diga cómo se va a manejar la empresa, y que le dé dirección en materia de seguridad.
Gilberto Vicente (Cisco): Los especialistas de seguridad no somos policías o réferis. La labor es soportar los procesos de negocio. Debemos entender las nuevas dinámicas en la empresa, y que la tecnología ayude a soportar esos objetivos de negocio.
Ricardo Lira (Ernst&Young): Hoy, una preocupacion muy relevante es que aplicaciones Web, al final del día, están soportando al negocio, y hay muchas vulnerabilidades en tales aplicaciones.
Martínez: La seguridad no es un producto, es una estrategia, así que el socio de negocio que nos apoye en seguridad debe ser un estratega, no un fabricante.
Lawrie: Las herramientas IT solo son herramientas, y como tal no pueden garantizar el éxito. Una iniciativa de seguridad en la organización debe pasar previamente por capacitación y talento de quien usa tales herramientas. Digamos que sí facilitan la vida, pero no la resuelven por completo.
René Cobián (Seguridad de la Información, SI): Necesitamos enseñar a los que no saben.
[...] La fuerza está en el userware Ejecutivos de los principales proveedores de seguridad informática llamaros a los profesionales a priorizar la concientización de la gente proteger la información del negocio. [...]