La adopción de BYOD es una realidad innegable

Transcripción

1 EDICIÓN 2 / AÑO XXVIII - Bs. 15,00-16 Páginas En jornada Negocios en Internet y Empresa Segura Reputación y seguridad son clave para rentabilidad de negocios en Internet En Venezuela pese a que existen 3,5 millones de emprendedores, no todos logran volver su proyecto rentable. Los Negocios en Internet ofrecen oportunidades a empresas de todos los tamaños y sectores, pero lo importante es conocer cómo desarrollar este mercado con altos estándares de seguridad. 97% de los venezolanos piensa que la conexión a Internet es un servicio de primera necesidad y 98% cree que el teléfono celular es algo básico para la vida actual. Asimismo, este año la tendencia apunta al incremento del comercio electrónico. - Pág 6 Seguridad en la nube: Riesgos para los proveedores Internet y tecnología han revolucionado las comunicaciones abriendo la puerta a un nuevo ambiente de negocios en el cual las empresas pueden centrarse en sus competencias básicas mediante la transferencia de TI a la Nube. Traerá esto nuevos retos en la seguridad de datos críticos de negocio? En realidad no. Sin embargo, sí requiere de una mayor vigilancia y una planificación detallada. - Pág 5 Siete Pecados Capitales en la seguridad de las empresas En Latinoamérica, los responsables de tecnología y sistemas en las empresas, frecuentemente encuentran dificultades para implementar medidas de seguridad de la información. Directores, gerentes, administradores, soporte y otros miembros de las organizaciones, suelen cometer ciertos pecados a la hora de implementar planes a largo plazo en pos de mejorar la seguridad de la información. Conozca cuáles son! Pág 7 BYOD : Productividad y desafíos de seguridad La adopción de BYOD es una realidad innegable en los entornos de trabajo de hoy, donde se reflejan empleados más satisfechos que obtienen mejores resultados con el trabajo colaborativo y remoto, independientemente donde se encuentre, permitiendo un equilibro entre la productividad y la seguridad de la información, al menor costo posible. Pero tome en cuenta algunas de las recomendaciones para su adecuada adopción. Pág 12 / Crecerá demanda de profesionales TICs en la Región La demanda en Latinoamérica por trabajadores capacitados en tecnologías de información y comunicación (TIC) excederá la oferta en casi un 35% para 2015, de acuerdo con un estudio de IDC comisionado por Cisco, creando así una brecha que podría impactar la competitividad de los países de la Región. El estudio, Habilidades en Redes y Conectividad en América Latina, analizó la disponibilidad de profesionales capacitados en TIC entre los años 2011 y Lea los detalles de la investigación! - Pág 3 Color y digitalización definirán futuro del manejo de documentos Canon en su convención anual de partners llevada a cabo en la Ciudad de Panamá, mostró a sus socios de negocio los productos y tecnologías que vendrán, específicamente en el área de equipos de captura de imágenes y documentos, software para su manejo y finalmente, impresión y reproducción como la segunda generación de fotocopiadoras imagerunner ADVANCE que ofrecen un conjunto de prestaciones avanzadas como control de acceso, personalización, eficiencia de servicio, así como conectividad móvil y con la nube, mediante un nuevo conjunto de potentes aplicaciones de software. - Pág 15 Próxima Edición: Telecomunicaciones y Movilidad INSTITUTO POSTAL TELEGRAFICO DE VENEZUELA IPOSTEL Permiso Nº 164 de fecha 20/08/1996 Servicio de Porte Pagado Depósito Legal: pp DF 176 Si el destinatario es incorrecto por favor devolverlo a: A.P Los Ruices Caracas 1071 Si el destinatario es incorrecto favor devolverlo a : A.P Los Ruices Caracas 1071

2 2 Edición 2 - Año 2013 COMPUTERWORLD - VENEZUELA Actualidad COMPUTERWORLD VENEZUELA EDICION Y REDACCIÓN Editora: Clelia (CNP 7894) clelia@computerworld.net.ve Colaboradores: Velia Trias Peter Cernik / Giorgio Baron Traducciones: Giorgio Baron DISEÑO GRAFICO Y DIAGRAMACION Giorgio giorgio@computerworld.net.ve MERCADEO Y VENTAS ventas@computerworld.net.ve Representante Venezuela Caracas Teléfonos +58 (0212) (0426) Representante internacional Miami Walter Mastrapa walter_mastrapa@idglat.com UNIDAD DE NEGOCIOS Y TECNOLOGÍAS INTERNET Computerworld-On-Line ( ventas@computerworld.net.ve Webmaster: Giorgio Baron giorgio@computerworld.net.ve ADMINISTRACIÓN VANTIC, C.A. RIF. J Correo: A.P , Caracas 1071, Venezuela ventas@computerworld.net.ve DIRECCIÓN GENERAL Clelia Santambrogio cwv@computerworld.net.ve DISTRIBUCIÓN Silvio Santambrogio silviosantambrogio@gmail.com Fotolito Editorial Metrópolis C.A. Impresión Editorial Metrópolis C.A. COMPUTERWORLD ES UNA PUBLICACIÓN DE IDG, Inc. 3 Post Office Square Boston, MA Copyright 2006 International Data Group. All rights reserved. Presentado Galaxy S4 amsung Electronics liberó la cuarta generación del Galaxy S, el Ga- S 4, bajo un formato estilizado Slaxy (7,9mm) y liviano (130g), compatible con HSPA+42 Mbps y 4G LTE, que destaca por su pantalla Full HD Super AMOLED de 5 pulgadas de 441ppi que utiliza el nuevo Gorilla Glass 3*. Equipado con una cámara posterior de 13 MP, el Galaxy S 4 cuenta con la función Dual Camara que permite a la cámara posterior y frontal tomar fotos y videos simultáneamente. El dispositivo está equipado además con 12 modos de disparo, entre ellos Drama Shot, que permite ver toda la acción en un lapso de tiempo continuo, y Sound & Shot, que almacena exclusivamente el sonido y la voz juntos mientras se toma la fotografía, para que esos momentos especiales sean capturados con la mayor fidelidad posible, tal y como ocurrieron. También cuenta con la función Story Album en la que las fotos son almacenadas automáticamente en un álbum. Con Group Play, el usuario puede disfrutar de música, fotos, documentos y juegos con los que le rodean, incluso sin estar conectado a Wi-Fi ni tener señal de celular. Esta innovadora característica te permite conectarte directamente con otras personas para compartir, jugar y crear contenido y entretenimiento al instante. La opción Share Music te permite sincronizar la misma canción en varios teléfonos para crear un ambiente de fiesta ideal. Con S Translator, se tiene de inmediato a texto o voz en s, mensajes de texto y ChatON. Esta traducción instantánea es posible de voz a texto y viceversa, garantizando que tengas la información correcta mientras estés en el extranjero. Clelia Santambrogio, CWV BM hoy está presentando al mercado local una oferta de mayor valor dentro de la familia Power 7. Así lo informó Gustavo Guerrero, especialista de Ventas de Power Systems en IBM Venezuela quién destacó las novedades que está desarrollando el Gigante Azul en torno a esta plataforma Power 7 presentada hace aproximadamente dos años, indicando que hoy empresas de cualquier tamaño pueden disfrutar de sus beneficios y más en un mercado que demanda nuevas funcionalidades en torno a las tecnologías de nube y de Big Data. El equipo destaca por funciones que detectan el rostro, la voz y los movimientos para controlar la pantalla sin necesidad de una activación táctil. Samsung Smart Pause permite controlar la pantalla según donde se mire. Cuando está viendo un vídeo, el vídeo se detiene cuando se levanta la vista, y comienza de nuevo justo cuando vuelve a mirar la pantalla. Samsung Smart Scroll permite desplazarte de arriba abajo por el navegador o el sin tocar la pantalla. Detecta sus ojos y reconoce el movimiento de tu muñeca y luego se desplaza por la pantalla de arriba abajo según corresponda. Air View le permite desplazarte con los dedos para obtener una vista previa del contenido de un , del S Planner, de la galería de imágenes o de un video sin necesidad de abrirlos en su totalidad. Puede incluso ver una vista ampliada en el navegador de Internet, o un número de teléfono guardado en el discado rápido. Con Air Gesture puede cambiar de canción, desplazarse hacia arriba y hacia abajo en una página web, o aceptar una llamada con un simple movimiento de la mano. Con S Voice Drive puede activar los comandos de su voz para conducir sin riesgos. Una vez conectado con el Bluetooth del auto, el teléfono se enciende automáticamente en Modo de Conducción y convierte los textos en voz, lo que permite revisar sus mensajes cómodamente y con seguridad sin necesidad de mirar a la pantalla. Samsung Optical Reader es el reconocimiento automático de texto, una tarjeta de presentación o la información del código QR, y a la vez proporciona funciones útiles como traducciones, llamadas, Se amplía portafolio Power 7 I Hoy en Venezuela IBM cuenta con más del 80% de la banca corriendo en esta plataforma, así como además, empresas de seguros, retail, petróleo, distribución, entre otras, señaló Guerrero. IBM anunció en este sentido, Power 7 Plus, sus más recientes procesadores para sistemas Unix de gama alta capaces de trabajar a 4,4 GHz y con memoria caché de nivel 3 de nada menos que 80 MBytes. Un modelo construido en tecnología de 32 nanómetros que permite aumentar la frecuencia de reloj y consumir menos energía. Se informó que comercializarán variedades de 4, 6 y 8 núcleos. Los servidores procesar más datos almacenados muy cerca de los procesadores, lo que mejora el rendimiento de bases de datos y aplicaciones Java en comparación al uso de la memoria principal. Además de estas características, IBM incorporó más instrucciones que mejoran los procesos de cifrado y compresión de datos, explicó Guerrero. La versatilidad, el poder correr múltiples sistemas operativos a la vez, el poder consolidar y virtualizar muchas cargas, ambientes, ahorrar energía, ofreciendo una infraestructura para el usuario final transparente, son los beneficios que se brinda con Power 7. Guerrero informó además que la plataforma fue desarrollada bajo las nuevas demandas que impone el mercado ante el Big Data, ya que la infraestructura soporta y maneja grandes capacidades de carga de trabajo y aprovecha toda la data estructurada y no estructurada para el beneficio del negocio. - Más información de esta noticia en video en mensajes de texto y búsqueda de información. Y usando Samsung WatchOn, el Galaxy S 4 se transformará en un control a distancia para manejar el sistema de entretenimiento del hogar, incluyendo televisor, decodificador, reproductor de DVD y hasta aire acondicionado. Además, podrá disfrutar de diversos contenidos, entre ellos TV en vivo, TV por cable y video bajo demanda (VoD) en base a la información proporcionada por EPG (Electronic Program Guide). - Para contenido multimedia e información más detallada, viste

3 - COMPUTERWORLD - VENEZUELA Edición 2 - Año Actualidad Crecerá demanda de profesionales TICs en la Región L a demanda en Latinoamérica por trabajadores capacitados en tecnologías de información y comunicación (TIC) excederá la oferta en casi un 35% para 2015, de acuerdo con un nuevo estudio de la consultora independiente IDC comisionado por Cisco, creando así una brecha que podría impactar la competitividad de los países de la región. El estudio, Habilidades en Redes y Conectividad en América Latina, analizó la disponibilidad de profesionales capacitados en TIC entre los años 2011 y En 2011, América Latina tuvo un faltante de aproximadamente profesionales con conocimientos en redes y conectividad (aquellos necesarios para planificar, diseñar, administrar y soportar las tecnologías de redes en una organización), con una proyección de aumento de la brecha a para Estas cifras representan una brecha (calculada como una proporción de la demanda total) del 27% en 2011 y de un 35% en IDC realizó 767 entrevistas en ocho países en Latinoamérica: Argentina, Brasil, Chile, Colombia, Costa Rica, México, Perú y Venezuela. Las entrevistas fueron segmentadas por industrias verticales y tamaño: gobierno, educación, atención de la salud, telecomunicaciones, servicios financieros, manufactura, venta al por menor y mayor, medios/ broadcast/publicidad, entre otros. Una mano de obra capacitada es una ventaja competitiva para los países de la región, para la economía basada en conocimientos del siglo 21. En la medida en que América Latina experimenta la emergencia rápida de tendencias tecnológicas como nube, movilidad, video e Internet de Todo, esta brecha de profesionales capacitados presenta un desafío real para el desarrollo económico de la región. Sin los conocimientos adecuados, el progreso tecnológico no se traducirá en aumentos en productividad, dijo Jordi Botifoll, Vicepresidente Senior de Cisco para Latinoamérica. Los conocimientos en tecnologías de redes emergentes como comunicaciones unificadas, video, computación en la nube, movilidad y centro de datos y virtualización, representaron el 45% del total de la brecha de profesionales en 2011, aumentando a un 56% en Dentro de este grupo, el estudio estimó una escasez de personal capacitado de aproximadamente profesionales, aumentando a en Estas cifras representan una brecha incremental proyectada del 42% en 2011 y de un 53% en En la medida en que estas tecnologías ascienden y logran apoyo dentro de las organizaciones de Latinoamérica, la demanda por estos conocimientos causará que se amplíe la brecha a una tasa de crecimiento anual compuesta (CAGR) del 28% entre los años 2011 y De los encuestados, se espera que el 80% necesite múltiples conocimientos tecnológicos. En 2007, el 70% de los encuestados indicó la necesidad de conocimientos tecnológicos múltiples. Por lo tanto, se nota un aumento del 10% por sobre las respuestas de hace cinco años. de servicios tener personal certificado, mientras que otro 29% de los encuestados dijo considerarlo importante. Un cuarto (25%) de los encuestados declaró haber contratado profesionales en redes en los últimos 12 meses. Resultados del estudio Los conocimientos básicos en redes como la seguridad, telefonía IP, y redes inalámbricas representaron el 55% del total de la brecha de profesionales capacitados en 2011 y representará un 44% en Hubo una escasez de alrededor de profesionales en 2011, que aumentará a para Estas cifras representan una brecha del 22% en 2011 y del 25% en La rápida adopción de las tecnologías de redes por parte de las organizaciones en toda la región está continuamente impulsando la demanda de estos conocimientos, causando que la brecha se amplíe a una tasa de crecimiento anual compuesta (CAGR) del 14% entre los años 2011 y Las certificaciones juegan un rol importante en las organizaciones para más del 75% de las organizaciones encuestadas. Las organizaciones ven a las certificaciones de fabricantes como un importante atributo al evaluar el personal potencial que ocupe posiciones relacionadas con redes. De los encuestados, 49% dijo que esas certificaciones eran muy importantes, mientras que 28% las encontró importantes. En la medida en que la tendencia a la tercerización se fortalece en Latinoamérica, un creciente número de empresas obtendrá nuevas habilidades en redes por parte de un proveedor de servicios en lugar de tener que entrenar personal internamente. En este sentido, 62% de las compañías encontró muy importante para los proveedores Una significativa proporción de las organizaciones, 27%, en ocho países encuestados reconoció que es difícil encontrar ingenieros que tengan los conocimientos adecuados para cumplir con los requerimientos de sus organizaciones. La razón primaria de esto es el costo asociado con contratar personal de redes capacitado. La segunda razón es la dificultad en evaluar la calidad de los solicitantes. La posiciones de seguridad son las más difíciles de ocupar. Esto debido a que los conocimientos en seguridad están demanda creciente en los ocho países analizados. Ochenta y siete por ciento de las compañías manifestaron que requieren habilidades extra en esta área en los próximos meses. - XenMobile MDM se suma al portafolio de movilidad de Citrix Clelia Santambrogio, CWV Y a se encuentra disponible Citrix Xen- Mobile MDM, solución empresarial de gestión de dispositivos móviles con plataforma virtualizada con la que los usuarios pueden suscribir sus propios dispositivos a la plataforma en tanto que el departamento de TI puede proporcionar aplicaciones de forma automática. Asimismo, se podrá crear una lista de aplicaciones y restringir la información en dispositivos que se hayan perdido, que hayan sido robados o que estén fuera de la norma. Juan Pablo Villegas, director para la región NOLA de Citrix, explicó que con esta solución las organizaciones contarán con las bases para hacerle frente a las necesidades de Bring your Own Device (BYOD) de sus empleados mediante una gestión basada en roles, configuración y seguridad de los dispositivos corporativos y de los empleados. Cada vez más los usuarios buscan tener la libertad de contar con sus propios dispositivos móviles, utilizar cualquier aplicación y acceder a sus correos electrónicos y documentos desde cualquier lugar y en cualquier momento y XenMobile MDM lo proporciona, explicó. La solución está construida sobre una arquitectura segura que se integra directamente con Microsoft Active Directory y con sistemas de infraestructura pública, así como también con herramientas de seguridad de la información y gestión de eventos, ofreciendo un paquete de soluciones móviles para la gestión de la movilidad empresarial compuesto por XenMobile MDM y CloudGateway que eliminan la necesidad de tener múltiples proveedores para soluciones puntuales. Este paquete combina al MDM con un manejo innovador de aplicaciones móviles y ofrece cinco capacidades clave: El tema de movilidad mejora mucho la productividad. El poder trabajar desde cualquier parte ahora lo estamos llevando a la movilidad, porque los dispositivos móviles, como tabletas y teléfonos inteligentes, están superando a los dispositivos fijos. Lo que ha hecho Citrix fue cerrar el círculo un poco más haciendo que los dispositivos móviles interactúen en el día a día en pro de la productividad. El BYOD con XenMobile MDM se va a acelerar en las empresas ya que ahora una empresa puede administrar todo su ecosistema, permitiendo desde una sola consola, monitorear todos los dispositivos móviles que tiene el empleado. La movilidad ahora la puede gestionar la empresa y puede saber cuántas aplicaciones bajó el empleado, qué cantidad de consumo de datos dispuso, cuántos equipos usa, entre otros, explicó el director. -

4 4 Edición 2 - Año 2013 COMPUTERWORLD - VENEZUELA Actualidad La UNET irá a la Copa de la Imaginación mundial en Rusia E l proyecto identificado con el nombre Lazarillo, presentado por el equipo de la Universidad Nacional Experimental del Táchira (UNET) obtuvo el primer lugar en la octava edición de la Copa de la Imaginación y representará a nuestro país en la gran final mundial, la cual se realizará en la ciudad de San Petersburgo, Rusia, del 08 al 11 de julio de este año. La competencia, organizada por Microsoft, tiene como objetivo estimular entre los estudiantes universitarios el desarrollo de proyectos que, a través del uso de la tecnología con sentido social, puedan impactar positivamente su entorno. El proyecto ganador, Lazarillo, es un sistema integrado (un cinturón) de ayuda a personas invidentes, el cual permite guiarlos a través de mensajes de voz, con la incorporación de tecnología de avanzada como el uso de GPS y geolocalización de los mapas Bing y uso de redes sociales. La evolución del proyecto contempla el uso de los sensores del controlador de juego Kinect de Microsoft y adaptarlos a lentes. Va a ser un soporte a las personas con discapacidad visual, ya que consiste en poder orientar a una persona con esta discapacidad Para que se pueda mover en cualquier ambiente y se pueda integrar mejor a la sociedad. Lo que nos diferencia es la completa interactividad que tenemos con el usuario. Estamos trabajando con redes sociales como Facebook y Twitter, usamos los mapas de Bing, de manera que cuando la persona esté en emergencia tenemos la localización exacta y podemos comunicarnos fácilmente, dijeron los integrantes del equipo ganador: Edwar Baron, Iván Parra, Leny Sánchez y José García, de la mano de su tutor José Clemente. Adicionalmente, fueron reconocidos los proyectos Smas de la Universidad Nueva Esparta (UNE) en la categoría de Innovación; Thérapi de la Universidad Central de Venezuela (UCV) en la categoría Videojuegos; y Sign Calls de la Universidad Nacional Experimental del Táchira (UNET) en el rubro de Ciudadanía. Alcatel-Lucent y Superatec educan a jóvenes D urante 2013 la Alcatel - Lucent continuará en el país con su programa de responsabilidad social Superación de Mujeres Jóvenes a través de la Tecnología, de la mano de Superatec y la meta pretende certificar en un año a nuevas jóvenes pertenecientes a las comunidades de Antímano, Catia, Cagua, Guatire, La Vega, Naiguatá, Palo Verde y Petare, quienes tendrán mayores oportunidades de desenvolverse efectivamente en el ámbito laboral, así como la posibilidad de independizarse económicamente. Desde 2009, estamos comprometidos con esta importante labor logrando la certificación de más de jóvenes mujeres venezolanas, siendo este nuestro granito de arena para lograr una sociedad más equitativa, que mejore la vida de las personas, y que potencie la creación de un país más inclusivo, expresó Elizabeth Bravo, gerente general de Alcatel-Lucent Venezuela. El aprendizaje está centrado en herramientas de productividad tales como: Microsoft Office, Internet Explorer, Access, Publisher, Visual Basic, Dream Weaver y también programas de libre acceso; además de talleres de presentaciones efectivas y oratoria, entre otros. Las jóvenes que finalizan el programa, obtienen su certificación e inician la participación en la Bolsa de Trabajo de Superatec, teniendo la oportunidad de postularse en vacantes disponibles en las empresas aliadas a esta asociación sin fines de lucro. En el transcurso de los años Superatec ha logrado ubicar a miles de jóvenes en puestos de trabajos ubicados en más de 100 empresas de Venezuela. - El proyecto Smas es una herramienta tecnológica eficiente, de bajo costo y fácil uso que asegura la continuidad de la vida de pacientes que presenten durante el sueño anomalías respiratorias como la apnea, mediante alertas auditivas y exámenes de diagnóstico accesibles. Por su parte, Thérapi, es una suite de juegos na investigación divulgada por Intel dio a conocer números asombrosos en relación a Internet y sus usuarios. En tan sólo 1 minuto, 20 millones de fotos son vistas y horas de músicas son escuchadas. Además, a cada 60 segundos son enviados 204 millones de correos electrónicos y son hechas 2 millones de búsquedas en Google. En relación a las redes sociales, los datos continúan increíbles: a cada minuto personas entran en sus perfiles de Facebook, se escriben tweets y se reproducen 1,3 millones de videos en Youtube. Además, en 60 segundos, 20 personas son víctimas del robo de su identidad en la red y se disparan 135 virus letales para su computadora. El estudio revela que el futuro crece de manera sorprendente. En 2012, el número de dispositivos conectados fue igual al número da la población mundial. Y la previsión es que en 2015 este número será el doble de la población del mundo. Además, en 2015 se llevará cinco años para ver todos los videos ya subidos en la red. En cuanto al Big Data aún es Norteamérica quien lidera su servicio y le sigue Europa. Asia y América Latina están haciendo sus primeras grandes inversiones 3D enfocados en la movilidad con grandes retos para toda la familia. Mientras que el proyecto Sign Calls es un sistema que genera un enlace para que los sordomudos se puedan comunicar con personas que no entienden el lenguaje de señas utilizando la versatilidad de la herramienta Skype. - Intel: Cada minuto son transferidos GB de datos globales U en el tema. La razón es que para poder aprovechar realmente el valor que genera esto, necesita tres cosas: un nivel de arquitectura tecnológica avanzada, demanda y el know how de parte del usuario. Habiendo dicho eso, también vale resaltar que la adopción de Big Data en estas últimas regiones y mercados será mucho más rápida que cloud computing. El data center cambiará de diseño en cuanto al armado de log servers, switches y el almacenamiento; y también generará modificaciones para el uso eficiente de estos recursos, entre ellos la energía requerida. Sin embargo, uno de los cambios de la arquitectura de red es mover la gran cantidad de datos que requerirá mayor performance y mayor ancho de banda. Según Intel, personas y máquinas están produciendo información valiosa que podrá enriquecer nuestras vidas de muchas maneras, desde la extrema precisión en la previsión del mal tiempo hasta el desarrollo de tratamientos personalizados para enfermedades terminales. Intel se compromete a contribuir y dar soporte a la comunidad de código abierto para proveer a la industria una mejor base sobre la cual podrá extender los límites de la innovación y percibir la oportunidad de transformación de Big Data. -

5 - COMPUTERWORLD - VENEZUELA Edición 2 - Año La seguridad en la nube: Un enfoque basado en los riesgos para los proveedores Luis Gonzalo Acosta (*) Internet y tecnología han revolucionado las comunicaciones abriendo la puerta a un nuevo ambiente de negocios en el cual las empresas pueden centrarse en sus competencias básicas mediante la transferencia de TI a la Nube. Traerá esto nuevos retos en la seguridad de datos críticos de negocio? En realidad no. Sin embargo, sí requiere de una mayor vigilancia y una planificación detallada. Las recientes historias sobre las interrupciones en la red y el sistema de robos han hecho que muchas organizaciones duden sobre la transferencia de datos, aplicaciones y los procesos en la nube. Como ejemplo de ello se muestra el momento en que la red de Amazon EC2 falló, haciendo que un gran número de sitios web estuvieran fuera de operación durante tres días. Alrededor del mismo tiempo, Sony Corporation se vio obligada a cerrar sus servicios en la nube después de que se hizo de conocimiento público que un hacker había conseguido acceder a la información privada de más de 77 millones de usuarios de la red en línea de PlayStation. Estos incidentes llevaron a expertos y a clientes a preguntarse si la seguridad en la nube se convierte en un problema mayor en comparación con otras formas de alojamiento. En realidad, no; incluso cuando los modelos de servicios y las tecnologías aplicadas para permitir los servicios de nube introducen nuevos riesgos. Para una organización que ha optado por la computación en la nube significa perder el control sobre su entorno de TI, manteniendo al mismo tiempo la responsabilidad en ello. De esa manera se deslinda de cierta forma pero la gran parte de la responsabilidad de las operaciones se entregan a un tercero. En cuanto a riesgos se refiere, los servicios de nube no son más desafiantes que las aplicaciones promedio que se efectúan en el centro de datos privado de cualquier organización. En ambos casos, el nivel de protección es igual a las medidas de seguridad tomadas a partir del análisis de riesgo. Esto incluye a las medidas adoptadas para su desarrollo físico, red, sistema y seguridad de la información. También puede consistir en medidas adicionales, tales como las políticas de acceso y las reglas de conducta para los empleados y los procesos. La pregunta más importante que cualquier organización debe hacerse antes de incursionar en la nube debe ser la siguiente: Es capaz mi proveedor de nube de igualar o superar mi propio nivel de protección? La rentabilidad resultante de la escalabilidad, la uniformidad y la normalización son unos de los principales beneficios de la computación en la nube. Sin embargo, los proveedores de servicios en la nube deben ofrecer servicios que sean lo suficientemente flexibles para satisfacer la mayor base de clientes posible, y, en consecuencia, las medidas de seguridad son vistas como obstáculos para llegar a esa flexibilidad. Esta es la principal razón por la cual los proveedores de la nube son frecuentemente incapaces de ofrecer el mismo nivel de seguridad como el que se encuentra en los entornos tradicionales de TI. Si los proveedores de la nube no pueden ofrecer las medidas de seguridad de confianza, entonces, los acuerdos verbales se deben hacer en base a esa responsabilidad. En los ambientes de Software como Servicio (SaaS) se deben formular medidas de seguridad y su alcance en los contratos. En la Infraestructura como Servicio del modelo (IaaS), la seguridad de la infraestructura subyacente y las capas basadas en ella caben bajo la responsabilidad del proveedor de IaaS. El resto de la cadena, tales como los sistemas operativos, las aplicaciones y los datos que aprovechan la infraestructura son responsabilidad del cliente. La Plataforma como Servicio del modelo (PaaS) se sitúa en algún lugar entre SaaS y PaaS. La seguridad de la plataforma es parte de las responsabilidades del proveedor de PaaS, sin embargo, el cliente es responsable de asegurar las aplicaciones desarrolladas en esa plataforma. La seguridad de la red debería proteger a todos los puntos de acceso virtuales a la nube. Los proveedores de la nube deben emplear normas bien administradas y procedimientos de seguridad para bloquear los ataques. Es importante asignar responsabilidades en los incidentes de eventos o desastres que ocurran, como lo demostró la interrupción de la red Amazon EC2. En ese caso, no hubo respaldo de servidores redundantes en una locación remota para mantener las operaciones. Tampoco hubo una conmutación por error del sistema para transferir los servicios temporalmente a otro proveedor de la nube. Amazon aprendió una vieja lección de una manera difícil: un buen comienzo es la mitad de la batalla. Por supuesto, esto no sólo se aplica a los proveedores de la nube, sino también a las empresas, que deben planificar estos riesgos. Seguridad de la red Si la seguridad de la información en el centro de datos privado requiere de reglas y medidas estrictas, lo mismo deberá aplicar para la nube. El ahorro de costos de una aplicación SaaS no tiene ningún valor si los datos y su reputación están en riesgo. El proveedor de la nube deberá no solamente garantizar la seguridad en la nube, sino también la red y el entorno físico. Por lo tanto, es importante seleccionar un proveedor de nube con un historial bueno y sólido, con experiencia y las mejores soluciones en el área de red y la seguridad del sistema operativo. De la misma forma debe ser capaz de demostrar que todos los riesgos de seguridad se han revisado para considerarse aceptable, que la protección del sistema haya sido probada y que las amenazas puedan ser controladas o evitadas. Además, es importante evaluar la forma en que el proveedor de la nube responde a los incidentes. Por ejemplo, se deberá preguntar si cuentan con un centro de operaciones de seguridad (SOC) en sus instalaciones? Por último, la seguridad de la red debería proteger a todos los puntos de acceso virtuales a la nube. Los proveedores de la nube deben emplear normas bien administradas y procedimientos de seguridad para bloquear los ataques. También deben ser capaces de buscar y detener las amenazas emergentes antes de que estas puedan representar un peligro real. El punto ciego Una característica de la computación en la nube es que varios usuarios aprovechan la misma aplicación o hardware. Este llamado entorno multi-tenant implica que la información de múltiples organizaciones está presente en un sistema físico. Por tanto, es crítico asegurar que los sistemas sean segmentados correctamente y que sus datos y aplicaciones estén completamente separadas unas de otras. Sin embargo, los entornos virtuales operan de forma diferente que los servidores tradicionales. Este último monitorea todo el tráfico transportado en el mismo lugar, a través de un interruptor físico o enrutador Ethernet. En un entorno virtual, los datos se transmiten a través de un adaptador virtual, sin tener que pasar por ningún dispositivo físico. Esto crea un punto ciego en la comunicación entre el centro de datos y el usuario final, y por lo tanto se puede considerar un problema de seguridad potencial. La creación de un dispositivo de seguridad física o virtual entre el proveedor de la nube y la organización privada puede llegar a ser una solución inteligente, ya que ayudará a proporcionar la combinación adecuada de desempeño y control a través de los flujos de tráfico. En conclusión, hay muchas maneras diferentes a acercarse a la nube: a través de los modelos de servicios de SPI (Software-as-a-Service, Platform-as-a-Service, de la Infraestructura-asa-Service), la nube pública o privada, hospedaje interno o externos, y una gran número de soluciones híbridas en el medio. Teniendo en cuenta el número de opciones, no hay una lista estándar de las medidas de seguridad que cubre todos los eventos posibles de manera exhaustiva. Por lo tanto, antes de seguir adelante, las organizaciones deben aplicar un enfoque basado en el riesgo hacia la nube y asegurarse de que las medidas de seguridad necesarias no impidan la eficiencia esperada y el costo-beneficio de sus soluciones en la nube. - (*) El autor es el gerente de Fortinet para Colombia, Ecuador y Venezuela.

6 6 Edición 2 - Año 2013 COMPUTERWORLD - VENEZUELA Negocios en Internet y Empresa Segura, convocado por la Cadena Capriles Reputación y seguridad son clave para rentabilidad de negocios en Internet C apitalizar las ideas de negocios digitales es el gran reto en En Venezuela pese a que existen 3,5 millones de emprendedores no todos logran volver su proyecto rentable. Los Negocios en Internet ofrecen oportunidades a empresas de todos los tamaños y sectores, pero lo importante es conocer cómo desarrollar este mercado con altos estándares de seguridad. Esta fue la premisa en el evento Negocios en Internet y Empresa Segura, convocado por la Cadena Capriles. Jornada que contó con la ponencia de Carlos Jiménez, presidente de Tendencias Digitales, quien dio a conocer que aumentaron 19% las horas conectadas de los venezolanos, el uso del chat decreció, pero la utilización de la geolocalización se incrementó 63%. Recomendaciones para el manejo de información dentro de las empresas H Roberto Sánchez V. oy en día, la información representa uno de los activos más valiosos en una empresa, al punto que representa una ventaja competitiva. En consecuencia, su protección es una estrategia obligatoria. Usualmente, la Seguridad de la Información se asocia con la imposición de controles y estos, a su vez, con términos como burocracia, ineficiencia, inflexibilidad y restricciones. En consecuencia, la Seguridad de la Información debe lidiar constantemente con la búsqueda de un balance entre el control y la eficiencia, el cual, en la mayoría de los casos, se logra mediante la racionalización del modelo de seguridad y la adopción de tecnologías especializadas en su gestión. Pero, cómo sabemos cuál es la información que se debe proteger o en qué medida debemos hacerlo? Para ello, resulta útil analizar el impacto de cada información en función de sus atributos: Confidencialidad: consiste en velar para que la información pueda ser accedida únicamente por aquellas personas/usuarios que han sido autorizadas, con base a la regla necesita conocer (need to know). Para definir los mecanismos de control que permitan garantizar este aspecto, se consideran los impactos internos y externos asociados a la pérdida o divulgación, entre los cuales se encuentran: -Afectación de las operaciones, incluyendo pérdidas monetarias. -Distorsión o degradación de la marca -Penalizaciones y demandas. -Pérdida de información competitiva -Reducción del flujo de caja. 97% de los encuestados venezolanos piensa que la conexión a Internet es un servicio de primera necesidad y 98% cree que el teléfono celular es algo básico para la vida actual, explicó Jiménez, recomendando a las marcas ser honestas en Internet por ser un recurso muy valorado por los consumidores, pues informó que este año la tendencia apunta al incremento del comercio electrónico. Rafael Núñez, director de Clean Perception, sostuvo que hay que educar para ser preventivo en el uso de la Red. Lo que no se registra nunca existió. Es recomendable tener un software UTM (Unified Threat Management) o Gestión Unificada de Amenazas para el monitoreo y la seguridad transparente, complementó Núñez quien se desempeña como hacker ético de grandes organizaciones venezolanas y extranjeras. - Integridad: se define como la completitud, autenticidad y consistencia de la información. Se traduce en aquellos controles establecidos para garantizar que los mismos no han sido creados o modificados inadecuadamente durante su registro, tránsito o almacenamiento. Para definir los mecanismos de control que permitan garantizar este aspecto, se debe considerar: -Ejecución de transacciones inusuales o fraudulentas. -Eliminación o manipulación de transacciones auténticas. -Validación de la información al momento de su ingreso. Disponibilidad: la información debe poder ser utilizada por el personal autorizado cuando así se requiera y sólo en los momentos en que lo requiera. Para definir los mecanismos de control que permitan garantizar este aspecto, se considera el impacto asociado a la imposibilidad de uso del ambiente en el período de tiempo necesario para realizar funciones del negocio y la administración de los accesos a los usuarios. Algunos de los temas que se consideran en este atributo son: -Esquemas para prevenir la interrupción de las operaciones y operar en situaciones adversas. -Gestión de identidades. -Recuperación de la información y de las operaciones. Otro factor a considerar es el volumen de información, producto del incremento de transacciones en los sistemas, automatización de los procesos de negocio y las relaciones con terceros (proveedores, clientes, entes reguladores). Este escenario exige identificar e implantar medidas para salvaguardar la información y puede requerir un estudio exhaustivo que abarque la plataforma y los procesos de la empresa y sus relacionados. A continuación, se presentan un conjunto de recomendaciones que pueden ser consideradas para el manejo de información dentro de las empresas a lo largo de sus procesos y en la plataforma tecnológica que los apoya: Realizar un inventario de la información, considerando todos los procesos de la empresa y fuentes de información, tanto física como digital. Realizar un análisis de riesgo sobre los activos de información, en función del impacto de asociado a la confidencialidad, disponibilidad e integridad de la información, con el objetivo de identificar los puntos de foco para las áreas de Seguridad y Tecnología de la Información. Clasificar la información, definiendo las categorías para la información (por ejemplo: pública, uso interno, confidencial, sensitiva) y los criterios de gestión asociados a cada categoría. Para luego, realizar la clasificación de los activos de la información y establecer planes de divulgación. Evaluar los mecanismos de control implementados actualmente que permiten proteger la información, para luego verificar si estos mecanismos son suficientes para protegerla en base a su clasificación. Definir mecanismos de control adicionales que deben ser implementados, tomando en cuenta las mejores prácticas y las políticas internas de la empresa. Es importante considerar todas las fases del manejo de la información: ingreso/captura en el sistema, transmisión o envío, procesamiento y almacenamiento. Definir/reforzar las políticas de manejo de información dentro de las empresas, es necesario seguir explícitamente los lineamientos para manejar la información en todas sus fases, haciendo énfasis en el rol de los usuarios. Entre las políticas se encuentran: -Escritorio limpio. -Uso de mecanismos de almacenamiento externo como CDs, pendrives. -Uso del correo electrónico, haciendo énfasis en el envío de información de la empresa solamente al personal requerido y autorizado. Involucrar a todo el personal de la empresa: Es imposible e inapropiado que el personal de la Función de Seguridad de la Información sea el único involucrado en implementar todas las medidas de controles necesarias para salvaguardar la información. La adopción en un entorno confiable de seguridad requiere de la participación activa de la organización, tanto por temas de educación y cumplimiento de las normas, como en la identificación de los riesgos y ejecución de controles. La Función de Seguridad de la Información tiene un rol principalmente asesor, de ejecución de los procesos directamente asociados a sus labores y del monitoreo al cumplimiento e incidentes en la Organización. Implementar un proceso de evaluación continua: El ambiente de seguridad cambia constantemente, bien sea por la incorporación de nuevos procesos, equipos o personas o por la aparición de vulnerabilidades y fallas. En consecuencia, cada diagnóstico del ambiente de seguridad y control, representa una fotografía al momento de su ejecución, por lo que pierde vigencia casi de inmediato. Se hace necesario entonces realizar periódicamente evaluaciones al cumplimiento de las políticas y de la efectividad de los controles implementados para proteger la información, en especial aquellas que han sido clasificadas como confidenciales y sensitivas. - (*) El autor es socio de la firma PwC Espiñeira, Pacheco y Asociados.

7 - COMPUTERWORLD - VENEZUELA Edición 2 - Año Seguridad en la nube E Leonardo Gonzalez (*) n la cambiante economía de la información, la computación en la nube ofrece hoy a los departamentos de TI la posibilidad de aumentar la eficiencia y ahorrar dinero. Sin embargo, los problemas de seguridad siguen siendo el mayor obstáculo para la adopción de esta tecnología. La computación en la nube se anuncia como la última y mejor oportunidad para la prestación de servicios de TI ya que facilita el acceso, según se estime necesario, a numerosos recursos de computación compartidos, desde redes y almacenamiento hasta servidores y aplicaciones. La nube promete eficiencia superior y reducción de costos, además de una rápida entrega de servicios para contribuir a una mayor agilidad del negocio. En este sentido, los directores generales de seguridad (CSO/Chief Security Office) están jugando un nuevo papel estratégico como responsables de la empresa en asociación con los CEO y CIO; tienen como objetivo que la nube se convierta en una realidad confiable y las empresas puedan sacar provecho de esta tecnología. Trasladar una red central a la nube entraña los mismos riesgos y vulnerabilidades que los servidores físicos. La firma de investigación Forrester predice que para el 2020, la computación en la nube llegará a US$241 miles de millones. Las plataformas SaaS (Software as a Service/Software como servicio) y la computación en la nube han prometido recortar los costos mediante la supresión de las grandes licencias de software. La encuesta Adopción global de la Computación en la Nube (Global Cloud Computing Adoption) de CIO revela que dos tercios de las organizaciones que respondieron ya adoptaron o están planeando adoptar la computación en la nube. Además, el 88% de los encuestados dicen que usarían más la computación en nube si ésta tuviera igual o mayor seguridad que el centro de datos. No obstante, las preocupaciones por la forma de proteger la información y garantizar el cumplimiento de las normas siguen obstaculizando su adopción y representan el reto número uno. Para crear una infraestructura de nube confiable se necesitan herramientas de administración de vulnerabilidad y servicios de seguridad rentables y adaptables, donde se utilice un único marco de políticas para la implementación y la administración de los servicios de seguridad. Las herramientas de la seguridad en la nube necesitan ser más automáticas para obtener mayores ahorros en lo que respecta a la inversión en tiempo y dinero. Si bien la nube pública ofrece consideraciones atractivas de escala y costos, la mayoría de las inversiones se encuentran en entornos de nubes privadas que permiten mayor control y visibilidad a los compradores conscientes de la seguridad. Sin embargo, las tendencias recientes apuntan a la adopción de un modelo de nube híbrido, que combina los beneficios de la seguridad y el rendimiento de los entornos privados con las ventajas de costo y escala de servicios de la nube pública. Afortunadamente, el gasto en seguridad tiene también su espacio en el presupuesto. De acuerdo con la encuesta 2011 Global State of Information Security, el 52% de los encuestados indica que el gasto en seguridad se incrementará en los próximos 12 meses. Problemas principales: Control y Visibilidad El 56% de los líderes de TI y de las empresas que fueron encuestados por CSO, dicen que la gestión del acceso a los datos en la nube es uno de los retos principales. Con la cantidad de datos que se generan, el número de identidades y dispositivos que acceden a la nube, y la infraestructura en constante cambio, esos líderes reconocen que hoy en día pudieran no tener los controles necesarios y les faltaría visibilidad en tiempo real. Ellos no pueden gestionar lo que no pueden ver y no pueden asegurar lo que no pueden manejar. Está claro que los ejecutivos de seguridad y tecnología ponen en primer plano la capacidad de mantener el control sobre sus datos e infraestructura, y la visibilidad necesaria en todos los componentes físicos y virtuales. Con ello se reconoce la necesidad de una gestión práctica de la infraestructura de la nube. Las empresas deben tener la posibilidad de influir en las normas, mantenerse continuamente al tanto de las actividades y demostrar el cumplimiento, todo lo cual requiere una estrecha integración con las posibilidades existentes en las instalaciones, además de visibilidad total en los entornos internos y externos. La realidad La computación en la nube promete oportunidades incalculables para las empresas. La seguridad es simplemente un riesgo percibido que se puede superar con la tecnología actual. Una nube empresarial híbrida ofrece el equilibrio perfecto entre el control y la visibilidad de una nube privada, y las ventajas en agilidad y costos que se derivan de una nube pública. Recuerde que en este caso el riesgo real no es de TI, sino de la empresa: el riesgo está en perder la oportunidad de no adoptar la tecnología en la nube. No pierda, por tanto, esta oportunidad debido a un error de percepción. - (*) El autor es el director de Ventas para Ecuador y Venezuela de VMware. El factor humano es tan importante como la tecnología Siete Pecados Capitales en la Seguridad de las empresas CWV E n Latinoamérica, los responsables de tecnología y sistemas en las empresas (especialmente las Pyme), frecuentemente encuentran dificultades para implementar medidas de seguridad de la información. Directores, gerentes, administradores, soporte y otros miembros de las organizaciones, suelen cometer ciertos pecados a la hora de implementar planes a largo plazo en pos de mejorar la seguridad de la información. Según el ingeniero Gustavo Quiñones, gerente de Soporte y Capacitación de ESET (empresa global que brinda soluciones de software de seguridad), para que la información -activo más importante de cualquier empresa- sea considerada segura, debe cumplir con tres requisitos: disponibilidad, integridad y confidencialidad. La confidencialidad se refiere a la característica que implica que la información sea accedida solamente por aquellos usuarios autorizados. La integridad garantiza que el contenido permanezca inalterado, a menos que sea modificado por personal aprobado, y la disponibilidad de la información es su capacidad de estar siempre presente en el momento que se necesite, para ser procesada por las personas autorizadas. Una vez identificados estos conceptos, es más fácil determinar cuáles son los pecados más comunes que cometen las empresas y que ponen en peligro la información. Para el directivo de ESET, el primero es: no definir una política de seguridad Quiñones considera que muchas empresas ni siquiera cuentan con una política formal de seguridad, lo que constituye un error grave ya que esta sienta las bases para la gestión de la seguridad en la empresa. Adicionalmente, las organizaciones que sí la tienen no hacen un seguimiento adecuado ni poseen herramientas de gestión de la misma, haciendo imposible responder preguntas como: Sabe usted quién ha leído las políticas actuales?, los usuarios las entienden?, están siendo cumplidas y actualizadas?. En segundo lugar se encuentra: no utilizar tecnologías de seguridad. Según Quiñones, son estas la base de la seguridad de la información en la empresa, por lo tanto una red que no cuente con protecciones básicas como antivirus, firewall, antispam, control de contenidos, etc., estará demasiado expuesta como para cubrir la protección con otros controles. Pensar que la seguridad es solo un problema tecnológico es el tercer pecado capital en materia de seguridad de la información. El uso de las tecnologías es una parte necesaria pero no suficiente. Por limitaciones de conocimientos, presupuestos o recursos, suele restringirse la seguridad de la información a la implementación aislada de tecnologías y se omiten aspectos humanos y de gestión que resultan ser indispensables para el proceso de seguridad, apunta el gerente de Soporte y Capacitación de ESET. Quiñones ofrece un dato revelador: casi la mitad de las amenazas detectadas durante el último año en la región utilizan la ingeniería social, por lo que se confirma que aún el usuario sigue siendo el eslabón más débil en la cadena de la seguridad y de ahí la importancia de los planes de concientización. El cuarto error es la utilización de un software desactualizado, ya que toda empresa debe tener presente que las vulnerabilidades de software son la puerta de acceso a muchos ataques que atentan contra la seguridad personal y de la organización. Quiñones también explica que mantener software sin actualizar significa no corregir sus vulnerabilidades por lo que estaríamos dejando una puerta abierta a los ciberdelincuentes. Esto no solo se limita a los sistemas operativos sino a cada una de las aplicaciones instaladas (lectores de PDF, navegadores, reproductores, entre otros). En el antepenúltimo puesto está: la seguridad informática descansa en TI (personal de sistemas). Quiñones aclara que esto es básicamente por dos razones. La primera es el tema de recursos de tiempo y disponibilidad, ya que puede que la cantidad de recursos asignados a la seguridad no tengan la prioridad debida. Y la segunda, de mayor importancia, es que puede crear conflicto de intereses puesto que pasarían a ser juez y parte, al ser los encargados de seguridad de la información los responsables de indicarles a TI -y al resto de la empresa- las medidas que se deben de tomar en torno a la seguridad. Se recomienda que el equipo encargado de la seguridad de la información sea independiente para que pueda tomar decisiones libremente. Terminar proyectos de seguridad es el sexto pecado. El experto lo deja claro cuando dice que los proyectos de seguridad nunca deben terminar. La seguridad de la información es un proceso continuo donde cada etapa debe ser fuente de mejora para la siguiente. El séptimo pecado lo cometen las empresas al pensar que los incidentes ocurren y deben corregirse. Para Quiñones un error frecuente es la naturalización de los inconvenientes. Se da como un hecho la ocurrencia de incidentes de seguridad como situaciones comunes; esto implica una asignación de recursos para su resolución muy superior en proporción a los asignados a la prevención. La prevención debe ser, ante todo, el eje de cualquier estrategia de seguridad, concluye el gerente, ya que los costos de prevención suelen ser menores que los de remediación y, a su vez, disminuyen los riesgos de ser víctimas de un incidente de seguridad. -

8 KKK.pdf 1 2/20/2013 2:10:31 PM 8 Edición 2 - Año 2013 COMPUTERWORLD - VENEZUELA Cifrado en la Nube Elementos clave. Perfecta integración. Cualquier configuración. DISTRIBUCIÓN PDUs PROTECCIÓN SISTEMAS UPS CONTROL ADMINISTRACIÓN DE RECURSOS, KVMS Y SERVIDORES DE CONSOLA ORGANIZACIÓN RACKS ENFRIAMIENTO AIRE ACONDICIONADO MÁS DE CONECTIVIDAD CABLEADO ALTA DEFINICION EN LA PALMA DE SU MANO! SOLICITE UNA CONSULTA GRATIS Y REGÍSTRESE PARA GANAR UNA TABLETA MINI Visite para más información Tripp Lite Venezuela info_la@tripplite.com Tripp Lite América Latina info_la@tripplite.com Rafael Núñez s segura la información que tengo en la Enube? Desde la masificación de los servicios de almacenamiento virtual, esta es una pregunta común, tanto para usuarios como para empresas y gobiernos que quieren adoptar estas plataformas. La respuesta parece estar en el cifrado. Piense cómo reaccionaría usted si su gobierno, o empresa de servicios, decide migrar el registro de usuarios a la nube. Tome en cuenta que seguramente los servidores que respaldan esta información no estarán ni siquiera dentro de su propio país. La gran interrogante es: Estará mi data segura? En plena crisis económica global, la reducción de costos por la utilización de una plataforma en la nube, y tener acceso en todas partes y todo el tiempo a la información, son los principales atractivos. Pero esta nueva realidad presenta retos de seguridad que deben atenderse antes de asumir por completo las tecnologías de la nube. La clave está en el cifrado (o encriptación, por su término derivado del inglés). Las preocupaciones sobre seguridad hacen que algunas empresas y gobiernos tomen con mucha cautela la posibilidad de alojar su información en servidores sobre los cuales no tienen acceso físico, ya que esto conlleva el riesgo de dejar desprotegida información sensible en centros de datos ajenos a su jurisdicción. Por ejemplo, Sony en 2011 sufrió un ataque a su sistema de virtualización, que causó la filtración de datos personales de 100 millones de sus clientes. Apple también vio su plataforma en la nube vulnerada, arriesgando 12 millones de cuentas personales. Amazon, Facebook y Gmail han sufrido de ataques similares. Hay muchos más ejemplos en los que delincuentes informáticos han penetrado y sustraído datos de empresas con servicios de la nube, y casos así son los que han hecho que la industria ponga un freno en la implementación de estas infraestructuras. Estos temores llevaron a Australia a prohibir que el Gobierno de ese país utilice proveedores de servicios en la nube de otros países. Es aquí cuando hay que hablar de cifrado El cifrado, en el sentido más básico, es proveer confidencialidad a la información al ocultar su visualización de aquellas personas que no estén autorizadas. Una información que haya sido cifrada es inutilizada completamente, y sólo Cifrado Móvil Así como la información de nuestras computadoras es importante, también lo es la información que administramos en nuestros dispositivos móviles. Es vital mantenerla protegida. En Venezuela hay varias opciones para cifrar la información de nuestros teléfonos o tabletas, como por ejemplo Cifrados del Sur, que ofrece aplicativos que permiten blindar nuestra información y protegerla ante intentos por robarla, ya sea de forma virtual o física. puede ser salvada utilizando la llave y la clave generada por y para el dueño, utilizando algoritmos de cifrado, y así revertir el proceso para hacer visible nuevamente los datos. Pero esta realidad no es ajena a la industria. Mega se ha valido de la tecnología de cifrado de información para blindar su servicio de almacenamiento en la nube. Utilizando un algoritmo de cifrado AES, Mega sostiene que sólo sus usuarios podrán saber qué datos alojan en sus servidores. De modo que en caso de presentarse alguna nueva demanda, las autoridades deberán confiscar las llaves de acceso directamente de los usuarios. Pero este uso de cifrado es más para defenderse legalmente. Paralelamente, el Centro de Investigación de Microsoft está desarrollando un diseño de criptografía y protocolos de seguridad ajustados para trabajar en computación en la nube, como una forma de impulsar el equilibrio entre seguridad, eficiencia y funcionalidad. Pero según la empresa, la actual generación de infraestructura de computación en la nube no provee ningún tipo de seguridad ante usuarios no autorizados Hablar de cifrado en la nube no es tan sencillo como suena. Muchos actores de la industria se resisten a ofrecer estos servicios. La razón? El modelo de negocio. Tener acceso a la información personal de los usuarios para posicionar un anuncio publicitario de forma más efectiva, es el núcleo del negocio de los principales proveedores de servicios de almacenamiento e información en la nube. Entonces el cifrado no es consistente con el negocio, ya que oculta la información del usuario, haciendo inviables estas estrategias. El cifrado en la nube permitirá mantener la información en manos de sus verdaderos dueños, permitiendo sólo su manipulación a aquellos que sean poseedores de una llave privada. En definitiva, una infraestructura de cifrado segura debe ser aquella que deje la información y la llave pública en la nube, pero que las llaves privadas y la clave sólo queden en manos del dueño de la información. Precisamente, el mayor punto débil de la nube reside en la forma en que se adoptan las nuevas tecnologías de cifrado para blindar la información que se sube y almacena en Internet, así como en la correcta administración de las llaves de acceso. - (*) El autor es el director de CleanPerception.com

9

10 10 Edición 2 - Año 2013 COMPUTERWORLD - VENEZUELA Seguridad en la Oficina: Más allá de los PC y servidores CWV En los últimos años, las tecnologías de la información y las comunicaciones, han tenido un crecimiento exponencial, comenta Luis A. Graterol, experto en Soluciones de Corporación XDV. Este crecimiento, explica, si bien ofrece muchas posibilidades para tener nuevos servicios, también forma el ambiente propicio para que personas maliciosas basadas en el anonimato, intenten acceder a la información existente en nuestros sistemas, casi siempre con fines delictivos o destructivos. Son muchas las violaciones que se pueden realizar en un sistema informático por usuarios que, sin tener acceso permitido, logran entrar para obtener información confidencial, pudiendo manipularla, destruirla o usarla contra terceros, comenta Graterol, refiriéndose a los delitos de seguridad. En el pasado, pensar en seguridad informática, era referirse básicamente a estaciones de trabajo (PC), servidores y a dispositivos de comunicaciones para redes como routers (enrutadores) y switches, añade. Con el tiempo, dispositivos claves en las actividades diarias de las empresas: las impresoras y los equipos multifuncionales, debido al aumento en su complejidad, se han convertido en un punto focal para fabricantes, administradores de red y expertos de seguridad de las empresas, explica el experto en soluciones. Gratetol sostiene que las impresoras y equipos multifuncionales al convertirse en dispositivos conectados en red, con sistemas operativos sofisticados que implementan una amplia variedad de funciones y servicios para cubrir la actual demanda de los usuarios de oficina, han llevado a importantes fabricantes de la industria a hacer mucho énfasis en incorporar diversos esquemas de seguridad: -El uso de varios métodos de autenticación y autorización para controlar el acceso y el uso de los dispositivos: reglas para el uso de los servicios que provee el equipos multifuncional por usuario, autenticación usando protocolos como LDAP (Lightweight Directory Access Protocol), uso de tarjetas de control de acceso de uso diario entre otros. -Opciones para realizar sobrescritura de los discos duros de los equipos, por demanda o automáticamente luego de que cada trabajo es procesado. -Encriptación de datos almacenados en los discos duros usando algoritmos de 256 bits y cumpliendo la norma FIPS (Federal Information Processing Standard - Estándares Federales de Procesamiento de la Información). -Adición de módulos similares a Firewall (Cortafuegos), que permiten controlar el uso de los puertos de red del dispositivo y el establecimiento de reglas que controlan las conexiones de red con las impresoras y equipos multifuncionales. -Impresión de archivos por demanda, usando claves de seguridad que ayudan a los usuarios a mantener la confidencialidad de documentos. -Implementación de protocolos de red que le permiten transmisión de datos con las impresoras y multifuncionales como: HTTPS (Hypertext Transfer Protocol Secure - Protocolo Seguro de Transferencia de Hipertexto), SMTP (Simple Mail Transfer Protocol - Envío de correos electrónicos) usando el protocolo SSL (Secure Sockets Layer - Capas de Conexión Seguras), IPSec (Internet Protocol Security Seguridad para la Capa IP) y SNMPv3 (Simple Network Management Protocol Protocolo Simple de Administración de Red, en su versión 3). Entendiendo la importancia de la seguridad en las impresoras y equipos multifuncionales, los fabricantes se encuentran muy pendientes de las vulnerabilidades que pudiesen ser encontradas en componentes que conforman los sistemas operativos de estos dispositivos, explica Graterol, comentando que de esta manera proveen las actualizaciones periódicas que mitigan los riesgos que generan estas fallas en la integridad de la red de las oficinas modernas. Adicionalmente, menciona el experto de Xerox de Venezuela, los fabricantes tienen definidas las mejores prácticas en la configuración de las impresoras y equipos multifuncionales, con el fin de lograr un equilibrio entre eficiencia en el funcionamiento de los dispositivos y el cumplimiento de políticas de seguridad de las empresas. Por ejemplo, tenemos la desactivación de protocolos de red que no sean utilizados en servicios prestados por los equipos y el evitar el uso de la clave que por defecto tiene la cuenta de administrador, que viene de fábrica, comenta. Como parte de la evolución de la seguridad informática en la oficina, tenemos asociaciones estratégicas entre fabricantes de impresoras y equipos multifuncionales con empresas líderes en el sector de seguridad, con el fin de ofrecer productos innovadores en la seguridad en las empresas; como el acuerdo reciente entre Xerox y Mcafee, que le permitirá a la primera ofrecer un módulo antivirus en sus nuevos equipos multifuncionales, explica Graterol. Así que la próxima vez que coloque su clave de seguridad a la hora de imprimir, recuerde que se está pensando en la Seguridad de sus documentos, finaliza. - Eficiencia en seguridad sin perder el control Dentro del mundo de la información digital no existe nada oculto, los riesgos de intrusiones son cada vez mayores y la mejor manera de prevenirlas es saber a qué se enfrenta su compañía. CWV Los ataques a empresas mediante aplicaciones que ocultan malware se han vuelto más comunes con el paso del tiempo. En promedio, sitos web son infectados cada día y la intrusión, en el 90% de los casos, se da a través de páginas conocidas y confiables. Ante esto, tal vez no sea posible eliminar completamente estas amenazas, pero sí lograr su contención temporal. De acuerdo con Jesús Diez, gerente de Data Center, Security & Outsourcing de Level 3 Venezuela; no existen nuevos ataques, sino nuevas técnicas de intrusión contra los servidores de las empresas. Durante 2004 fueron los gusanos, en 2007 los spywares, y a partir de 2010 se ha registrado un alza en los cibercrímenes y el ciberespionaje con troyanos dinámicos y robots sigilosos que infectan a los servidores. Actualmente las empresas deben estar alerta frente a cualquier tipo de intrusión, bien proceda de grupos organizados o de empresas rivales. Todos los ataques pueden representar riesgos de daños potenciales a toda la organización, debido a que su objetivo, fundamentalmente, posee un valor incalculable: la información. Las principales amenazas a las que se ven expuestas las empresas son las APT (Amenazas avanzadas persistentes, según su traducción al español), DDoS (Ataques de denegación distribuida) y los Defacements (Intrusiones a servidores web). Diez aseguró que sin importar lo grande que sea, ninguna empresa, agencia o corporación se encuentra libre de estas intrusiones; todas, en algún momento, han quedado expuestas a estos ataques. Si bien no es posible eliminar el riesgo, la estrategia clave es saber administrarlo tomando medidas para prevenir las filtraciones. Desafortunadamente la mayoría de las violaciones de seguridad en la red poseen dos características fundamentales: explotan vulnerabilidades muy simples y, por lo general, pasan desapercibidas. Las brechas en seguridad, aunque sean detectadas, toman tiempo en repararse. En promedio, violar la seguridad de un equipo y robar información toma unos pocos minutos, entre ambas tareas. Pero reparar el problema puede durar incluso meses. Es por ello que para 2013 las tendencias de tecnología de la información y telecomunicaciones apuntan como prioridad a la seguridad informática, Cloud Computing y el Big Data, servicios que estarán a la orden del día. En materia de seguridad, debido al aumento de amenazas y criminales en la red, será necesario que las empresas adopten modelos de seguridad basados en el establecimiento de controles minuciosos de análisis de riesgos, así como predicciones del Big Data. Estas características, propias de los nuevos sistemas de seguridad, conformarán la sólida defensa que resguardará el recurso más preciado: la información. Para finalizar, el gerente recomienda establecer mecanismos Antispam, filtros de contenido web, monitoreo permanente, Anti-DDoS Cloud, así como la instauración de políticas que ayuden a detectar el robo de información y de identidad. Además, gracias a su amplia experiencia en el área de seguridad, explica que se trata de un trabajo en conjunto, no sólo de la empresa especialista en gestión de seguridad empresarial. El trabajo debe realizarse en equipo para construir un muro que pueda proteger sus intereses. -

11 - COMPUTERWORLD - VENEZUELA Edición 2 - Año Dispositivos móviles dentro de las empresas: ventaja o gran riesgo? Velia Trias, y facilidad que otorgan, también es cierto que ponen en riesgo la información de la empresa. ESET Latinoamérica, compañía dedicada al desarrollo, investigación y comercialización de soluciones de protección antivirus y seguridad informática; participó por tercer año consecutivo en el evento InfoSecurity Caracas, cuyo vocero aprovechó su ponencia para plantear si la tendencia conocida como BYOD, caracterizada por el uso cada vez más frecuente por parte de los empleados de sus propios teléfonos celulares inteligentes para cumplir con labores cotidianas-, en lugar de representar un beneficio se traduce en un dolor de cabeza, pues la información vital del negocio puede ser captada por cibercriminales. André Goujon, especialista de Awareness & Research de ESET Latinoamérica, conversó con Computerworld Venezuela acerca de su intervención en InfoSecurity Caracas 2013; en la cual hizo una serie de recomendaciones en materia de seguridad para las organizaciones que están iniciando o considerando la implementación de políticas de BYOD, a fin de evitar que en lugar de traducirse en Trae Tu Propio Dispositivo, se convierta en Trae Tu Propia Destrucción (Bring Your Own Destruction): CWV: Qué valiosos consejos aporta ESET Latinoamérica para el empresariado venezolano? A.G.: Sabemos hoy día que los smartphones o teléfonos inteligentes son cada vez más sofisticados y parecidos a las computadoras, por lo que tienen mayor capacidad de cálculo y de realizar funciones avanzadas; y los cibercriminales se dedican a crear amenazas para estas tecnologías. Por lo tanto, queremos alertar al sector empresarial acerca de los peligros que afectan a dichos dispositivos y cómo pueden protegerse; ya que los empleados usan sus teléfonos celulares para realizar labores del trabajo, y aunque se trata de una gran ventaja por la flexibilidad CWV: En qué se basa ESET Latinoamérica para determinar que el uso de smartphones dentro de las organizaciones se pueda convertir en una amenaza? A.G.: En agosto de 2012, nos dimos a la tarea de realizar una investigación que arrojó que un 83.3% de los consultados utilizaba dispositivos móviles (computadoras portátiles, teléfonos inteligentes y tabletas) para manejar información corporativa; de los cuales más de la mitad se valía de redes WiFi para conectarse a Internet. Asimismo, la revisión de correos electrónicos corporativos y el apoyo a las tareas del trabajo constituyen las actividades más realizadas por los encuestados; y una cifra mayor al 50% dijo almacenar en su equipo personal información del trabajo, mientras que un 20% sólo la revisa remotamente. Al revisar los resultados, son evidentes los cambios que se están dando en la forma de manejar datos corporativos, lo que debe provocar una revisión dentro de los departamentos de TI para garantizar la seguridad de la información del negocio. Las organizaciones necesitan estar alertas ante las formas cómo los usuarios de sus redes se conectan y manipulan la data, crear controles y limitar los accesos; pues es el mismo usuario el eslabón más débil del sistema de protección de un sistema informático. Buscamos que la gente sea consciente de los riesgos a los que se enfrenta y pueda prevenirlos. CWV: Cuáles son las principales amenazas? A.G.: Los códigos maliciosos para dispositivos móviles, y lo más grave es que están creciendo de forma exponencial. Prácticamente todos los días aparecen amenazas nuevas para Android, que es el sistema operativo más atacado por los cibercriminales, y esto se debe a que es el más utilizado del mercado. Detectamos el primer troyano SMS, llamado Boxer, en Argentina; cuyo objetivo es suscribir usuarios a servicios de mensajería Premium sin consentimiento. En cuanto a los dispositivos móviles, uno de los más conocidos es ZitMo, capaz de robar información de los equipos celulares. CWV: Qué tipo de soluciones ofrece ESET Latinoamérica en esta materia? A.G.: Contamos con ESET Mobile Security, una aplicación de seguridad que aparte de detectar códigos maliciosos, permite borrar la información de forma remota en caso de que el equipo sea extraviado o robado; y también permite filtrar los mensajes más solicitados. Está disponible para Android, Symbian y Windows Mobile. Una de las características de este producto, en su versión corporativa, es que puede ser manipulado y configurado a través de un servidor, y además ver cualquier advertencia de seguridad. Cada dispositivo móvil debe tener una copia de la aplicación, que es bastante liviana; e incluso es descargable a través de Google Play. El programa es intuitivo, está disponible en español y otros idiomas, lo detecta de acuerdo con el idioma del teléfono, se configura y actualiza de manera automática. - Ransomware: Pague el rescate y obtendrá de nuevo su información RSA, la división de seguridad de EM, analiza la más reciente tendencia en malware. Alejandro Negrón (*) Con el pasar del tiempo, los malware han evolucionado. Es en las redes sociales donde los desarrolladores del malware han encontrado un nuevo lugar de distribución, convirtiendo a estos sitios en las amenazas principales para los usuarios en línea. En una reciente encuesta global para consumidores, más del 80% de los encuestados afirmó conocer los troyanos. No obstante, el malware se ha considerado durante mucho tiempo un problema que se relaciona con el consumidor y que debe ser resuelto por las instituciones financieras que buscan preservar la confianza de los clientes y reducir las pérdidas por fraudes. Esta visión se entiende, debido a la historia del malware y a su uso tradicional para el robo de credenciales bancarias en línea, información sobre tarjetas de crédito y otros datos, como nombres de usuario y contraseñas para acceder a reconocidos portales en línea orientados al consumidor. Aún hoy en día, los delincuentes cibernéticos utilizan los troyanos como medio principal para capturar este tipo de información a fin de cometer fraudes y llevar a cabo robos de identidad. Una de las nuevas modalidades de ataques que han venido siguiendo los investigadores de RSA son los Ransomware, un tipo de malware que puede infectar a un PC, y luego bloquear los datos del usuario logrando encriptar archivos o implementando un MBR (master boot record) en la rutina de inicio del sistema del equipo. El troyano encripta los datos personales del usuario final (documentos, fotografías, etc), y luego exige un pago para que el usuario reciba un código de desbloqueo para su sistema. Una vez que el usuario paga con un PIN válido/voucher - el delincuente envía un comando de desbloqueo y libera el control del PC. El ransomware puede venir como un código malicioso independiente o junto con otro malware. Este tipo de campaña maliciosa ha ido en aumento y es cada vez más popular, encontrándose casos recientes que combinan troyanos bancarios con ransomware. Mientras que los archivos de los usuarios suelen ser bloqueados hasta que el rescate es pagado, la víctima todavía cuenta con la libertad de navegar por Internet, lo que permite que el troyano bancario continúe recolectando información sobre la víctima. El troyano, estudiado por RSA, es un ransomware que se inicia chequeando la geolocalización de la futura víctima y logrando la adaptación de una página de rescate en la lengua local para trece países diferentes. El hecho de que este malware tenga como objetivo a 13 países específicos permite que pueda ser compartido o vendido a otros delincuentes, que podrán adaptarlo con facilidad a sus propios objetivos. Ransomware ha ido ganando popularidad entre los ciberdelincuentes, probablemente porque este método de extorsión ha dado jugosos frutos, ya que las víctimas creen que si pagan, su sistema se desbloqueará. Detrás de estas estafas los ciber-delincuentes buscaran mantener un precio relativamente bajo, para que la víctima prefiera pagarlo con la esperanza de liberar el control sobre su PC en lugar de contactar a un profesional de soporte técnico. RSA cuenta con expertos en seguridad que están en constante investigación para desarrollar soluciones que protejan la información de sus clientes, además de identificar cuáles son las tendencias en ataques que vulneren su seguridad. Algunas de las más recientes estadísticas en ataques muestran: Los ataques de phishing por mes Para mayo de 2012, RSA identificó que el volumen de phishing aumentó un 7%, con un total de 37,878 ataques globales. La mayor parte del incremento observado en los últimos meses, es el resultado de las campañas de phishing altamente orientadas a instituciones financieras. Principales países por volumen de ataque En febrero de 2013, se identificaron 27,463 ataques ejecutados en todo el mundo, lo que representó una disminución del 9 % en el total de volúmenes desde enero, pero un aumento interanual del 31 % respecto de febrero de La tendencia general en la cantidad de ataques en una vista anual muestra una leve disminución en los volúmenes de ataques durante el primer trimestre del año (en comparación con los años anteriores), lo que posiblemente predice una caída leve para marzo. Considerando los datos históricos, el primer trimestre siempre mostró una reducción en el volumen de ataques. Mediante el análisis de un pequeño conjunto de datos, RSA ha descubierto una cantidad considerable de datos relacionados con las organizaciones que capturan el malware. Todavía no se ha determinado lo que los delincuentes cibernéticos pueden hacer o hacen con esta información una vez que la obtienen. Sin embargo, se ha demostrado que existe la necesidad de que las personas y empresas comprendan el nivel de riesgo y exposición que enfrentan en relación con las infecciones de malware, y que evalúen si cuentan con la tecnología adecuada para reducir amenazas en el futuro. - (*) El autor es especialista de RSA para Norte de Latinoamérica.

12 12 Edición 2 - Año 2013 COMPUTERWORLD - VENEZUELA Disponible nueva versión del Kaspersky Endpoint Security for Business CWV D aniela Álvarez de Lugo, gerente Regional de Ventas de la Región Andina de Kaspersky, de la mano de Electronic Services Venezuela (ESV), informó que la empresa experta en seguridad, ha lanzando una nueva versión de su plataforma de seguridad para empresas, Kaspersky Endpoint Security, con una serie de nuevas y mejoradas funcionalidades, que proporciona una plataforma unificada que ayuda a proteger las organizaciones de nuevas e inesperadas vulnerabilidades, cada vez más frecuentes, a las que hacer frente en los complejos sistemas TI. La tendencia del uso de dispositivos en el trabajo junto con un significativo aumento de sistemas operativos y plataformas ha dado como resultado un mapa de TI muy heterogéneo, plagado de vulnerabilidades, informó. Destacó que los expertos de seguridad de Kaspersky Lab detectan, analizan y dan respuesta a más de programas maliciosos nuevos cada día (en 2011 eran sólo ). Este crecimiento explosivo del malware supone una sobrecarga enorme para el equipo de TI, poniendo en riesgo la implementación de nuevas y avanzadas tecnologías y su adaptación a las nuevas tendencias, tales como el mayor número de dispositivos personales que se emplean en las empresas (BYOD), la movilidad y la heterogeneidad en cuanto a hardware y software. Kaspersky Endpoint Security for Business, creada desde cero, se ha diseñado para hacer frente a estos desafíos, proporcionar protección contra el malware y la ciberdelincuencia y salvaguardar las pequeñas, medianas y grandes empresas de los últimos riesgos para la seguridad empresarial. Además, es una plataforma muy fácil de implementar y gestionar y ya disponible en el país, aseguró. Principales características de Kaspersky Lab Endpoint Security for Business: Seguridad Móvil y Gestión de Dispositivos - Kaspersky Lab permite asegurar y proteger los datos, incluso en los smartphones y tablets personales de los trabajadores. La protección de los endpoints móviles se puede desplegar de forma remota mediante la consola de gestión centralizada de dispositivos móviles (MDM). Cifrado de datos Cifra archivos, carpetas o discos con Advanced Encryption Standard (AES) de 256 bit para prevenir la pérdida accidental de dispositivos o su robo. La nueva tecnología de cifrado de Kaspersky Lab también se puede ejecutar sobre dispositivos periféricos, unidades extraíbles, archivos y carpetas. Es transparente para los usuarios, a la vez que ilegible para los cibercriminales. Herramientas de Control Endpoint Kaspersky Endpoint Security for Business está diseñado para controlar el uso de aplicaciones a través de políticas y listas blancas dinámicas. Los administradores también pueden crear políticas personalizadas para dispositivos de almacenamiento extraíbles, USBs e impresoras, y crear políticas web para garantizar una navegación segura por Internet, ya sea en la red de la empresa o en casa. Sistemas de Gestión El conjunto de herramientas de configuración, despliegue y gestión incluidas en Kaspersky Endpoint Security for Business ahorra tiempo y agiliza y facilita tareas TI tales como: instalación del sistema operativo, inventario de red (software y hardware), administración remota, Network Admission Control (NAC) y gestión de licencias, entre otras. El análisis de vulnerabilidades y gestión de parches automatizada garantiza que los usuarios y administradores estén siempre al día y totalmente al corriente de los riesgos de seguridad críticos. Única consola de gestión. Todo puede gestionarse desde Kaspersky Security Center, una potente consola de administración que unifica todo el sistema de protección endpoint, : servidores de archivos y la infraestructura virtual. Kaspersky Endpoint Security for Business está disponible en módulos escalables, diseñados para adaptarse a un amplio abanico de necesidades de negocio y presupuestos: Kaspersky Endpoint Security for Business: Core Aúna la protección anti-malware de Kaspersky Lab con un firewall, todo gestionado desde Kaspersky Security Center, una única consola de administración muy intuitiva. Kaspersky Endpoint Security for Business: Select En este nivel, se ha incluido seguridad para estaciones de trabajo y servidores de archivos, Control de Aplicaciones con listas blancas dinámicas y Control de Dispositivos y Control Web. Asimismo, cuenta con una solución de protección móvil que consiste en un agente de seguridad para endpoints y Mobile Device Management (MDM). Kaspersky Endpoint Security for Business: Advanced Esta opción incluye todas las tecnologías de KESB Select y, además de cifrado y herramientas de gestión de sistemas. Si su negocio necesita despliegue remoto, gestión de parches y escaneo de vulnerabilidades, KESB Advanced es la solución óptima para su empresa. Kaspersky Total Security for Business Ofrece protección adicional con la inclusión de protección a nivel de infraestructura web, mail y servidores de colaboración; protegiendo todos sus sistemas TI desde el endpoint hasta su salida a través de Internet. - BYOD: Productividad y desafíos de seguridad Fernando Pinillos (*) H oy día el mercado se encuentra cada vez mas inundado de nuevos y avanzados dispositivos móviles personales y corporativos, nuevas tecnologías y nuevas formas de movilidad, que permiten a cualquier persona ser cada vez más productiva. Lo interesante de todo esto, es que esta movilidad esta llegando a las empresas para quedarse, y consigo una serie de riesgos y amenazas de seguridad que pueden convertirse en un gran problema, en vez de dar, un gran beneficio. El BYOD (Bring your Own Device) ó también llamado en castellano trae tu propio dispositivo, es una nueva tendencia que esta obligando a las empresas ponerle especial atención al tema de movilidad que tienen sus empleados, ya que estos cada vez más usan sus propios dispositivos para accesar a internet desde sus trabajos o desde cualquier lugar, a recursos corporativos críticos tales como correos electrónicos, bases de datos, archivos, información y aplicaciones. Es evidente que la movilidad trae consigo nuevas oportunidades de productividad, pero asociado a nuevos riesgos de seguridad, que requieren atención. El desafío para las empresas es potenciar la productividad que la movilidad entrega, pero mitigando las amenazas, riesgos y vulnerabilidades que esta tendencia trae consigo. Los entornos BYOD deben venir acompañados de estrategias de seguridad móvil que abarquen tanto dispositivos corporativos como personales, donde se establezcan controles para el acceso seguro a los recursos corporativos, representados en información sensible y confidencial. El riesgo en la perdida de data es un factor de alerta importante en el departamento IT de cualquier compañía, no solo por el acceso a la información, sino por el riesgo que implica que la información sensible este viajando en la palma de la mano de un empleado. La adopción de BYOD es una realidad innegable en los entornos de trabajo de hoy, donde se reflejan empleados más satisfechos que obtienen mejores resultados con el trabajo colaborativo y remoto, independientemente donde se encuentre, permitiendo un equilibro entre la productividad y la seguridad de la información, al menor costo posible. Algunas de las recomendaciones a tomar en cuenta para una adecuada adopción BYOD son las siguientes: -Identificar y entender los riesgos y ame nazas móviles, para lograr reconocer los objetivos de una completa estrategia de seguridad móvil -Restringir a todos los empleados el acceso remoto a los recursos de información de la empresa y a los que puedan hacerlo, autorizarlos por medio de mecanismos de autenticación (requerimientos de password) y encriptación robustos, además de tener visibilidad del comportamiento de cada empleado una vez este conectado a la red de la empresa. -Establecimiento de políticas de control, acceso y monitoreo de los dispositivos BOYD, donde la premisa sea simplicidad para el empleado, pero efectividad para la empresa. Una política de seguridad robusta debería ser denegar todo, excepto dispositivos, aplicaciones y usuarios aprobados. -Conformar infraestructuras Hibridas de seguridad móvil, donde se combinen de forma sincronizadas tecnologías de resguardo y control, tanto locales como en la nube, para lograr forzar la continuidad de las políticas implementadas, tanto en la empresa como en cualquier lugar donde se encuentre el empleado y su dispositivo. BYOD es una tendencia que llego para q uedarse y se espera que siga creciendo su adopción cada vez más, pero trae consigo una serie de retos importantes en seguridad y; oportunidades para la competitividad de las empresas. Una buena estrategia BOYD es necesaria para el éxito y para el resguardo de la información, por lo tanto, tiene que estar conformada por políticas de seguridad bien diseñadas y que sean simples para el usuario final. Para 2016, 350 millones de empleados usarán Smartphone, de los cuales 200 millones serán dispositivos BYOD. Estamos al frente del futuro del trabajo y de hacer de la movilidad un recurso muy valioso para cualquier compañía en mejora de su productividad y competitividad, pero es innegable que esto trae riesgos que deben ser mitigados. Hay que luchar con la conveniencia de los usuarios frente a la seguridad. Aquí es donde entran a jugar las empresas! - (*) El autor es el gerente general de Cinetix Grupo Consultores.

13 - COMPUTERWORLD - VENEZUELA Edición 2 - Año Las nubes híbridas plantean nuevos retos de seguridad Bloquear los datos que se mueven entre la nube privada y la pública puede ser un problema escurridizo. Christine Burns Rudalevige, Network World (EE.UU.) Si el 2013 va a ser el año -como predicen los expertos- en que las empresas van a comenzar a implementar estrategias de nube híbrida; entonces, se deduce, que éste también será el año en que, en el centro del escenario, estará la seguridad de la nube híbrida. Según los analistas, observadores de la industria y profesionales de seguridad, la mala noticia es que no hay una solución mágica sobre cómo llevar a cabo plenamente la seguridad en una nube híbrida. Y esto es porque hay tantas facetas en seguridad en la nube híbrida: Está la cuestión de cómo asegurar los recursos de los centros de datos on-premise (en las instalaciones propias); cómo proteger las aplicaciones que saltan a la nube pública; cómo proteger los datos almacenados en múltiples proveedores de servicios cloud; cómo proteger las bases virtualizadas de sus nubes públicas y privadas; y por último, cómo asegurar los dispositivos móviles que se conectan a la infraestructura de nube. Si eso no es suficientemente abrumador, otra razón por la cual no hay un una solución de talla única, es que la definición de nube híbrida está abierta a la interpretación. Cada empresa tiene un nivel de confort diferente cuando se trata de la seguridad en general, y de la seguridad en la nube en particular. El plan de juego de una compañía puede ser mantener un conjunto mínimo de operaciones bajo llave dentro del centro de datos on-premise o en una nube privada, mientras que a la vez traslada los procesos de batch o los procesos de frontend de los usuarios a la nube pública. Sin embargo, este modelo para otro departamento de TI podría significar la peor pesadilla. Estrategias de seguridad que funcionan La buena noticia es que las empresas que ya emplean prácticas de defensa en profundidad a través de sus redes existentes, pueden aplicar esos mismos principios dentro de una estrategia de gestión de seguridad de nube híbrida. La advertencia aquí, sin embargo, es que la gestión de TI debe comprometerse a desplegar una gran cantidad de planificación previa, a preparar a su personal para un poco de ajuste tecnológico de su política de seguridad, y a equiparse antes de que la nube híbrida sea puesta en producción. Por lo general en esta industria, la adopción de cualquier tecnología ocurre mucho antes de que las consideraciones de seguridad que la rodean se atiendan plenamente, señala Gary Loveland, director de la división de prácticas de PricewaterhouseCooper y jefe de prácticas de seguridad globales de la firma. Con la nube híbrida, agrega Loveland, los clientes están siendo más claros sobre los requisitos de seguridad en la parte frontal, y están obligando a los proveedores de servicios de nube a que estén más preparados para tener respuestas sólidas sobre temas que van desde la definición y la garantía de la frontera entre varios inquilinos, el cumplimiento de PCI y FISMA y las capacidades de auditoría. Pautas de la industria que pueden ayudar La Cloud Security Alliance en 2011 estableció el CSA Security, Trust & Assurance Registry, un registro público accesible que documenta los controles de seguridad provistos por varios proveedores de servicios de nube. El registro, en el cual los fabricantes proveen la información sobre sus propios productos, está diseñado para ayudar a los usuarios a evaluar la seguridad de los proveedores de nube que actualmente contratan o están considerando contratar en el futuro. A la fecha, el registro contiene información de 20 proveedores. El problema de fondo, señala Loveland, es que las empresas tienen que madurar lo suficiente en el uso de tecnología virtual y gestión de servicios en la nube para aprovechar las ofertas de seguridad más altas. Jeff Spivey, vicepresidente internacional de ISACA, una asociación de profesionales de IS dedicados a la auditoría, control y seguridad de sistemas de información y vicepresidente del fabricante de seguridad móvil RiskIO, concuerda. Él ve con demasiada frecuencia que las TI empresariales asume que una vez que entregan parte de sus operaciones a un proveedor de nube, éste asume él solo la responsabilidad de la seguridad. No es cierto, es en ese punto en que las TI necesitan llegar a ser aún más diligentes acerca de la implementación de seguridad a través de sus nubes, señala Spivey. Señaló el COBIT 5.0, la nueva versión del framework de ISACA para la gobernanza y la gestión de las TI empresariales, que delinea los objetivos de control de TI para la computación en la nube en general, como una guía sólida sobre cómo implementar la seguridad híbrida. A medida que la bulla alrededor de la nube continúa creciendo, los departamentos de TI están siendo presionados por la administración para aprovechar algunos de los beneficios económicos prometidos por la nube. Pero es trabajo del departamento de TI asegurarse que no están poniendo en riesgo a la empresa por ir a la nube y ver esos beneficios. De hecho, científicos de computación en la Universidad de Texas en Dallas han ideado un algoritmo que puede ayudar a las empresas a desarrollar una estrategia consciente del riesgo en la nube híbrida. Según uno de los investigadores, el Dr. Murat Kantarcioglu, el sistema es un mecanismo eficiente y seguro de partición de los cálculos a través de máquinas públicas y privadas en un entorno de nube híbrida. Kantarcioglu y sus colegas han establecido un framework para la distribución de datos y procesamiento en una nube híbrida que cumpla con los objetivos contradictorios de rendimiento, riesgo de divulgación de datos sensibles y costos de asignación de recursos, consiguiendo balancear todo. La tecnología se implementa como una herramienta complementaria para una infraestructura Hadoop y Hive basada en cloud computing y los experimentos del equipo muestran que su uso puede dar lugar a una ganancia de rendimiento mayor al explotar componentes de nube híbrida sin violar ninguna restricción de uso de nube pública predeterminada. Tener que pensar en cómo las operaciones de nube híbrida encajan en el esquema de una empresa global de gestión de seguridad de información, podría ayudar a los departamentos de TI a establecer el nivel de seguridad adecuado para los procesos en toda la empresa, sostiene Pat O Day, director de tecnología de BlueLock, un proveedor de servicio basado en la nube de VMware, en Minneapolis. Ahora hemos llegado a pensar acerca de cómo establecer el nivel adecuado de en una aplicación específica, un proceso específico o incluso una base de datos específica, señala O Day, una condición que da a las empresas un buen margen de maniobra en términos de donde quieren gastar recursos en seguridad. Rand Wacker, vicepresidente de productos en CloudPassage, un proveedor de seguridad de servidor de nube, sugiere que los clientes opten por el escenario de seguridad más estricto -muy probablemente relacionado con el uso de la nube híbrida, porque existe una relación directa entre la nube pública y los recursos en las instalaciones- y el establecimiento de la política de seguridad más estricta para ese nivel de riesgo. Spivey, de ISACA, aconseja a sus clientes que sin importar lo que las políticas de seguridad establezcan, deben estar seguros de que es portable. No cierre su política a su proveedor de nube, señala Spivey. Llegará un momento en el tiempo en que tendrá que migrar de ellos, ya sea por razones de precio o de rendimiento y no tiene que repensar toda su política de seguridad para hacer el cambio, afirma. -

14 14 Edición 2 - Año 2013 COMPUTERWORLD - VENEZUELA Mitos de seguridad de TI desmitificados Ellen Messmer, Network World (EE.UU.) Son mitos frecuentemente repetidos, y nociones ampliamente aceptadas, sobre seguridad en TI que simplemente no son verdad. Le preguntamos a los profesionales de seguridad que compartan con nosotros sus mitos favoritos de seguridad. Aquí algunos de éstos: Mito #1: El antivirus lo protege contra el malware en forma eficiente Raimund Genes, CTO de Trend Micro, señala que los negocios usan antivirus (A/V) porque de otra forma sus auditores lo matarían si no utilizaran uno. Pero los A/V no pueden protegerlo con confiabilidad contra ataques dirigidos porque antes de su despliegue, el atacante se ha asegurado de que no será detectado por el software A/V. Mito #2: Los gobiernos crean los ciberataques más poderosos John Pescatore, director de tendencias de seguridad emergentes en SANS, señala que la mayoría de los ataques de gobiernos simplemente reutilizan recursos de ataque de propiedad de delincuentes. Y al Departamento de Defensa de EE.UU. le gusta exagerar las amenazas de otras naciones para incrementar su presupuesto. La triste verdad es que los ataques de denegación de servicio contra los sitios web de bancos como Citibank pueden ser detenidos, pero no ha habido el suficiente esfuerzo para hacerlo. Y que los gobiernos estén detrás de otros gobiernos por razones de espionaje no es nada nuevo entre China, EE.UU., Francia, Rusia y otros, por décadas. Pescatore también tiene otros dos mitos favoritos relativos a la seguridad en la nube que, puestos juntos, son contradictorios en sí mismos: los servicios en la nube nunca van a ser seguros porque son servicios compartidos que pueden cambiar cuando lo deseen, y el segundo mito es la nube es más segura porque es lo que los proveedores hacen para ganarse la vida. Sobre esos dos mitos contradictorios, Pescatore señala: Muchos de los proveedores como Google, Amazon, etc., no construyen sus nubes para proporcionar servicios de clase empresarial o proteger la información de los demás. De hecho, Google construyó una nube muy potente expresamente para a reunir y exponer la información de otras personas a través de sus servicios de búsqueda. Mito #3: Todas las cuentas están en Active Directory y bajo control. Tatu Ylönen, inventor de SSH y CEO de SSH Communications Security, señala que este concepto erróneo es común, pero que la mayoría de las organizaciones han creado -y en gran medida olvidado- cuentas funcionales utilizadas por las aplicaciones y procesos automatizados, a menudo administrados por claves de cifrado y nunca auditadas. Muchas grandes organizaciones tienen más claves configuradas para acceder a sus servidores de producción que cuentas de usuario en Active Directory, señala Ylonen. Y estas claves no se cambian, nunca se auditan y no se controlan. Toda la identidad y el ámbito administrado de acceso generalmente administra las cuentas de usuarios interactivos, y consistentemente ignora el acceso automatizado por máquinas. Pero estas claves destinadas para acceso automatizado se pueden utilizar para ataques y propagación de virus, si no se gestionan adecuadamente. Mito #4: Las técnicas de gestión de riesgos son necesarias para la seguridad de TI Richard Stiennon, analista en jefe de IT- Harvest, señala que aunque la gestión de riesgos se ha convertido en la técnica aceptada de gestión, en realidad se centra en una tarea imposible: identificar los activos de TI y catalogar su valor. No importa cómo se intente, no reflejará el valor que los atacantes ponen en la propiedad intelectual. Stiennon sostiene que la única práctica que realmente mejorará la capacidad de una empresa para hacer frente a los ataques dirigidos, es la gestión del riesgo que implica la comprensión profunda de los adversarios y sus objetivos y metodologías. Mito #5: Existen mejores prácticas para la seguridad de la aplicación Jeremiah Grossman, CTO de WhiteHat Security, señala que los profesionales de seguridad comúnmente abogan por mejores prácticas debido a que son universalmente eficaces y dignas de la inversión, ya que son esenciales para todos. Estas incluyen la capacitación de software, pruebas de seguridad, modelado de amenazas, firewalls de aplicaciones web, y unas cien actividades más. Pero él piensa que esto normalmente pasa por alto la singularidad de cada entorno operativo. Mito #6: Los ataques de día cero son un factor de vida y son imposibles de predecir o de responder efectivamente Los ataques de día cero son aquellos dirigidos a vulnerabilidades de la red que aún no son conocidos en forma general. Pero H.D. Moore, CSO en Rapid7 y creador de la herramienta de prueba de penetración Metasploit, piensa lo contrario, que los profesionales de seguridad realmente pueden hacer un buen trabajo en predecir y evitar el software problemático. Si la organización depende de un software sin el cual es imposible trabajar, debe haber un plan en marcha para saber qué hacer en caso de que el software se convierta en un riesgo de seguridad. La habilitación selectiva y la limitación de los privilegios que el software recibe son buenas estrategias. También dice que otro mito favorito de seguridad es que puede decir lo seguro que es un producto o servicio basándose en el número de vulnerabilidades divulgadas públicamente. Mito #7: Cumplo con los requisitos, por lo tanto estoy seguro Bob Russo, gerente general de PCI Security Standards Council, señala que es una noción común que las empresas piensen que una vez que obtienen la conformidad con las normas de seguridad de datos para tarjetas de pago, están seguros de una vez y para siempre. Pero el control para el cumplimiento solo representa una instantánea en el tiempo, mientras que la seguridad es un proceso continuo en relación con las personas, la tecnología y los procesos. Mito #8: La seguridad es problema del director de la seguridad de la información Phil Dunkelberger, presidente y CEO del emprendimiento Nok Nok Labs, señala que el CISO recibirá la culpa de una violación de datos, principalmente porque su trabajo los mantiene estableciendo una política o un curso técnico. Pero muchos otros en la organización, especialmente la gente de operaciones de TI, también poseen seguridad y tienen que asumir una mayor responsabilidad por ello. Mito #9: Está más seguro en su dispositivo móvil que en la computadora El Dr. Hugh Thompson, presidente del Comité de Programa de Conferencia RSA, afirma que si bien esta asunción frecuente tiene algún mérito, subestima cómo algunas garantías tradicionales para computadoras, tales como contraseñas enmascaradas y la URL de vista previa, no se aplican a los dispositivos móviles de hoy. Así, mientras que los dispositivos móviles todavía ofrecen más garantías de seguridad que las computadoras portátiles o de escritorio, varias prácticas de seguridad tradicionales que se rompen pueden dejarlo vulnerable. Mito # 10: Puede estar 100% seguro, pero tiene que renunciar a las libertades personales Stuart McClure, CEO y presidente del emprendimiento Cylance, señala que no compre el argumento de que para luchar contra los chicos malos en línea, hay que enviar todo nuestro tráfico al gobierno para hacerlo. Es mejor conocer a los chicos malos muy bien, predecir sus movimientos, sus herramientas, y meterse en su piel. Mito Mito # 11: Estar al día con la seguridad es todo lo que necesita para detener el malware Martin Roesch, fundador de Sourcefire e inventor del sistema Snort de detección de intrusiones, señala que la seguridad defensiva muy a menudo se limita a la captura o la no captura de cualquier tipo de ataque, y que si se pierde, la defensa prácticamente deja de ser un factor en el despliegue de actividades de seguimiento de un atacante. Un nuevo modelo de seguridad funciona de forma continua para actualizar la información incluso si el ataque inicial de la red se pierde, con el fin de comprender el alcance del ataque y contenerlo. Mito # 12: Con la protección adecuada, los atacantes pueden quedar fuera Scott Charney, vicepresidente corporativo de Microsoft Trustworthy Computing, señala: A menudo asociamos el mantenimiento de la seguridad con mantener a la gente fuera; poner seguro a sus puertas, firewalls en nuestras computadoras. Pero la realidad es que aún con estrategias de seguridad sofisticadas y con operaciones excelentes, un atacante persistente y con determinación, encontrará eventualmente una manera de forzar la entrada Hay que reconocer que en realidad deberíamos pensar de forma diferente respecto a la seguridad. Para la comunidad entera de seguridad, eso significa proteger, contener y recuperar para combatir las amenazas de hoy y en el futuro. -

15 - COMPUTERWORLD - VENEZUELA Edición 2 - Año Cobertura Internacional De acuerdo a Canon en convención de partners en Ciudad de Panamá Taro Maruyama Color y digitalización definirán futuro del manejo de documentos Ciudad de Panamá, Giorgio Baron Recientemente, Canon Latinoamérica llevó a cabo en la ciudad de Panamá su convención anual, la cual tuvo como meta analizar el desempeño de la marca hasta la fecha, conocer los objetivos futuros y, sobre todo, dar a conocer a los partners los productos y tecnologías que vendrán, específicamente en el área de equipos de captura de imágenes y documentos, software para su manejo y finalmente, impresión y reproducción. Alberto Medrano, director Senior de la Unidad de Negocios de Canon Latinoamérica, informó que la oferta incluye equipos de fotocopiado inteligentes para uso corporativo y de la Pyme, escáneres, impresora de gran tamaño dirigidas al área de ingeniería, impresoras de color de gran tamaño para imprimir sobre distintos materiales, tales como cartulina, papel, plástico o tela para el mercado publicitario y con tintas a base de agua no contaminantes. El evento fue dirigido a clientes, distribuidores y socios de negocios de Perú, Venezuela, Colombia y El Caribe, países que dependen en administración, ventas y mercadeo de la oficina comercial de Miami y que se maneja por medio de ejecutivos de cuentas que dan soporte a distribuidores locales. Pero en Panamá, país anfitrión de la jornada, existe un centro de soporte para toda la región con operaciones de preventa, técnicas, centro de llamadas, así como un centro de reparaciones de cámaras. El resto de los países como Chile, México, Panamá, Argentina y Brasil se manejan localmente a través de subsidiarias. Fueron presentados además, sistemas de impresión láser de alta capacidad y velocidad para competir con el offset en el nicho que se conoce como print on demand que permiten imprimir textos o documentos en las cantidades exactas que requiera la demanda y sólo cuando se necesite, evitando la producción basada en estimaciones que requiere el offset con las consecuencias eventuales de gastos de almacenamiento o pérdidas por obsolescencia. Los requerimientos de fotocopiado e impresión están bajando a nivel mundial ya que la electrónica está sustituyendo el papel impreso y en Canon están muy claros, pero de acuerdo a Taro Maruyama, CEO de Canon Latinoamérica, si bien la impresión en negro está bajando, la impresión a color seguirá en aumento en los próximos años. Adicionalmente, recordó que las entidades públicas seguirán requiriendo por ley documentos físicos y, en todo caso, previendo tendencias futuras, Canon por medio de la adquisición de software especializado para el manejo de documentos, piensa transformarse en proveedor de soluciones end to end para el manejo de documentos digitalizados que irían desde la captura del documento por medio de escáneres Canon, el manejo del workflow con software de Canon, hasta la impresión final con sus impresoras, si se requiere una copia en papel. En Latinoamérica existirá mucho mercado para estas soluciones, aseveró Maruyama destacando que en Perú ya Canon tiene un caso de éxito en los Registros Civiles para la captura de actas de nacimiento. Medrano por su parte explicó que actualmente Canon se divide en dos grandes divisiones: Business Imaging Solution Group (unidad que organizó el evento) que incluye los sistemas de copiado, escaneo y software dirigidos al mercado de los negocios e Imaging Tecnology Consumer Group, división encargada del manejo de cámaras digitales desde las de nivel de entrada hasta las profesionales, así como impresoras ink-jet y escáneres de cama plana. En Perú, Colombia y Venezuela esta última división, ha logrado cifras importantes logrando una participación de hasta un 23% como en el caso de Colombia a través de minoristas, y en Venezuela en tiendas de la Isla de Margarita, así como en Makro para las cámaras y Compu Mall para las impresoras Ink-Jet. En el caso de la línea de copiadoras, Colombia y Perú han logrado discreto éxito, sin embargo, reconoció que el mercado venezolano ha sido un reto para Canon, debido a las dificultades para la importación y adquisición de divisas, no obstante reconoce haber logrado algunas negociaciones con PDVSA con algunas soluciones específicas. Actualmente las ventas de Canon varían dependiendo de las líneas de productos pero a grandes rasgos de distribuyen en un 30% para las Américas y Europa respectivamente, 25% Asia y en aumento y el restante 15% se lo lleva Japón. Del 30% de Las Américas, Latinoamérica representa un 10%. - Novedades en la Canon ImageRUNNER ADVANCE L a ocasión fue propicia para conocer la segunda generación de fotocopiadoras imagerunner ADVANCE que ofrecen un conjunto de prestaciones avanzadas como control de acceso, personalización, eficiencia de servicio, así como conectividad móvil y con la nube, mediante un nuevo conjunto de potentes aplicaciones de software tanto de serie como opcionales. Entre otras cosas, en los nuevos dispositivos de la nueva generación de imagerunner ADVANCE ahora se cuenta con el Universal Login Manager, que permite el inicio de sesión de forma personalizable con el nombre o logotipo de la empresa, con control de uso y de acceso a nivel de usuario mediante tarjetas de proximidad, sin necesidad de un servidor. La nueva gama imagerunner ADVANCE ofrece una serie de soluciones que integran flujos de trabajo basados en la nube y soporte para trabajo móvil, para los que existe una gran demanda en la actualidad. Según cifras internacionales, el 52% de las personas que usan smartphones para trabajar comentaron que no pueden imprimir desde su dispositivo, pero que querrían hacerlo y se prevé que los trabajadores móviles llegarán a 37,2% de la población activa mundial en La aplicación Direct Print and Scan for Mobile (DPSM) es una solución móvil de punto a punto que proporciona la funcionalidad de impresión y escaneo móvil entre los dispositivos iphone, ipad, los teléfonos inteligentes BlackBerry y las impresoras multifuncionales (MFP) imagerunner/imagerunner ADVANCE de Canon. Esta nueva función le permite a los usuarios de iphone, ipad y de teléfonos inteligentes como BlackBerry, realizar operaciones de impresión y escaneo entre sus dispositivos y las MFP de Canon, tales como: imprimir mensajes de correo electrónico, archivos pdf, txt, tiff y jpg desde dispositivos móviles; escanear documentos en papel hacia dispositivos móviles; administrar las MFP de Canon en los dispositivos móviles (por ejemplo, añadir o eliminar una MFP, seleccionar características de acabado de impresión o configuraciones de las opciones de escaneo). Asimismo, esta comunicación directa facilita imprimir fotos desde un álbum de fotografías en los dispositivos móviles; proporcionar la compatibilidad con el correo electrónico y la función de guardar archivos, todo desde la aplicación; enviar por correo electrónico los archivos que se escanearon desde una MFP o que ya estaban almacenados en el dispositivo móvil y guardar archivos escaneados en el directorio principal. -

16