Si hay un ámbito de las TI que mayores turbulencias padece, y que vive en un proceso de reinvención, ese es el de la seguridad. El acoso cada día más apabullante del malware y la diversificación de las propias infraestructuras tecnológicas hace que las empresas se vean superadas por un fenómeno que va adquiriendo mayor complejidad y que compone un poliedro con diversas aristas. Las empresas necesitan recurrir a los expertos en la materia porque se ven impotentes a la hora de barajar esta situación.
Pero al mismo tiempo, se impone la creación de nuevas reglas de juego entre el cliente y el proveedor de seguridad para que se puedan establecer un mayor control y eficacia de los SLAs, (Service Level Agreements). Las empresas también piden al sector TI un enfoque hacia la monitorización orientada al negocio y que las propias herramientas de seguridad ‘hablen el lenguaje de la dirección’, para que se empiece a tomar conciencia de que la seguridad es un valor para la compañía y un argumento que les otorga confianza de cara al mercado. Este salto a la madurez de un sector que ha vivido a la sombra, fue el leitmotiv de la Mesa Redonda organizada por Computing, organizada en colaboración con Symantec, y en la que participaron responsables de seguridad de Bancaja, FCC, ONO,Mapfre y Produban, así como Penteo ITC Analyst y representantes del fabricante de software.
Precisamente fue Luigi Brusamolino, vicepresidente de EMEA Service Group de Symantec, quien fijó el punto de inflexión que ha experimentado el mundo de la seguridad: “el año 2008 fue el del cambio del paradigma hacia un nuevo modelo de gestión separada de las TI”, explicó. En su opinión, “hay un antes y un después de este año; nuestros clientes europeos consideran muy importante el modelo organizativo y en este nuevo escenario nos piden que la seguridad esté conectada al negocio”.
José María López, Analysis Manager de Penteo ITC Analyst, confirmó la tendencia al alza del mercado de la seguridad, pese al entorno de crisis y es precisamente la seguridad gestionada una de las prioridades de los CIOs para el año 2010. “Se trata de una tendencia embrionaria que va a ser protagonista los próximos meses. Con relación a la seguridad embebida en los procesos, hemos detectado que es una de las asignaturas pendientes. Los SLAs personalizados son algo que puede dar capacidad de interactuar con el cliente para conformar un SLA completo. El cliente debe ser capaz de gestionar el SLA del proveedor no sólo en seguridad sino en todo el plan de outsourcing de su compañía”, explicó.
Gerardo Gómez, director del grupo de Servicios de Symantec Ibérica, apuntó al respecto que la seguridad debe regirse bajo un modelo de seguridad operacional, embebida en todos los procesos y siempre como soporte desde el punto de vista del negocio. La seguridad debe estar en el código genético de cada proceso de negocio, desde el desarrollo del código fuente hasta las políticas y normativas a la hora de implantarlo. “Debe haber un marco de seguridad que soporte de principio a fin cualquier proceso, ya que el cliente quiere acceder a una seguridad gestionada basada en resultados”, explicó. Según Gerardo Gómez, “en vez de recurrir a un SLA (Service Level Agreement) estándar de seguridad gestionada, ofrecemos un SLA que se adecua a los valores que se aportan al negocio. Por ejemplo, en gestión de incidentes al tiempo que reducimos el tiempo de anuncio de amenaza, podemos ayudar al cliente a reducir la gestión de esas amenazas mediante SLAs personalizados”.
En suma, la tendencia es avanzar hacia una seguridad embebida mediante un servicio gestionado personalizado. En cuanto a la necesidad de externalizar la gestión de la seguridad, Miguel Rego, CSO de ONO, afirmó que “es consecuencia de la coyuntura actual, la presión regulatoria y las restricciones del presupuesto. Sin embargo estos servicios de seguridad deben estar centrados en la capacidad de control y eficiencia”.
En este mismo punto se mostró de acuerdo Gianluca D’Antonio, director de Seguridad de la Información y Gestión de Riesgos de FCC, sobre el alza de los servicios gestionados si bien debido a un criterio principal de costes; “lo que se habla de cloud computing va más encaminado a la reducción de costes que a la búsqueda de la eficiencia”. D’Antonio arguyó que “es importante saber leer el SLA y verificar si se cumple lo estipulado en el contrato; no conozco a nadie que haya llevado a los tribunales a un proveedor por incumplir los términos del SLA. Para nosotros, si tienes que sacar del cajón el SLA es que te has equivocado, le has entregado la llave de tu caja fuerte a un proveedor que no ha cumplido y estás atado de manos pues no vas a recurrir al comité de dirección para poner en entredicho tu aptitud”. Por tanto, resulta necesario encontrar nuevos modelos de gestión de servicios que no pasen por contabilizar todo en horas y en detalles accesorios.
En este particular, Miguel Rego de ONO se mostró de acuerdo apuntando la necesidad de crear una ‘ingeniería de SLA’: “lo aconsejable es definir pocas métricas y que sean muy claras las penalizaciones”. José María López de Penteo, comentó al respecto, que “lo que nos cuentan los CIOs es que no disponen de instrumentos eficaces para hacer un seguimiento exacto de los proveedores y nadie se atreve a llevar a los tribunales a ‘los proveedores de su core business’”.
En cambio, el representante de Penteo considera que el driver principal del outsourcing no es el ahorro de costes. “Hay aspectos relacionados con la complejidad y la expertise del proveedor que pesan a la hora de decantarse por los servicios gestionados. Y en otros casos se produce una subida de costes”, argumentó. Por su parte, Andrés Peral, subdirector de Seguridad en Infraestructuras de Mapfre, adujo que la seguridad ha cambiado sustancialmente. “Para el sector Seguros no es tan drástico como para la banca, pues donde no hay seguridad, hay alguien que se está llevando dinero”, explicó. “No obstante”, añadió, “en nuestras compañías el panorama es complicado, pues se ha evolucionado de una situación en la que había unos pocos frikis que querían notoriedad a otra en la que la seguridad corre a cargo de consultores y gente con corbata. La gestión de la seguridad cuesta dinero a las organizaciones y existe una preocupación en la sociedad por su información. Esto nos mete una presión adicional a las compañías”. A esta problemática también se refirió José Díaz Lifante, gerente de Seguridad Lógica de Produban, quien comparó el desarrollo TI con la historia del coche. “Empezó con cuatro locos en un garaje y hoy no tiene nada que ver con el principio. Hemos pasado de una época donde sólo se preocupaban por la seguridad de las máquinas unos pocos científicos y técnicos hasta un momento de mayor madurez donde se habla de gestionar la seguridad y alinearla con el negocio”. A su modo de ver, “se precisa una seguridad basada en resultados que pase la certificación ISO correspondiente. Es necesario balancear entre presupuesto TI y resultados con el objetivo de alinearte con el negocio”.
Francisco Martínez, director de Arquitectura de Redes de Bancaja, cambió el hilo argumental introduciendo la idea de involucrar a todos los agentes de la industria: “la seguridad es patrimonio de todo el sector, no debemos competir sino colaborar entre todos los implicados. Si alguien tiene un problema, repercute en todo el mundo. Cuando un avión tiene un siniestro, nadie piensa en la marca, se cuestiona la seguridad de los aviones en general. A los proveedores les pedimos uniformidad pero siempre transparencia en la información”. Brusamolino, por su parte, achacó la transformación de la seguridad a dos factores clave: la condición económica del mundo es diferente por su interacción global y existe un aumento exponencial de las amenazas.
Sólo en 2008, Symantec detectó más malware que en los 17 años precedentes. El directivo italiano cuestionó el término ‘outsourcing’ por su contradicción teórica con la seguridad, dado que se trata de una competencia interna de la compañía. “Pero el proceso de servicios gestionados es un viaje sin retorno; según nuestros datos, el 77 por ciento de las compañías contemplan esta modalidad dentro de sus estrategias. El motor del cambio no sólo reside en la reducción de costes sino en la complejidad de la seguridad. Es muy difícil contar con expertos en las organizaciones, es imposible gestionar la seguridad si no cuentas con un socio tecnológico que te ayude a gestionarla”, aseguró.
¿Pero se está invirtiendo lo suficiente en seguridad? Según adujo el consultor de Penteo, “en el pasado se ha invertido mucho con un componente de gestión y estrategia débil; coincidimos en que las principales barreras a los proyectos están en la reducción del presupuesto y los aumentos de los precios”. Es el momento de la gestión de la seguridad, de parar y sentarse a analizar la seguridad operacional, los procesos, las políticas, etc. “Estamos verdes en general, aunque algunos sectores han avanzado más en este camino”, sentenció. Efectivamente, se ha pasado a otra esfera en donde se revierte el papel de la seguridad.
Así lo expresó José Díaz de Produban: “las TI cambian la forma en que trabaja la organización, y ésta puede dedicar más tiempo en otras cosas que costaban dinero. La seguridad es cara pero aporta un valor intangible”. El CSO de ONO relativizó el precio de la seguridad: “la seguridad es cara pero es el valor del negocio y fuente indirecta de ingresos. Se venden los coches más seguros y la banca on line no cuaja si no concita ‘eConfianza’. El concepto de la seguridad debe incluirse en los anuncios, en las ventas y en el marketing. Debemos quitarnos complejos, nuestro rol debe ser de negocio”. D’Antonio abundó en la misma idea: “la seguridad es una inversión no un coste. Se puede vender seguridad, tenemos que cambiar, vender la seguridad en el negocio para que sea un valor”.
¿Pero qué le piden los clientes a los proveedores que gestionan su seguridad? José Díaz lo describe gráficamente: “se puede delegar la actualización de un antivirus, el escaneo de malware, pero ¿cómo se delega la seguridad, quién se va a pasar la noche sin dormir pensando en la vulnerabilidad de su compañía? La empresa externa te avisa que tienes ataques pero no se delega la preocupación”. Aquí intervino el CSO de ONO: “monitorizar tiene que ser para algo. Ver miles de eventos agregados no aporta valor. Cómo se adquiere la información, de dónde se recoge… aquí hay un punto de fricción con el CIO. Los sites de introducción de datos no deberían ser intrusivos. Deberíamos tener capacidad de prevenir y más que detectar, y es ahí donde está la complejidad. Una vez que hemos sido capaces de resolver el tema de la adquisición de los datos, tenemos que poder crear reglas de remodelación que aporten auténtico valor. Tienes que tener un gran conocimiento del negocio para ser capaz de convertirlo en una regla de correlación. Las reglas del malware las hace cualquiera, pero a lo mejor el valor que estamos aportando al negocio no es suficiente. Hay poca madurez y hace falta mucho conocimiento del negocio”.
Francisco Martínez de Bancaja ironizó con una percepción general: “la seguridad es importante cuando aparecen los problemas. Cuando hay un problema de seguridad, el problema es para la compañía. Yo creo que el gran error es que no estamos monitorizando lo que se debe sino lo que se puede. Los proveedores desarrollan herramientas que monitorizan algo y te convencen. Pero si yo doy préstamos, es más importante que funcionen los préstamos a que se cuelgue un disco duro”.
El responsable de Mapfre trazó un símil del mundo de la seguridad con el del desarrollo de software: “antes los programadores eran empleados, ahora son analistas funcionales y el desarrollo se subcontrata. En producción ha pasado algo parecido. En seguridad empezamos diciendo que el que opera el firewall era empleado. Pues no, vamos a evolucionar y vamos a dar más madurez a esos procesos de seguridad y tratemos de que la ‘capa de gestión’ sea empleado. Es esa la que tiene la responsabilidad que no se puede delegar, es quien se tiene que preocupar de que todo esté funcionando bien”. Y es que gestionar un empleado de seguridad es muy complicado, ya que hay que darle expectativas profesionales, formación. etc. En su opinión, “los servicios gestionados no resuelven el coste pero sí los problemas de gestión de personal”.
D’Antonio pidió a los fabricantes que los servicios aporten inteligencia, “luego ya iremos a la consultoría para integrar el servicio. Estos servicios deben entender nuestro negocio. Por ejemplo a la hora de establecer un DLP la parte más compleja no es la tecnológica, lo difícil es entender cuáles son las reglas. Ya no tiene sentido el perímetro, se ha pasado de la seguridad de la infraestructura a la del dato. No necesitamos técnicos sino personas que entiendan el negocio y sepan qué datos hay que asegurar. Esto pasa por una fase denominada ‘Data Clasification’, algo que en España no se hace. Me gustaría que los proveedores nos echasen una mano en este punto, yo sueño con un asistente de clasificación. Que el DLP empiece a incorporar inteligencia de negocio”.
De nuevo intervino el representante de Mapfre, para señalar que las herramientas no hablan el lenguaje del negocio. “Ahora hemos dado un paso más con la monitorización de aplicaciones, que monitoriza que las aplicaciones (préstamos, pólizas, etc.) funcionan y que realmente cumplen la función para la que están y eso lo puede entender el negocio. Un paso ulterior es que esas transacciones sean seguras y esas son las que hablan el lenguaje del negocio, como son la prevención de blanqueo de capitales o del fraude”.
La monitorización debe ser útil y esto depende de un punto fundamental, tiene que ser dotada de información externa, de lo que está pasando fuera. “Symantec cuenta con una red de inteligencia global que nos diferencia de otros proveedores. Tenemos que confrontar la información que tenemos dentro con la que viene de fuera, de esa manera somos más efectivos y más proactivos”, explicó Gerardo Gómez. En 2008 hubo 1,6 millones de ataques y con la crisis el malware campa a sus anchas. Ya no se ataca a un sistema, se ataca a una persona. “Para nosotros lo importante es cambiar el modelo y lo hemos cambiado en dos aspectos: vamos a proteger el dato, sé dónde está y cómo se mueve. El 70 por ciento de los empleados que se van de una empresa se llevan datos consigo y los utilizan. El segundo punto importante es nuestra tecnología Quorum para el diseño de listas blancas, que nos permiten trabajar con los buenos. Así todo lo que no sea bueno lo ponemos en entredicho. Queremos avanzar a un modelo donde el SLA no lo marque el consultor o el fabricante. El KPI no debe ser un valor operativo sino un valor del negocio. La tecnología y la seguridad aportan de forma indirecta al negocio”, concluyó el responsable de Servicios de la compañía de seguridad.