Making Leaders Successful Every Day

Transcripción

1 12 de enero de 2012 Guía para Directores de Seguridad de la Información (CISO) sobre seguridad en entornos virtuales por Rick Holland para profesionales de seguridad y riesgos Making Leaders Successful Every Day

2 Para profesionales de seguridad y riesgos 12 de enero de 2012 Guía para Directores de Seguridad de la Información (CISO) sobre seguridad en entornos virtuales Póngase en marcha y observe su entorno virtual por Rick Holland con Stephanie Balaouras, John Kindervag y Kelley Mak Resumen ejecutivo En los centros de datos de hoy en día, a menudo el departamento de TI virtualiza las nuevas aplicaciones y cargas de trabajo de manera predeterminada. La virtualización se ha convertido en la norma; mientras que implementar un servidor físico es ahora la excepción. A pesar de que la tecnología está madurando y de que poco a poco va siendo adoptada por las empresas, los responsables de seguridad aún no se centran lo suficiente en los aspectos de la seguridad de los entornos virtuales. Dada la convergencia de los entornos virtuales, los incidentes de seguridad pueden ocasionar importantes daños; por lo que es de vital importancia que los profesionales de seguridad intensifiquen sus esfuerzos y tengan como prioridad la seguridad de su infraestructura virtual. Esta guía describe los retos de seguridad de los entornos virtualizados y muestra cómo aplicar los conceptos del modelo Zero Trust de Forrester sobre la seguridad de la información para proteger de manera eficaz el entorno virtual. Índice El nivel de seguridad de la virtualización queda a la zaga de las operaciones Los incidentes de seguridad en un entorno virtual pueden ser desastrosos Los profesionales de seguridad se ponen al día con la virtualización Todo el mundo conoce las ventajas de la virtualización, pero no sus riesgos Más vale tarde que nunca: Cómo entrar en el juego de la seguridad de la virtualización Elimine los puntos débiles de su entorno virtual Tenga en cuenta la tecnología de seguridad de la virtualización Tome un enfoque Zero Trust para la gestión de identidades con privilegios Incorpore la gestión de vulnerabilidades a su entorno virtual Aumente el conocimiento que tiene su equipo sobre la virtualización NOTAS Y RECURSOS Forrester a entrevistado a empresas proveedoras y a empresas usuarias de entornos virtualizados; incluyendo a expertos en seguridad y riegos y a arquitectos de redes empresariales. Documentos de investigación relacionados Pull Your Head Out Of The Sand And Put It On A Swivel: Introducing Network Analysis And Visibility 24 de enero de 2011 No More Chewy Centers: Introducing The Zero Trust Model Of Information Security 14 de septiembre de 2010 Fear Of A Hyperjacked Planet 16 de octubre de QUÉ SIGNIFICA? Colabore estrechamente con sus compañeros de TI 10 Material adicional 2012 Forrester Research, Inc. Reservados todos los derechos. Forrester, Forrester Wave, RoleView, Technographics, TechRankings y Total Economic Impact son marcas comerciales de Forrester Research, Inc. Todas las demás marcas comerciales pertenecen a sus respectivos propietarios. La reproducción o distribución de este contenido en cualquier forma sin permiso previo por escrito está estrictamente prohibida. Para adquirir copias de este documento, escriba un correo electrónico a clientsupport@forrester.com. Para obtener más información sobre la reproducción y el uso de la información, consulte la Política de citas de Forrester que podrá encontrar en Información basada en los mejores recursos disponibles. Las opiniones reflejan un juicio de valor en el momento de la redacción, y están sujetas a posibles modificaciones.

3 2 Guía para Directores de Seguridad de la Información (CISO) sobre seguridad en entornos virtuales El nivel de seguridad de la virtualización queda a la zaga de las operaciones La virtualización de servidores es casi omnipresente. De acuerdo con los datos de nuestra encuesta, el 85 % de las organizaciones han adoptado o piensan adoptar la virtualización de servidores x86 (véase la figura 1-1). Además, el 79 % de las empresas ha establecido o tiene planes de establecer una política de primero la virtualización. 1 La mayoría de los clientes a los que entrevistamos para este informe solicita que se justifique cualquier implementación física de servidores x86; la virtualización es la norma, y hemos pasado el umbral de virtualizar únicamente las cargas de trabajo no críticas. Actualmente, los profesionales de TI han virtualizado de media el 52 % de los servidores x86 en entornos empresariales; dentro de dos años, esperan que ese número ascienda al 75 % (véase la figura 1-2). Estos datos confirman lo que ya sabemos: durante años la virtualización ha sido la prioridad de profesionales de TI como, por ejemplo, los arquitectos empresariales (EA, por sus siglas en inglés) y los profesionales de infraestructuras de TI y operaciones (I+O). Y qué pasa con los profesionales de seguridad? Han tenido presente la virtualización? Muchos directores de seguridad de la información (CISO, por sus siglas en inglés) no son conscientes de los riesgos de seguridad que supone la virtualización; otros, sin embargo, se preocupan en gran medida por sus entornos virtuales, pero no siempre tienen la autoridad de influir sobre los profesionales de I+O para imponer políticas o implementar nuevos controles de seguridad. Los incidentes de seguridad en un entorno virtual pueden ser desastrosos Examinemos el incidente de seguridad ocurrido recientemente en la empresa farmacéutica japonesa Shionogi. En febrero de 2011, Jason Cornish, administrador de TI despedido por la empresa, utilizó una cuenta de servicio para acceder a la red de la empresa. Una vez conectado, utilizó una instalación no autorizada de VMware vsphere para eliminar 88 servidores virtuales. Según la querella criminal: los servidores eliminados almacenaban la mayor parte de la infraestructura informática americana de Shionogi, incluidos el correo electrónico de la empresa y los servidores de BlackBerry, su sistema de seguimiento de pedidos y su software de gestión financiera. El ataque paralizó las operaciones de Shionogi durante días, provocando que los empleados de la empresa no pudieran enviar los productos, recibir pagos ni comunicarse por correo electrónico de enero de , Forrester Research, Inc. Se prohíbe la reproducción

4 Guía para Directores de Seguridad de la Información (CISO) sobre seguridad en entornos virtuales 3 Figura 1 La virtualización es casi omnipresente 1-1 Adopción de la virtualización de servidores x86 Qué planes tiene su empresa de adoptar la virtualización de servidores x86? No sabe Ampliación o mejora de la implementación No interesado Planes de implementación dentro de un año o más 85 % Interesada, pero sin planes Implementación efectuada, pero no en expansión 1 % 5 % 9 % 7 % 6 % 11 % 61 % Base: 1201 directivos y responsables de la toma de decisiones en materia tecnológica de Norteamérica y Europa encargados de los servidores x El porcentaje de la virtualización de servidores x86 Actualmente, qué porcentaje de instancias del SO del servidor x86 estima que funcionan como servidores virtuales en lugar de ejecutarse directamente a través del hardware del servidor? (N = 771) Dentro de dos años, qué porcentaje de instancias del SO del servidor x86 cree que funcionarán como servidores virtuales en lugar de ejecutarse directamente a través del hardware del servidor? (N = 768) Hardware del servidor: 48 % Servidores virtuales: 52 % Hardware del servidor: 25 % Servidores virtuales: 75 % Base: Directivos y responsables de la toma de decisiones en materia tecnológica de Norteamérica y Europa en empresas de más de 20 empleados encargados de los servidores x86 Fuente: Forrsights Hardware Survey, tercer trimestre de Fuente: Forrester Research, Inc. 2012, Forrester Research, Inc. Se prohíbe la reproducción 12 de enero de 2012

5 4 Guía para Directores de Seguridad de la Información (CISO) sobre seguridad en entornos virtuales Los profesionales de seguridad se ponen al día con la virtualización Mientras los profesionales de I+O han virtualizado rápidamente el entorno para reducir los costes y aumentar la flexibilidad, los profesionales de seguridad se han mantenido al margen, bien por elección propia o bien porque se han visto excluidos por los profesionales de I+O. Esto suele ocurrir independientemente del tamaño de la organización. Las entrevistas que hemos mantenido para este estudio con profesionales de TI en arquitectura empresarial, operaciones de TI y seguridad, han revelado diversas cuestiones problemáticas: Las actividades empresariales tal y como las conocemos están en statu quo. Los departamentos de TI confían en las soluciones tradicionales de seguridad para proteger sus entornos virtuales. Por ejemplo, utilizan agentes de seguridad de punto final y dispositivos de seguridad de red diseñados para entornos físicos para proteger las cargas de trabajo virtuales. Un encargado de seguridad comentó: Confiamos en nuestras soluciones existentes; todavía no hemos modificado nuestro enfoque con respecto al entorno virtual. Muchos profesionales de seguridad no conocen las soluciones que tienen a su disposición. Descubrimos que la mayor parte de los profesionales de seguridad tienen un conocimiento muy limitado de la eficacia y de la disponibilidad de las soluciones de virtualización, las cuales pueden ofrecer una mejor protección para sus entornos virtuales. Pongamos el ejemplo de un director de seguridad de la información que no sabía que el proveedor de software antivirus de su empresa ofrecía una solución para la virtualización de extremo. Muchos profesionales de seguridad no se sienten cómodos con la virtualización. Algunos profesionales del sector de la seguridad que han tenido que enfrentarse al rápido desarrollo de la tecnología, no se sienten del todo cómodos con su conocimiento sobre la virtualización. Este caso se da especialmente cuando comparamos la virtualización con áreas de seguridad más desarrolladas como, por ejemplo, la seguridad de red. Un director de seguridad de la información comentó: No hemos tenido todo el contacto que hubiésemos querido con esta tecnología. Tenemos que sentarnos físicamente frente a la consola de operaciones para ver el entorno. 12 de enero de , Forrester Research, Inc. Se prohíbe la reproducción

6 Guía para Directores de Seguridad de la Información (CISO) sobre seguridad en entornos virtuales 5 Todo el mundo conoce las ventajas de la virtualización, pero no sus riesgos Entre las ventajas que ofrece la virtualización cabe citar: menor coste total de propiedad (TCO), flexibilidad, funciones de disponibilidad mejorada, funciones de recuperación de desastres y menor plazo de comercialización. No obstante, todos los profesionales de TI y especialmente los profesionales de seguridad deben conocer los riesgos. Entre ellos se incluyen: Visibilidad limitada del tráfico interno de las máquinas virtuales. En función de su arquitectura de red, la virtualización puede crear puntos ciegos en su red, y muchos profesionales de seguridad no cuentan con las herramientas necesarias para inspeccionar la comunicación interna de las máquinas virtuales (VM, por sus siglas en inglés); por ejemplo, el tráfico entre dos máquinas virtuales en el mismo servidor virtual. Todos los profesionales de seguridad a los que entrevistamos confían en sus dispositivos tradicionales de seguridad de red, pero si el tráfico interno de las máquinas virtuales nunca se dirige hacia la red física, cómo se puede examinar? Nuestras entrevistas reflejaron que muchos directores de seguridad de la información no se sienten cómodos con el nivel de visibilidad que tienen de sus entornos virtualizados. Uno de ellos confirmó: Sé que solo tengo una visión parcial, aún no hemos estudiado el sistema a fondo. Mayor vulnerabilidad a amenazas internas. El incidente de Shionogi refleja la trascendencia de una amenaza interna. La naturaleza de los entornos virtuales agrava el impacto de las amenazas internas. Forrester estima que casi la mitad de los incidentes de seguridad fueron resultado de las acciones, malintencionadas o involuntarias, llevadas a cabo por socios internos o socios comerciales de confianza. 3 No podemos olvidar esta situación: el empleado ejemplar que hace clic en el lugar incorrecto en el momento equivocado. Tal y como indican las estadísticas, esta situación ocurre con mucha más frecuencia que una amenaza interna malintencionada. La amenaza interna eleva la gestión de usuarios con privilegios a un nivel completamente nuevo: Veré al administrador de su dominio y le crearé una cuenta de administrador de virtualización. En nuestras entrevistas, descubrimos que la mayoría de los profesionales de TI tienen funciones de administración relativamente bajas y demasiados permisos. Un arquitecto empresarial de una gran multinacional nos comentó lo siguiente: Nuestros administradores tienen acceso completo al entorno; todos los administradores tienen acceso a todas las zonas. Comprendemos que esta situación no es la ideal. Cuando no desea lidiar con sus usuarios con privilegios; el administrador es el enlace más débil. Incapacidad para mantener controles de seguridad en un entorno dinámico. La administración de la configuración y los cambios puede suponer un desafío en un entorno virtual. Incluso los profesionales de TI con un rango inferior pueden establecer y eliminar rápidamente una máquina virtual, con lo que la proliferación de máquinas virtuales es una realidad en muchas organizaciones. Asimismo, cómo puede estar seguro de haber analizado y solucionado las vulnerabilidades de las máquinas virtuales sin conexión a Internet? 2012, Forrester Research, Inc. Se prohíbe la reproducción 12 de enero de 2012

7 6 Guía para Directores de Seguridad de la Información (CISO) sobre seguridad en entornos virtuales Las tecnologías como la migración directa ayudan a las organizaciones a aprovechar la potencia de la virtualización y hacer que el entorno sea sumamente dinámico. Actualmente, el 50 % de las empresas utiliza la migración directa, y el 13 % planea implementarla en los próximos 12 meses. 4 Hasta qué punto confía en que la configuración de seguridad de una máquina virtual se mantiene cuando un profesional de TI la migra de un servidor virtual a otro? Mayor nivel de cumplimiento. La virtualización también incrementa nuestros esfuerzos de cumplimiento. Como con cualquier tecnología nueva, los auditores deben ponerse al día. En junio de 2011, el PCI Security Standards Council (foro mundial de normas de seguridad para la protección de datos de cuentas) publicó su primera guía de orientación sobre la seguridad de la virtualización. Sin embargo, hay gran diversidad en la forma en que los auditores interpretan y las organizaciones cumplen estas directrices de virtualización del DSS (Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago) del PCI. 5 Existen contradicciones entre las empresas asesoras de seguridad cualificadas: algunas permiten el modo mixto de segmentación virtual, mientras que otras no. También es posible que otras organizaciones de cumplimiento sigan el ejemplo de PCI y ofrezcan orientación sobre entornos virtuales. El requisito de asegurar más niveles de infraestructura y gestión. La virtualización incorpora nuevos niveles que hay que asegurar. Disponemos de más niveles de infraestructura y gestión que debemos proteger, así como el hipervisor en sí. Si una amenaza interna o un ciberdelincuente compromete cualquiera de estos dos elementos, todo estará perdido. Los sistemas virtuales no son exclusivos y son tan vulnerables como cualquier otro código de ejecución de sistemas. Si funcionan con un código, cualquier persona puede ponerlo en peligro. El 17 de diciembre de 2011, VMware hizo públicos 14 avisos de seguridad. 6 En su informe X-Force 2010 sobre tendencias y riesgos (X-Force 2010 Trend and Risk Report), IBM investigó 80 vulnerabilidades y encontró que más del 50 % de ellas podrían poner en peligro la máquina virtual administrativa o producir escapes del hipervisor (véase la figura 2). 7 En una investigación anterior estudiamos la seguridad del hipervisor y llegamos a la conclusión de que, a pesar de que introduce un riesgo mínimo para el entorno del servidor, es una cuestión ampliamente sobrevalorada. 8 Tal y como afirmó un director de seguridad de la información de una gran multinacional: Que si me preocupan los ataques al hipervisor? Por supuesto, pero ese riesgo es mínimo comparado con muchas otras situaciones más frecuentes. 12 de enero de , Forrester Research, Inc. Se prohíbe la reproducción

8 Guía para Directores de Seguridad de la Información (CISO) sobre seguridad en entornos virtuales 7 Figura 2 Clases de vulnerabilidades de la virtualización de IBM X-Force Distribución de las vulnerabilidades del sistema de virtualización Indeterminado 6 % Servidor de gestión 6 % Máquina virtual alojada 15 % Hipervisor 1 % Escape de hipervisor 38 % Fuente: IBM X-Force 2010 Trend and Risk Report (Informe IBM X-Force 2010 sobre tendencias y riesgos), IBM, marzo de Consola de gestión 16 % Máquina virtual de administración 18 % Base: 80 vulnerabilidades que afectan a los productos de virtualización de clase de servidor Fuente: Forrester Research, Inc. MÁS VALE TARDE QUE NUNCA: CÓMO ENTRAR EN EL JUEGO DE LA SEGURIDAD DE LA VIRTUALIZACIÓN Debe luchar por que la seguridad virtual esté, como mínimo, a la altura de su enfoque de seguridad tradicional, así como buscar oportunidades para implementar una mayor seguridad dentro de su entorno virtual. Para ello, Forrester recomienda lo siguiente: 1) aplicar el modelo Zero Trust de seguridad de la información a su arquitectura de red; 2) valorar las soluciones de seguridad para virtualización que vayan apareciendo; 3) implementar la gestión de identidades con privilegios; y 4) incorporar la gestión de vulnerabilidades en el entorno del servidor virtual. Elimine los puntos débiles de su entorno virtual El modelo Zero Trust de seguridad de la información de Forrester debe servir como la base de su infraestructura virtual. 9 En el modelo Zero Trust, se elimina el concepto tradicional de seguridad del centro de datos con una estructura externa resistente y un núcleo flexible. En Zero Trust, ya no existe una red interna de confianza y una red externa de poca confianza. En Zero Trust, todo el tráfico de red es poco fiable. Además, en este modelo los arquitectos de TI y de seguridad rediseñan la red jerárquica tradicional y la segmentan, paralelizan y centralizan. En las próximas investigaciones de Forrester se estudiará en mayor profundidad la virtualización dentro del contexto del modelo Zero Trust. 2012, Forrester Research, Inc. Se prohíbe la reproducción 12 de enero de 2012

9 8 Guía para Directores de Seguridad de la Información (CISO) sobre seguridad en entornos virtuales Tenga en cuenta la tecnología de seguridad de la virtualización No tendrá que confiar únicamente en las soluciones tradicionales de seguridad para proteger sus entornos virtuales; en el mercado existen muchas otras soluciones para la seguridad de la virtualización. A pesar de que las tecnologías siguen desarrollándose, estas pueden: Ofrecer un valor empresarial aumentando la densidad de servidores virtuales. La mayoría de los profesionales de seguridad utilizan soluciones tradicionales de seguridad de extremo en sus entornos virtuales. Veamos este ejemplo: Dispone de un servidor virtual que ejecuta 15 máquinas virtuales. Cada una de esas 15 máquinas virtuales cuenta con un agente de seguridad de extremo que necesita una memoria y una CPU. Esos recursos no están disponibles para otros servidores virtuales, por lo que se reduce el número de máquinas virtuales que se pueden ejecutar eficazmente en el servidor. El director de las tecnologías de la información de una empresa con un alto grado de virtualización comentó que: Hemos llegado al 80 % de virtualización, y buscamos cualquier oportunidad para incrementar la densidad y la rentabilidad de la inversión (ROI) de nuestra inversión en virtualización. Para eliminar la necesidad de implementar un agente de extremo en cada máquina virtual, plantéese la introspección del hipervisor. La introspección del hipervisor permite que proveedores externos como Bitdefender, Kaspersky Lab, McAfee y Trend Micro desarrollen una única aplicación de seguridad virtual en el servidor virtual que, a continuación, asumirá las responsabilidades de seguridad de extremo. Esto libera espacio en la memoria y en la CPU que las máquinas virtuales podrán utilizar, incrementando así su densidad y mejorando la rentabilidad de la inversión (véase la figura 3). 10 Proporcionar una mejor visibilidad y más seguridad. Las tecnologías de virtualización ofrecen toda la visibilidad necesaria de la comunicación interna entre máquinas virtuales. Existen muchas soluciones de seguridad, entre ellas la solución Virtual Security Gateway de Cisco Systems, la aplicación virtual FortiGate de Fortinet y la solución vgw Virtual Gateway de Juniper Networks. Las soluciones para virtualización también pueden proporcionar una gran riqueza de datos operativos que el personal de seguridad y operaciones de TI puede aprovechar. Por ejemplo, Reflex Systems ofrece funciones de seguridad virtual así como de planificación y previsión de capacidad de uso. 12 de enero de , Forrester Research, Inc. Se prohíbe la reproducción

10 Guía para Directores de Seguridad de la Información (CISO) sobre seguridad en entornos virtuales 9 Figura 3 Seguridad de extremo sin agente Enfoque tradicional de la seguridad de extremo VM VM VM VM VM VM VM VM VM VM VM VM Hipervisor Cada sistema alojado se protege a sí mismo. Enfoque de la seguridad de extremo sin agente VM VM VM VM VM VM VM VM VM VM VM VM VM VM VSA Hipervisor Una aplicación de seguridad virtual protege a todos los sistemas alojados Fuente: Forrester Research, Inc. 2012, Forrester Research, Inc. Se prohíbe la reproducción 12 de enero de 2012

11 10 Guía para Directores de Seguridad de la Información (CISO) sobre seguridad en entornos virtuales Tome un enfoque Zero Trust para la gestión de identidades con privilegios Las bases del modelo Zero Trust son fundamentales para la gestión de identidades y accesos (IAM, por sus siglas en inglés) de su entorno virtual. Como refleja el incidente ocurrido en Shionogi, la gestión de usuarios con privilegios es una de las tareas más importantes en un entorno virtual. Por lo tanto, recomendamos lo siguiente: Asegúrese de que los usuarios tienen acceso seguro a todos los recursos independientemente de su ubicación. Sus usuarios con privilegios deberían utilizar una autentificación bifactorial para acceder al entorno virtual y administrarlo. Además, debe asegurarse de que las cuentas de servicio no tienen acceso de manera externa al entorno. Adopte una estrategia de privilegios mínimos e imponga un estricto control de acceso. Elimine el acceso administrativo general donde sea posible y establezca un único plano de gestión para administrar el acceso a su entorno virtual. Debe tener en cuenta el acceso a la red virtual, los servidores virtuales y el almacenamiento virtual. CA y HyTrust ofrecen una solución conjunta que controla el acceso al plano de gestión, así como el seguimiento de los usuarios con privilegios. La solución PowerBroker for Virtualization de BeyondTrust también trata la gestión de usuarios con privilegios en entornos virtuales. Registre todo el tráfico para poder llevar a cabo rápidamente acciones de respuesta y recuperación. Cuanto mayor sea el nivel de acceso de sus administradores, más importancia cobrarán sus servicios de registro y auditoría. Si sufre una amenaza interna accidental o malintencionada, debe disponer de las herramientas adecuadas para detectar rápidamente infracciones de políticas o actividades sospechosas. El hipervisor o el nivel de gestión de virtualización puede ofrecer algunos servicios de registro. Las funciones de auditoría y registro son imprescindibles para las organizaciones con un alto grado de regulación; las soluciones de Catbird Networks pueden ayudar a que las organizaciones logren el cumplimiento normativo en los entornos virtuales. Incorpore la gestión de vulnerabilidades a su entorno virtual Debe ampliar su programa de gestión de vulnerabilidades a su entorno virtual. La protección del servidor, incluidas la gestión de parches y la gestión de la configuración, es un elemento clave de la gestión de vulnerabilidades. Existe un gran número de recursos útiles que pueden ayudarle a reforzar sus servidores virtuales. 11 También debe asegurarse de que realiza evaluaciones regulares de la vulnerabilidad, así como pruebas de exploración y penetración del entorno. Rapid7 ha dado a conocer recientemente Nexpose 5, que se integra con VMware para ofrecer funciones de análisis de cargas de trabajo tal y como entran online. 12 Debe incluir pruebas de penetración específicas de virtualización para validar los controles de protección y seguridad del entorno. 12 de enero de , Forrester Research, Inc. Se prohíbe la reproducción

12 Guía para Directores de Seguridad de la Información (CISO) sobre seguridad en entornos virtuales 11 Aumente el conocimiento que tiene su equipo sobre la virtualización Nada de lo citado anteriormente puede hacerse si su equipo no cuenta con los conocimientos adecuados. Analice a su equipo y valore hasta qué punto están familiarizados con la virtualización. Carecen del conocimiento necesario? Con toda probabilidad, tendrá que confiar plenamente en el conocimiento de los profesionales en arquitectura empresarial e infraestructuras de TI y operaciones (I+O) de su empresa. No es necesario contratar a un experto en virtualización. Más bien, necesitará empleados competentes que colaboren en la virtualización y conozcan las implicaciones de seguridad. Busque la manera de incrementar la formación de su equipo en virtualización. Puede hacerlo de dos formas: Asuma un enfoque orgánico. Requiere más tiempo, pero podrá desarrollar las habilidades desde dentro de la empresa. Hay numerosas organizaciones de formación que ofrecen cursos sobre la seguridad de la virtualización; entre ellas, el Instituto SANS. 13 VMware también oferta cursos sobre la seguridad de las tecnologías VMware. 14 Además, la colaboración con los profesionales de su equipo de arquitectos empresariales y profesionales de I+O ayudará a desarrollar estas habilidades de manera orgánica. Traiga la sabiduría del exterior. Cada vez hay una mayor demanda de profesionales de seguridad de la información que cuenten con un amplio conocimiento sobre virtualización pero, si está dispuesto a pagar un salario competente, podrá dar con ellos. Busque a aquellos empleados que provengan de entornos de proveedores de servicios gestionados o en la Nube. Desde el punto de vista económico, estos proveedores cuentan con enormes centros de datos virtualizados. Estos profesionales trabajan en entornos de múltiples plataformas y suelen contar con un amplio conocimiento sobre seguridad de las cargas de trabajos de múltiples empresas. Este conocimiento se puede transferir fácilmente a su entorno. QUÉ SIGNIFICA? Colabore estrechamente con sus compañeros de TI Seguro que ya lo ha oído antes, pero cabe repetirlo: debe colaborar con sus compañeros de TI en los campos de la arquitectura empresarial y las infraestructuras de TI y operaciones. Si no mantiene un contacto regular con los encargados de TI en estos campos, debería hacerlo ya. Asimismo, debe establecer una interacción regular entre su equipo y el equipo de virtualización. Organice una reunión sobre virtualización y reúna a los equipos para que intercambien experiencias sobre la virtualización. Según nuestras entrevistas, los miembros de los equipos de seguridad que se integran y trabajan estrechamente con sus compañeros obtienen una mayor familiaridad con los entornos virtuales de sus organizaciones. Un profesional de seguridad y riesgos comentó: Somos mucho más conscientes de nuestro entorno virtual gracias a la estrecha vinculación que mantenemos con las operaciones. Nuestras constantes reuniones han merecido la pena. 2012, Forrester Research, Inc. Se prohíbe la reproducción 12 de enero de 2012

13 12 Guía para Directores de Seguridad de la Información (CISO) sobre seguridad en entornos virtuales MATERIAL adicional Metodología El estudio Forrsights Hardware Survey de Forrester del tercer trimestre de 2011 se realizó a directores de TI y responsables de la toma de decisiones empresariales en materia tecnológica de empresas de dos o más empleados en Canadá, Francia, Alemania, Reino Unido y Estados Unidos. Este estudio forma parte de Forrsights for Business Technology de Forrester y se llevó a cabo durante los meses de julio y agosto de LinkedIn Research Network fue la encargada de hacer las encuestas online en nombre de Forrester. Entre los incentivos que recibieron los participantes de esta encuesta, se incluye una selección de vales de regalo o donaciones caritativas. En este informe hemos ofrecido proporciones exactas de la muestra, pregunta a pregunta. Forrsights for Business Technology de Forrester realiza cada año natural 10 estudios de tecnología entre empresas en 12 países. Para el control de la calidad, analizamos detenidamente a los encuestados según el puesto de trabajo y su función. Forrsights for Business Technology de Forrester garantiza que la población final de la encuesta comprende únicamente a aquellas personas que mantienen una relación significativa con respecto a la planificación, financiación y adquisición de productos y servicios de TI. Asimismo, hemos establecido cuotas en lo que concierne al tamaño de las empresas (número de empleados) y al sector como medio para controlar la distribución de los datos y establecer una alineación con el gasto de TI calculado por los analistas de Forrester. En este documento solo hemos reflejado una parte de los resultados de la encuesta. Si desea obtener los resultados completos de la misma, póngase en contacto con Forrsights@forrester.com. Empresas entrevistadas para este documento BeyondTrust Juniper Networks Catbird Networks CA Technologies Cisco Systems Citrix Systems Fortinet HyTrust McAfee Microsoft Rapid7 Reflex Systems Trend Micro VMware IBM 12 de enero de , Forrester Research, Inc. Se prohíbe la reproducción

14 Guía para Directores de Seguridad de la Información (CISO) sobre seguridad en entornos virtuales 13 Notas finales 1 Fuente: Forrsights Hardware Survey, tercer trimestre de Fuente: Former Shionogi Employee Sentenced To Federal Prison For Hack Attack On Company Computer Servers, The United States Attorney s Office (Fiscalía de Estados Unidos), comunicado de prensa del distrito de Nueva Jersey del 9 de diciembre de 2011 ( Jason%20Sentencing%20News%20Release.html). 3 De acuerdo con los datos de la encuesta de Forrester, el 43 % de las brechas de seguridad tuvo lugar como consecuencia de las acciones intencionadas o involuntarias llevadas a cabo por los socios internos o socios comerciales de confianza. El reciente incidente de WikiLeaks pone de manifiesto cómo un usuario de confianza con acceso ilimitado a una amplia cantidad de información confidencial basta para producir un escándalo internacional. La protección frente a este tipo de infracciones es muy difícil si cuenta con enormes volúmenes de datos para proteger almacenados en muchas ubicaciones y, más aún, cuando la tasa de crecimiento de estos datos es tan elevada. Los profesionales de seguridad a menudo adoptan tecnologías tales como la prevención contra la pérdida de datos (DLP) y la gestión de derechos de empresa (ERM), pero dichas tecnologías no funcionan adecuadamente sin un contexto de identidad. Necesita tener un conocimiento completo de la manera en la que los usuarios se unen, se mueven y dejan la empresa, de manera que pueda asignar y cancelar el acceso a los conjuntos de datos confidenciales. Para evitar infracciones de seguridad es vital añadir un contexto de identidad para la protección de la información, asignar grupos de Active Directory a archivos compartidos y ralentizar el crecimiento de la información no estructurada. Consulte el informe del 27 de junio de 2011, Your Data Protection Strategy Will Fail Without Strong Identity Context. 4 Fuente: Forrsights Hardware Survey, tercer trimestre de Fuente: Virtualization Special Interest Group PCI Security Standards Council, Information Supplement: PCI DSS Virtualization Guidelines, PCI Security Standards Council, junio de 2011 ( 6 Fuente: Security Advisories & Certifications, VMware ( 7 Fuente: IBM X-Force 2010 Trend and Risk Report, IBM ( do?source=swg-spsm-tiv-sec-wp&s_pkg=ibm-x-force-2010-trend-risk-report). 8 Los directores de TI, obligados a hacer más con menos, utilizan la virtualización para incluir más servicios en menos espacio físico, reducir el consumo energético y proporcionar mayor flexibilidad. No obstante, a los profesionales de seguridad y riesgos les preocupa que, en el precipitado cambio hacia la virtualización, sus empresas no puedan proteger sus nuevas infraestructuras virtuales. Entre estas preocupaciones se incluyen el secuestro del hipervisor (hyperjacking) y los riesgos de implementación de las máquinas virtuales (VM) en la zona desmilitarizada (DMZ, demilitarized zone). Forrester piensa que los riesgos de que secuestren el hipervisor están sobrevalorados. El peligro real está en las actividades operativas. Se puede mantener la seguridad de las infraestructuras virtuales mediante: 1) la separación del tráfico administrativo, del hipervisor y de la migración directa y el tráfico de producción; 2) el mantenimiento de las máquinas virtuales con distintas clasificaciones de seguridad en distintos hosts físicos, y 3) la aplicación de límites de zonas con un hardware aparte. Consulte el informe Fear Of A Hyperjacked Planet del 16 de octubre de , Forrester Research, Inc. Se prohíbe la reproducción 12 de enero de 2012

15 14 Guía para Directores de Seguridad de la Información (CISO) sobre seguridad en entornos virtuales 9 Hay un antiguo dicho con respecto a la seguridad de la información: Queremos que nuestra red sea como un M&M, con una estructura externa crujiente y un núcleo suave y flexible. Para una generación de profesionales de la seguridad de la información, este es el lema con el que hemos crecido. Era un lema que se basaba en la confianza y en el supuesto de que las personas malintencionadas no traspasarían la crujiente estructura externa. En el nuevo concepto de amenazas actual, esto ya no representa una manera eficaz de cumplir con los requisitos de seguridad. Una vez que un atacante traspasa esta estructura externa tiene acceso a todos los recursos existentes en nuestra red. Aunque hemos creado perímetros resistentes, hay ciberdelincuentes que están bien organizados que cuentan con agentes infiltrados y han desarrollado nuevos métodos de ataque que pueden burlar nuestras protecciones de seguridad. Para hacer frente a estas nuevas amenazas, los profesionales de la seguridad de la información deben eliminar el núcleo flexible mediante un sistema de seguridad general en toda la red, no solo en el perímetro. Para que los profesionales de la seguridad puedan llevar esto a cabo de manera eficaz, Forrester ha desarrollado un nuevo modelo de seguridad de la información denominado Zero Trust. Este informe, el primero de su serie, presentará la necesidad y los conceptos clave del modelo Zero Trust. Consulte el informe del 14 de septiembre de 2010, No More Chewy Centers: Introducing The Zero Trust Model Of Information Security. 10 VMware ha proporcionado acceso a sus API, y la empresa Trend Micro fue una de las primeras en hacer uso del mismo. VMware ha anunciado recientemente sus nuevos socios, entre los que se incluyen Kaspersky Lab y Bitdefender. Fuente: Ellen Messmer, VMware strives to expand security partner ecosystem, Network World, 31 de agosto de 2011 ( McAfee y Citrix han anunciado una asociación similar para utilizar la introspección del hipervisor en la plataforma Xen. Fuente: McAfee, Inc. and Citrix Deliver First Phase of Virtual Desktop Security Partnership, comunicado de prensa de Citrix Systems, 6 de octubre de 2010 ( English/NE/news/news.asp?newsID= ). 11 Hay una serie de recursos útiles a su disposición que pueden ayudarle a proteger sus servidores virtuales: El manual para la seguridad de las tecnologías de virtualización del NIST (National Institute of Standards and Technology, instituto nacional de estándares y tecnología) ofrece orientación independiente sobre la seguridad de los entornos virtuales. Fuente: Karen Scarfone, Murugiah Souppaya y Paul Hoffman, Guide to Security for Full Virtualization Technologies, National Institute of Standards and Technology (NIST), enero de 2011 ( The Center for Internet Security (centro para la seguridad de Internet) ofrece parámetros de seguridad tanto para VMware como para XenServer. Fuente: Security Configuration Benchmark For VMware ESX 4, The Center for Internet Security, 30 de diciembre de 2010 ( vm/cis_vmware_esx_server_4_benchmark_v1.0.0.pdf) y Center for Internet Security Benchmark for Xen 3.2, The Center for Internet Security, mayo de 2008 ( CIS_Benchmark_Xen_32_v1.0.pdf). El manual sobre la protección de la seguridad de VMware vsphere 4.1 proporciona una orientación específica sobre la seguridad de vsphere 4.1. Actualmente no se ha creado todavía un manual de protección para vsphere 5. Fuente: VMware vsphere 4.1 Security Hardening Guide, VMware, junio de 2011 ( La DISA (Defense Information Systems Agency, agencia de sistemas de información de defensa) cuenta con una plantilla para la protección de sistemas virtuales según especificaciones militares que también podrían ser útiles para organizaciones con baja tolerancia al riesgo y altos requisitos de seguridad. Fuente: Defense Information Systems Agency ( 12 Fuente: Sean Michael Kerner, Nexpose 5 Goes After Virtual Security, esecurity Planet, 20 de septiembre de 2011 ( 13 Fuente: The SANS Institute ( mid). 14 Fuente: VMware ( subject=19217). 12 de enero de , Forrester Research, Inc. Se prohíbe la reproducción

16 Making Leaders Successful Every Day Sede central Forrester Research, Inc. 60 Acorn Park Drive Cambridge, MA EE. UU. Tel.: Fax: Correo electrónico: Símbolo de Nasdaq: FORR Oficinas de investigación y ventas Forrester dispone de centros de investigación y oficinas de ventas en más de 27 ciudades de todo el mundo, incluidas Ámsterdam (Países Bajos), Pekín (China), Cambridge (Massachussets), Dallas (Texas), Dubái (Emiratos Árabes Unidos), Fráncfort (Alemania), Londres (Reino Unido), Nueva Delhi (India), San Francisco (California), Sydney (Australia), Tel Aviv (Israel) y Toronto (Canadá). Para averiguar la ubicación de la oficina de Forrester más cercana, visite: Para obtener información sobre la adquisición de copias impresas o electrónicas, póngase en contacto con el servicio de atención al cliente llamando al , o escribiendo a clientsupport@forrester.com. Ofrecemos descuentos por volumen y precios especiales para instituciones educativas y sin ánimo de lucro. Forrester Research, Inc. (Nasdaq: FORR) es una empresa de investigación independiente que ofrece asesoría pragmática con vistas al futuro a los líderes mundiales del mundo de la empresa y la tecnología. Forrester trabaja con profesionales de 19 posiciones clave en empresas importantes para ofrecer investigación privada, análisis de clientes, asesoría, actos y programas de directivos dirigidos a otros directivos. Durante más de 28 años, Forrester ha contribuido cada día al éxito de los líderes en los sectores de tecnología, marketing y TI. Si desea obtener más información, visite