domingo, 7 de marzo de 2010

RSA Conference 2010 - La apuesta de los fabricantes

La conferencia fue una oportunidad para conocer de primera mano los avances y reflexiones que los diferentes proveedores de la industria de seguridad de la información están desarrollando y cuáles son las perspectivas futuras en las cuales se están preparando.

Los temas de computación en la nube, dispositivos móviles, ambientes virtualizados, consideraciones legales de la seguridad y el factor humano fueron temas destacados y ampliamente comentados durante las diferentes sesiones. No obstante lo anterior, los elementos de ciberseguridad y recientes ciberataques fueron igualmente presentados por las autoridades nortamericanas como son el DHS – Department of Homeland Security y el Coordinador de la estrategia de ciberseguridad, que le reporta directamente al Presidente de los Estados Unidos de América.


Cloud Computing: El reto de los proveedores

Según el CEO de RSA, Art Coviello, la computación en la nube es la madurez requerida del área de tecnología para dar cumplimiento a los exigentes y demandantes requerimientos del negocio en términos de agilidad, oportunidad y celeridad en el despliegue de las soluciones de TI. Una computación por demanda, ajustable y elástica con las necesidades de los clientes, así como una homogénea estrategia de ajuste y pago por exclusivamente aquello que se use, ofrece a las organizaciones modernas, economías de escala que amplían lo que ya se había alcanzado con las estrategias de outsourcing o tercerización.

En este contexto, desde el punto de vista del negocio de TI, ya no debería ser problema directo de TI las condiciones desgastadoras del servicio, relacionadas con aprovisionamiento de usuarios, disponibilidad de servidores y redes, configuración de equipos o puesta en marcha de lugares de trabajo, pues existe un tercero con reglas claras de servicio y alcance de su labor. Mientras más sencilla sean las condiciones de operación y disposición de las tecnologías de información, menos interpretaciones habrá y mayores beneficios se pueden obtener de la relación con el tercero.

Es claro, que esta estrategia tercerizada deberá contemplar un fino y delicado análisis de riesgos que implique no solamente la operación y administración de la infraestructura, sino un aspecto fundamental como lo son los flujos de información del negocio que utilizan dicha infraestructura. Los datos e información se convierten en la “oportunidad” para encontrar puntos de apoyo y aseguramiento de la infraestructura que permitan tanto a cliente como a proveedor estar tranquilos por “cómo se manejan estos activos” y “cómo deben funcionar la operación para darle cumplimiento a las expectativas de cliente”.

Los resultados del análisis de la estrategia de tercerización deberán articular riesgos operativos, conocidos y administrados como parte de la función de tecnología de información interna de una compañía, como son entre otros: administración de la disponibilidad, control de acceso, control de cambios, administración de vulnerabilidad, administración de parches, administración de incidentes, monitoreo y seguimiento de uso, seguridad física, cumplimiento regulatorio, así como los derivados del nuevo alcance propuesto por la nube: multi-tenencia (datos de muchos clientes, en espacios físicos concurrentes), flujo de información corporativa en las redes, privacidad, transparencia y oportunidad en el aseguramiento y cumplimiento de auditorías de seguridad y control.

Esta realidad en la nube pone de precedente una nueva forma de hacer las cosas y de repensarlas de manera diferente, pues se hace necesario abrir el potencial del área de TI con el negocio, para que finalmente llegue más rápido a cumplir las expectativas de los cliente y se aseguren los flujos de información que circularán en la infraestructura del tercero. Esto sólo será posible si logramos poner en una vista holística lo que requiere el proveedor, lo que exige el cliente y cómo aseguramos un gobierno de esta relación que vincule las responsabilidades de la organización, en cuanto a definir con claridad que se espera del tercero y cómo el tercero, mantienen altos niveles de aseguramiento y control que confirme la confianza necesaria entre las partes para tener una relación exitosa.


Los móviles: El reto de un nuevo perímetro extendido

Los dispositivos móviles son, en complemento con lo anterior, el reto de mantener comunicados y conectados los negocios y las personas. Las comunicaciones móviles son la forma natural en el siglo XXI de estar en sintonía con la realidad del mercado y las personas. En este sentido, mucho se revisión en la conferencia frente al uso, aseguramiento y control de esta tendencia, que a continuación se detallan algunas de ellas

Twitter, facebook, la mensajería instantánea en general ofrece un lenguaje concreto y real para las organizaciones modernas. No se puede concebir, al menos en los Estados Unidos de América, una persona que no se encuentre conectada. Esto es, existe una nueva generación que basa su productividad en mantener “al día” “en conexión”, con información todo el tiempo. En este orden de ideas, desde la mirada de la seguridad de la información, se desvanece la figura de perímetro de seguridad como lo conocíamos y se despierta la distinción de una desperimetralización o mejor perímetros porosos y en manos de las personas.

Esta nueva realidad, les dice a los encargados de la seguridad de la información, que deberán educar y avanzar en la transformación de comportamientos de las personas, frente al manejo de la información y hacer de ella, un elemento valioso como el dinero, las joyas, el auto o su vida. Así las cosas, los comportamientos seguros, las guías de aseguramiento de dispositivos móviles y las prácticas de seguridad de la información deberán estar en la primera línea del programa de seguridad de las organizaciones, no como algo que seguridad de la información tiene que hacer, sino como aquello sin lo cual continuar la operación de negocio sería muy riesgoso en el mediano y largo plazo.

Los dispositivos móviles son el nuevo reto de la seguridad de la información frente a amenazas como la fuga de información, el código malicioso y la ingeniería social, pues la ingenuidad humana, la confianza excesiva en los dispositivos inalámbricos y una inadecuada higiene informática son aquellas cosas que implican abrir la caja negra del comportamiento humano y su relación frente a un entorno agreste e inseguro como el actual.

La virtualización: La nueva base de gestión de la infraestructura
De otra parte tenemos la virtualización, como la estrategia para “hacer rendir” los recursos computacionales de las empresas. Esta estrategia hace que la infraestructura tenga flexibilidad para recibir o configurar diferentes sistemas operacionales en máquinas virtuales distintas, en un mismo servidor. La estrategia de virtualización es exitosa cuando: (VELTE, A., VELTE, T. y ELSENPETER, R. 2010, pág.10):
• Se comparten sistemas computacionales entre múltiples usuarios
• Se aíslan usuarios de otros y de programas de control
• Se emula hardware en otras máquinas

La virtualización es la base conceptual sobre la cual se desarrolla la estrategia de computación en la nube. En este sentido, el balance entre seguridad y flexibilidad se vuelve sensible, cuando ésta (la virtualización) se hace a gran escala tanto dentro como fuera de la organización. En este mundo virtualizado la seguridad propia de los elementos que hacen posible la virtualización, como son entre otros, el Hypervisor, la máquina virtual y las guías de aseguramiento propias de estos programas, no se han detallado lo suficiente, generando incertidumbre en las bases de la estrategia misma, que podría verse comprometida con ataques sofisticados que puedan impactar la infraestructura de las empresas.

La diligencia en seguridad de la información: Una cuestión de riesgos
De otro lado, escuchar hablar a los abogados sobre seguridad de la información y el uso de los estándares de seguridad a la fecha y demás regulaciones emergentes que exigen aseguramiento de la información, se puede entender claramente que una es la responsabilidad legal propia de las funciones de negocio de una empresa y otra la aplicación de la buena práctica en seguridad de la información.

Es posible tener una buena práctica de seguridad de la información y no cumplir con la responsabilidad legal exigida por la organización. La idea para mantener alineada estas dos distinciones es reconocer claramente los riesgos propios de los flujos de información del negocio, donde se advierte claramente las posibles brechas e impactos en la seguridad de la información y las prácticas requeridas para mitigar tales riesgos. En este sentido, es posible que no se necesite la certificación de un estándar de seguridad, sino el aseguramiento sistemático de prácticas, alineadas con la buena práctica que permitan conjurar los niveles de exposición de los riesgos de la información en rangos aceptables por los dueños de los procesos.

En este contexto, la debida diligencia (due care) en seguridad de la información, es claramente un balance de los riesgos identificados por la organización en sus flujos de negocio, cómo las áreas mitigan esos riesgos y cómo el área de seguridad asegura el cumplimiento de las prácticas de seguridad y control diseñadas para tan fin. Estos resultados revelan finalmente, que si bien lo que legalmente es suficiente para probar una debida diligencia, no es necesariamente equivalente a lo que exigen las buenas prácticas internacionales.

El factor humano: el reto de una seguridad usable
No podemos concluir este reporte sin reconocer con claridad la necesidad imperiosa de trabajar con el elemento más importante de la seguridad, la persona humana. Ella es la fuente de las diferentes manifestaciones de la inseguridad, luego de las fallas propias de la tecnología o el software diseñado para protección de la información. Los ponentes establecen la necesidad de estudiar la psicología de la seguridad, cómo un elemento clave para el diseño y uso de la seguridad misma. Esto es, no es posible usar o entender la seguridad, sin comprender el lenguaje, percepción y entendimiento de la seguridad en los individuos.

Anotan los investigadores, que muchas veces los controles se superan (se sobrepasan) pues no están diseñados para ser usados y entendidos por las personas, sino para ser confrontados y cuestionados, dado que no son instalados en el contexto de su realidad y percepción. Sin embargo, es importante anotar que los panelistas reconocen que puede existir resistencia inicial sobre el tema, pero se puede suavizar en la medida que los participantes comprendan y reconozcan los riesgos y sus implicaciones en el contexto de sus negocios.

Ciberdefensa: un reto de país
Finalmente y no menos importante, se hizo énfasis en la necesidad de una estrategia conjunta entre el gobierno y el sector privado para construir una estrategia de ciberdefensa nacional que implica, aseguramiento y protección de la infraestructura crítica del país, así como una gran ofensiva y despliegue de buenas práctica de seguridad y control en los ciudadanos de la nación, pues reconocen que sin estas dos aproximaciones, habrá mayor espacio para materializar ataques mayores y con peores efectos, a los ya mundialmente conocidos adelantados en contra de Google y de 196 países, donde se encontraba involucrada una gran Botnet internacional.


Referencia:
VELTE, A., VELTE, T. y ELSENPETER, R. (2010) Cloud computing. A practical approach. McGraw Hill.