Conscientes de la trascendencia que tiene la seguridad dentro del ámbito de las TIC, COMPUTING España, en colaboración con Symantec, ha organizado un encuentro exclusivo con los responsables de seguridad de los sectores bancario, público, utilities, comunicaciones y servicios, que han debatido sobre la fuerte evolución que va a experimentar el ámbito de la protección ante tendencias como el imparable avance de la movilidad, la convergencia entre el mundo personal y profesional, y el cloud computing.
Tendencias como el cloud computing o la movilidad están generando la necesidad de adoptar soluciones de seguridad y gestión de la información, en concreto, en el ámbito de los EndPoint (incluyendo no sólo el PC, también smartphones y tablets) claves para garantizar el acceso de los usuarios a la información y la operatividad confidencial tanto de los individuos como de las organizaciones. Bajo este contexto se desarrolló la Mesa Redonda que COMPUTING ha organizado en colaboración con Symantec, en la que quedó manifiesto cómo la convergencia del mundo personal con el profesional, la era post-PC y la llegada del cloud están transformando el panorama de la seguridad.  
Uno de los primeros aspectos que se trató durante esta tertulia fue el desalineamiento existente entre la percepción que los proveedores tienen de las necesidades de seguridad de sus clientes, y las exigencias reales de estos. Gabriel Martín, director general de Symantec España, así lo evidenciaba. “A través de una empresa auditora preguntamos a los proveedores qué piensan que están haciendo los clientes; luego preguntamos a los clientes, y la verdad es que coinciden muy poco, lo que demuestra que no hablamos lo suficiente o no captamos bien los mensajes. Una obsesión mía es estar en contacto con los clientes porque la seguridad va a dar un vuelco muy importante cambiando el planteamiento. Se están abriendo nuevos retos que exigen nuevas formas de trabajar y filosofías, y tiene que ver mucho con los dispositivos móviles. Hay incluso clientes que ya están intentando ver cómo es trabajar sin PC. Si cambian las necesidades y la forma de trabajar lógicamente tiene que cambiar la forma de protegerse. La seguridad ha evolucionado relativamente poco en los últimos años comparado con lo que va a cambiar en los próximos. Si eso es así, la dirección correcta a seguir es conocer lo que los clientes necesitan más que lo que los proveedores planteamos. Y para evitar ese desencuentro hay que escuchar sus filosofías, necesidades, lo que echan en falta en los productos…”
Rafael Hernández, responsable de Seguridad Lógica de Cepsa, compartía esta opinión afirmando que hoy en día está cambiando la percepción de la seguridad. “El desencuentro que hay entre proveedores y clientes es una lucha y es una situación complicada. Las necesidades de hoy son las de multidispositivo, multiconectividad, recursos en la nube, cumplir con más leyes, proteger mayor cantidad de información… es un juego complicado. El mundo tridimensional ya lo hemos perdido, ahora estamos en el cuatridimensional. Cuando yo empecé en la informática una empresa como Digital era la número uno en el mercado e hizo lo mismo que ahora hace Apple. Estamos en la misma situación, hemos vuelto a unas empresas que venden dispositivos que dan conectividad pero no venden seguridad. Es una situación de cambio, complicada y veremos a ver cómo evoluciona”.
Obviamente este tipo de tendencias están generando nuevas necesidades entre los profesionales de seguridad, que ven cómo aumentan los riesgos ante el avance imparable del uso de terminales móviles personales en el ámbito de trabajo, y la apuesta decidida de sus organizaciones por los servicios cloud. “Estamos yendo hacia un modelo que para trabajar con información digital lo que se necesita es un terminal”,apuntaba Carlos Alfonso Pérez, responsable de Ingeniería de Seguridad del Grupo BBVA.“En este sentido, hay muchas tendencias que demuestran que la informática personal se está utilizando también en el entorno profesional. Los iPads, por ejemplo, son un concepto de usar y tirar, y enseguida se cambiarán por otra cosa. Están más pensados para el consumo doméstico, son más sencillos de usar, por eso se están imponiendo tanto, y sin duda están cambiando la forma de trabajar. Nosotros, por ejemplo, estamos haciendo pinitos para trabajar sin PC, y más con iPads y otros terminales. Por otro lado, esta transformación lleva aparejado el tema de la nube pública, ya que no importa tanto dónde está alojada la información sino cómo trabajar con ella, consumirla de manera sencilla y rápida, y poder colaborar no sólo dentro de la organización, también con clientes y proveedores externos. Y esto está complicando bastante el escenario de la seguridad”.
 
En este punto, Juan Cobo, CISO de Ferrovial, denunciaba que la seguridad siempre va un poco por detrás de las tendencias de TI, “tratando de poner puertas. Lo que es nuevo es la apuesta indiscutible por la movilidad, la convergencia del mundo empresarial y personal, y los modelos de cloud computing. Antes, demandábamos una solución EndPoint integral con una única visión de antimalware, cifrado, control de dispositivos, NAC… y eso empezamos a encontrarlo ahora en el mercado. Pero hoy, estamos en la era post-PC y estas soluciones no son del todo válidas porque estamos apostando, decididamente, por la movilidad, un escenario de alto riesgo y al que hay que hacer frente. El negocio tiene unas necesidades, hay que atenderlas lo más rápidamente posible, y en ese contexto la seguridad suele llegar tarde”.
La mayoría de los asistentes coincidían en que efectivamente vamos hacia un mundo de movilidad donde todo está on line, se puede estar conectado en cualquier lugar y acceder a la información tanto personal como profesional… por lo que los retos para los responsables de seguridad también han cambiado. Eduardo Medrano, director global de Seguridad y Sistemas de Red de Telefónica, aseguraba en esta línea que al final su función es proteger la información sensible de la compañía o los datos privados de las personas.“Bajo este aspecto, al contrario que sucede en el PC donde la gente está mentalizada de la protección y a nadie se le ocurre trabajar sin antivirus, en el caso de los dispositivos móviles no sucede así ya que el usuario no es consciente de que lo que realmente está haciendo es trasladar la funcionalidad del PC al terminal móvil. Por tanto, hay que mentalizar al usuario de este tipo de dispositivos que también tienen que protegerlos. No se puede conectar un equipo a la red sin las mediadas adecuadas de protección. El usuario cree que está utilizando un teléfono móvil pero el riesgo que asume es mucho mayor porque son dispositivos que se mueven también fuera del contexto del trabajo. El planteamiento es proteger esos dispositivos como se protege el puesto de trabajo, y esto hay que trasladarlo a la industria. Otro aspecto importante a considerar son las redes sociales, ya que nos exponemos de forma no conocida a ciertos riesgos. Quizás en la empresa se puede concienciar al usuario pero al gran público es complicado. Es una solución compleja porque entre la usabilidad y la seguridad hay un punto de equilibrio que varía”.
Respondía a esta llamada Miguel Suárez, responsable de la práctica de Seguridad de Symantec, aclarando que en cuestión de amenazas,“la infraestructura que soporta esa información se está transformando y nosotros, como fabricante, tenemos el reto de proporcionar a esa infraestructura una plataforma de seguridad clara y potente. Siempre hemos evolucionado las soluciones para proteger la información. Symantec en ese sentido busca proteger la infraestructura y dar soporte a la información. Es difícil que converjamos inicialmente pero hay caminos alternativos, en los que estamos trabajando, para minimizar esos riegos”.
A pesar de esta declaración, Tomás de Lucas, jefe del área de Comunicaciones del Ministerio de Educación, seguía suscribiendo la opinión de los demás participantes en que la seguridad va detrás de la tecnología. “A los fabricantes de iPads les preocupa vender, no la seguridad de la información; y vosotros, como fabricante, también tenéis que retroalimentaros para poder ofrecer una solución. Con respecto a la seguridad dentro de la Administración Pública, hemos hecho un análisis en base al Esquema Nacional de Seguridad para detectar aquellas cosas que deben reformarse. Para nosotros, la seguridad nunca ha sido un elemento fundamental como en la banca; aunque en ciertas instituciones tiene más importancia, como en Defensa. Pero en Educación hemos ido incorporando las herramientas que han ido saliendo. No estamos muy mal pero sabemos que deberíamos ir evolucionando. Todos estos dispositivos móviles que están apareciendo nos están afectando sin duda, pero tenemos que ir protegiéndonos. Todos vamos en la misma línea”.  
VIRTUALIZACIÓN VS AMENAZAS
Aludían los presentes que la mayoría de los terminales móviles que se encuentran en el mercado tienen una preocupante falta de seguridad, bien por su diseño bien para no interferir en su usabilidad. Además, afirmaban que no se trata de cubrirla trasladando las diferentes soluciones de protección que actualmente existen para el PC, ya que se trataría de un parche inservible puesto que las capacidades de computación y procesamiento de dispositivos como los tablets y smartphones son bastante inferiores, y por tanto, incapaces de asumir los recursos que consumirían dichas aplicaciones de seguridad.
Jesús Milán, CISO de Bankinter, así lo expresaba. “Al PC le ha costado 30 años tener varias capas de seguridad, y eso hoy por hoy en los terminales móviles no existe. El diseño no está pensado para la seguridad, sino para la usabilidad. Además en esos dispositivos no se pueden meter todas las capas de seguridad que tiene el PC tradicional porque no funcionarían y/o agotarían la batería. Por diseño no es igual de seguro que un PC, pero no sólo de hardware, también del sistema operativo. Si pensamos que estos terminales son el futuro, ¿podemos extrapolar la seguridad del PC a los dispositivos móviles? No. Hoy por hoy no hay seguridad en ellos, y si tienen algo, es muy básico. También es cierto que las amenazas no son comparables tampoco entre el PC y el dispositivo móvil, pero eso va a cambiar y como cada vez se usan más para temas de alto valor como la banca on line, correos empresariales, acceder al puesto de la empresa… empiezan a tener alicientes para los hackers que buscan fines lucrativos. La situación no es buena ni halagüeña. Sin embargo, para aumentar su protección, actualmente se puede hacer uso de soluciones ya existentes como la virtualización, que ayuda a acceder a la información de una manera más segura. Con los recursos que ahora tengo esta es la posibilidad que planteo y considero más sensata. En Bankinter, desde luego, es hacia donde vamos”.
“Siento pánico ante la situación que se avecina”,apoyaba Gabriel Arriero, de la Subdirección General de Tecnología de Información y Comunicación del Ministerio de Defensa. “Vemos que las cosas van más deprisa de lo que nosotros queremos. Cuando vamos a proteger el terminal porque ya tenemos la solución, surgen otras cosas. Con los dispositivos móviles estamos todo el día conectados, trabajando incluso desde casa; y desde el punto de vista del negocio, hay organizaciones que quieren que eso siga adelante. Pero para instituciones como Defensa es un enemigo porque es vital que la información esté protegida. Tengo miedo y a ver qué nos deparará todo esto. A la banca le puede interesar para ganar dinero, pero para nosotros es un problema muy serio y de momento no sabemos cómo afrontarlo. Cada vez se mezcla más el ámbito personal y el profesional, y mucha gente lo confunde. Concienciar de este tema va a ser complicado”.  
Otro de los grandes retos de seguridad que está generando la movilidad, planteado durante la tertulia, es el cambio en el tipo de usuario de tablets y smartphones en el entorno laboral, más ligado a los altos directivos. “Al final, el prototipo de usuario ha cambiando más que la tecnología en sí”,comentaba Javier Martínez, IT Specialist de NH Hoteles.“El perfil de usuario que quiere o tiene un iPad o iPhone para trabajar suele ser medio-alto. Por tanto, son usuarios, como presidentes o consejeros delegados, a los que no se les puede decir que no. En ese aspecto, nosotros intentamos seguir la tendencia de ‘conéctate a mi entorno virtual pero la información local en tu dispositivo es de tu responsabilidad´. El perfil y educación del usuario es fundamental, pero no hay que olvidar proteger la información, más que el terminal. La gente debería ser consciente de que todo dispositivo con una IP conlleva unos riesgos de seguridad muy importantes y yo siempre he pensado y sigo pensando que hace falta formación media para los usuarios generales, porque los perfiles tienen que evolucionar también con la seguridad”.
PROTEGER LA INFORMACIÓN
Ante problemáticas como la desencadenada en Wikileaks, en la que un perfil no adecuado tuvo acceso a información clasificada que no debía ver, o la falta de mecanismos de seguridad en el diseño de los terminales móviles y de concienciación entre los usuarios, proteger la información se presenta como el reto más difícil, pero también el más necesario.
Eduardo Medrano de Telefónica destacaba en este sentido, que“en el ámbito empresarial la línea de seguridad tiene que ir más allá; aparte de proteger el PC hay que hacer un ejercicio muy importante de mentalizar y formar a la gente, y en el entorno residencial, este tema se complica. Hay que educar a la gente desde el colegio como se hace con la Seguridad Vial. Yo creo que los dispositivos móviles deberían llevar por diseño unos mecanismos de protección suficientes. Pero es un problema a tres ejes: educativo, tecnológico y de reglamentación. Además esto tiene un coste adicional porque el tecnológico no lo resuelve solo”.
Una solución a estos retos de seguridad y que además ya existe puede ser la virtualización como también planteaba Gabriel Martín de Symantec. “Yo he hablado con algunos clientes y están proponiendo ir a un entorno virtual. El terminal puede ser tonto porque lo que hay dentro del dispositivo no hay que protegerlo, sino concentrarse en el núcleo que es la información. Lo que haya dentro del terminal como fotos, documentación personal… es responsabilidad del usuario. Por ello, la información importante además de protegerla, hay que descubrirla. Hay muchos datos que están en sitios donde no deben estar. En cuanto a la formación de los usuarios, obviamente es la directiva quien tiene que empezar con esa concienciación. Yo creo que la educación de la gente es una componente importantísima, pero no es suficiente, también hay que poner barreras. Si impides que la gente se lleve información, estarás más seguro”.
Rafael Hernández de Cepsa también mantenía esta visión. “Se puede protocolizar la conexión a la red empresarial con virtualización, accesos seguros… pero al final la información hay que protegerla, clasificarla y darla la importancia que tiene; y eso choca con el perfil de usuario, que son los que manejan la información más sensible de la compañía. Hay que distinguir entre información personal y profesional, y para ello hay que clasificar los datos y ponerles los accesos determinados par que no salgan del entorno protegido del CPD o de la nube”.
EL CONTROL EN CLOUD COMPUTING
Otra de las tendencias que junto con la movilidad está provocando serios quebraderos de cabeza en cuanto a la seguridad es el cloud computing, una tecnología cada vez más asentada entre las empresas españolas. Por ejemplo, para Ferrovial, que está inmerso en dos proyectos de externalización, de las comunicaciones y la infraestructura tecnológica, es una cuestión de control. “Cuando te ofrecen servicios de forma deslocalizada, el escenario se vuelve más complejo y el modelo de control cobra un papel protagonista”,explicaba Juan Cobo. “Es un escenario nuevo y está abierto a nuevos riesgos. Por eso los servicios de auditoría y el establecimiento de niveles de servicio en el contexto de la seguridad son tan importantes. Además, hay proveedores que, de partida, no dan muchas opciones; es el todo o nada. Debemos ser capaces de adaptar y modelar los servicios ofrecidos conforme a nuestras necesidades”.
Pero a la hora de externalizar o adoptar servicios cloud no todos los proveedores actúan de la misma manera. En este sentido, Gabriel Martín de Symantec, observaba que en su caso particular“nosotros tenemos una división de servicios bastante activa en diversos frentes, y uno de los aspectos que entendemos es que el contrato tiene que ser local y estar bajo el amparo de la ley española. En lo que respecta a la localización del servicio, está relacionado con partners españoles para que el servicio pueda ser más localizado y a la carta; y en seguridad constantemente auditamos el proceso y las normas de seguridad. Todo lo que rodea al correo siempre genera preocupación y es normal que la gente quiera saber qué se está haciendo. Además, en el tema de los SLA es una exigencia razonable que siempre incluimos en nuestros contratos”.
 
La era post-PC y el mundo cloud, principales preocupaciones entre los CISO españoles
Conscientes de la trascendencia que tiene la seguridad en el ámbito TIC, COMPUTING España y Symantec han organizado un encuentro exclusivo con responsables de seguridad.
Publicado el 18 Mar 2011
Temas
Canales
Artículo 1 de 2