Revista Profesional especializada en Seguridad de la Información, Comunicación y Almacenamiento AÑO IV

Transcripción

1 Revista Profesional especializada en Seguridad de la Información, Comunicación y Almacenamiento AÑO IV Nº Entrevista Estanis Moreno Rodríguez, Country Manager de IPBrick Reportaje El reto de contar con una estrategia DLP integrada Entrevista Marcos Polanco, Director del SOC de mnemo en Madrid - SCITUM

2

3

4

5 Sumario Nº 17 DESTACADOS ITIL Gestión de la seguridad? Luis Javier Caño, Ingeniero Informático por la universidad de León. Certificado en ITIL Foundations v El reto de contar con una estrategia DLP integrada Por Clara Sanz 24 REPORTAJE Entornos virtuales? Klaus Majewski vicepresidente de marketing de Stonesoft Corporation 16 ENTREVISTAS IPBrick una nueva cultura en las comunicaciones unificadas: rentabilidad y seguridad en un solo dispositivo 32 Virtualización: Consolidación, Automatización Agilidad Operativa como fundamento de las TIC? Enrique Corro, Ingeniero de Ventas VMware - México 17 Estanis Moreno Rodríguez, Country Manager de IPBrick 38 Servicios de seguridad gestionada, SCITUM en el mercado Español a travez de mnemo con su nuevo SOC en Madrid La biometría como método de gestión de la identidad? Javier Rodríguez Saeta, Director de I+D Semarket 18 IPBrick. Funcionalidades Principales? Estanis Moreno Rodríguez, Country Manager de IPBrick 20 Tendencias, Objetivos y Retos en 2009 María Campos, Country-Manager de Iberia para Stonesoft Marcos Polanco, Director del SOC de mnemo en Madrid 42 5

6 Sumario Nº 17 El reto de contar con una estrategia DLP integrada 9 Cartas del Editor En la actualidad, son muchos los expertos del sector que coinciden en señalar que, en general, las compañías han prestado una atención casi exclusiva a la protección de acceso y tránsito de los datos, pero no así a los posibles riesgos que el uso inadecuado de esa información por parte de los usuarios, ya sea personal interno de la corporación o externo a la misma, pudiera entrañar. En este sentido, ha crecido exponencialmente en los últimos años la problemática de fuga de información a través de entornos sensibles, tales como el correo electrónico; algo que preocupa singularmente a las compañías de toda índole, muy concienciadas en cumplir la ley y proteger sus contenidos. Y es que, a nivel mundial, las organizaciones cuentan con redes cada vez más veloces, un uso ilimitado a Internet y un creciente uso de la informática móvil para acceder y compartir los datos de forma más optimizada; lo que ha entrañado, inevitablemente, un nuevo reto para la seguridad de la información: el referido a cómo y de qué manera prevenir la pérdida de los datos confidenciales. Según un estudio de Datamonitor, que ha contactado con grandes empresas, el 33% de éstas considera que una fuga de información podría acabar con su negocio; al tiempo que un 70% afirma que perjudicaría gravemente su imagen, apunta al respecto Carlos Roldán, director técnico de GigaTrust Spain. Continuación en página Primera Plana 12 Nombramientos 13 Plataforma 52 Formación 54 Soluciones y Servicios 58 Novedades y Productos 62 Productos de Almacenamiento 64 Bibliografía 65 Agenda 66 Créditos 6

7

8

9 Carta del Editor Estimados Lectores: n año más ha comenzado y la situación actual a nivel mundial no es Umuy alentadora, la crisis está afectando a todas las esferas y a todos los países. En Latinoamérica también la situación está haciendo mella, podemos hablar de una restructuración clara de los diferentes sectores y un cambio de rumbo de las necesidades que demandan las compañías. Pero, por suerte, no todo en este periodo es negativo. En cuanto a términos de seguridad se refiere, por fin, podemos afirmar que dentro del entorno empresarial existe una conciencia clara de la importancia y la necesidad de securizar la información. Es de vital importancia que en todos las áreas e infraestructuras organizacionales se implanten redes de dispositivos y soluciones que aíslen de cualquier peligro el valor diferencial de las mismas, su talón de Aquiles, su información única, intransferible y privada. Cómo? Además de lo antes mencionado, dotando a todos los empleados con una continua formación para que sean capaces de poder entender las políticas de seguridad necesarias a la hora de abordar un plan director en una corporación. DLP (Data Lost Prevention ), o más conocido como fuga de información, es uno de los segmentos de seguridad que más está creciendo en estos momentos, el motivo es que cada vez son más las empresas que ven como su negocio, contactos, clientes, cifras y proyectos, acaban en manos de su competencia. Son pocas las entidades que cuentan con un plan o solución para evitar que su información crítica no acabe en posesión de otro. Por eso, las oportunidades de negocio cada vez se vislumbran más claras y grandes en el territorio Mexicano, son muchas las necesidades que presentan las empresas. Así, términos como; la reducción de costes, la optimización de la gestión, la maximización de los recursos, la profesionalización y la especialización se han instalado ya en el segmento profesional y serán vitales en estos tiempos que corren. No me puedo despedirme sin hablar de la situación que vive mi querida chile, todavía bastante peor. Aunque su estrato económico, durante estos últimos años, ha experimentado un importante crecimiento, las cifras del curso pasado comenzaron a sufrir un gran receso, los motivos, que no viene al caso enumerar, han ralentizando mucho la inversión en seguridad IT por parte de las empresas y congelando algún proyecto interesante por parte de las administraciones públicas. Cordialmente, Queridos lectores, en estos tiempos hay que reinventarse, hay que ser más eficientes, profesionales, y ser capaces de detectar las oportunidades de negocio que se presenten, habrá que trabajar más y más duro para poder alcanzar nuevas metas. Oscar Velasco 9

10

11 Revista Profesional Especializada en Seguridad de la Información, Comunicación y Almacenamiento AÑO IV EDICIÓN LATINOAMERICANA NÚMERO 17 / SUSCRIPCIÓN: 110 $ / AÑO McAfee: tendencias del spam y elabora sus predicciones para 2009 McAfee elabora un informe sobre las tendencias del spam durante el pasado año y realiza sus predicciones para el Estas son algunas conclusiones: Tendencias 2008: En 2008, los creadores de spam han aprovechado la carrera hacia la presidencia de EE.UU y el crecimiento de las tasas de desempleo para generar ataques camuflados con nombres como videos obama o enlaces a títulos y diplomas de bajo-coste. El spam anunciando tarjetas de crédito y cheques o transacciones con créditos falsos ha aumentado recientemente, particularmente en las fechas cercanas a las vacaciones. La quiebra de la empresa McColo causó una disminución del 65% del spam global. Los niveles de spam aún no han vuelto a su estado normal. Predicciones 2009: En 2009, los spammers aumentarán los ataques a aquellos blogs que no requieren compra de nombres de dominios. Los chantajes corporativos aumentarán en Se popularizará la venta de información personal y de la compañía en el mercado negro. Se elaborarán timos caseros que constituirán nuevos cebos para el desempleo. Se crearán compañías de hosting en determinados países, que sustituirán a la antigua McColo. ESET entre las compañías de mayor crecimiento del Deloitte Technology Fast 500 ESET, proveedor global de soluciones informáticas, anuncia que ocupa el puesto número 78 en la edición 2008 del Deloitte Technology Fast 500, un programa que posiciona a las 500 compañías en tecnología, medios, telecomunicaciones y ciencia de mayor crecimiento en América del Norte. Los posicionamientos están basados en el porcentaje del crecimiento de las ganancias en un año fiscal en los últimos cinco años, del 2003 al ESET creció a un impresionante 3134 por ciento durante este período. Anton Zajac, CEO de ESET acredita el 3134 por ciento en crecimiento de las ganancias en los últimos cinco años a su tecnología innovadora, lealtad a los clientes y dedicación de sus empleados. Este reconocimiento es el más reciente de una serie de rankings de alto nivel de los que ESET forma parte en el Recientemente, ESET fue nombrado quinto entre las principales 500 compañías de seguridad, según la revista estadounidense Inc. Mejor proveedor de soluciones de deduplicación de la lista Fortune 1000 Data Domain, Inc. Proveedor líder de sistemas de almacenamiento con deduplicación, anuncia que los resultados del nuevo estudio de soluciones de almacenamiento Wave 11 de TheInfoPro cita a Data Domain como el mejor proveedor de soluciones de deduplicación según usuarios entrevistadas de compañías medianas y pertenecientes a Fortune Además, usuarios entrevistados de compañías de Fortune 1000 ven a Data Domain como uno de los proveedores de tecnología de almacenamiento con los productos y servicios más apasionantes en el 2008 y en los inicios del Según el Technology Heat Index del estudio (que mide la urgencia de la necesidad del usuario y la inversión planeada), Data Domain continúa siendo el proveedor de tecnología de deduplicación de más rápido crecimiento según los participantes del estudio. Nokia y Philips anuncian su colaboración para facilitar la conexión Wi-Fi Nokia anuncia en el CES de Las Vegas un acuerdo de colaboración con Philips para facilitar la conexión Wi-Fi de los terminales móviles a los diferentes dispositivos de consumo existentes en el hogar a través del protocolo DLNA (Digital Living Network Alliance). De esta manera, con los nuevos productos inalámbricos Philips Streamium y la Nokia Home Media Solution, los usuarios pueden oír la música almacenada en el móvil a través de su sistema estéreo de casa, controlar el dispositivo Hi-Fi de audio directamente desde el móvil, así como transferir ficheros multimedia de manera sencilla entre los diferentes equipos como la cadena de música, el PC y el propio móvil.

12 Nombramientos DAVID QUANTRELL Presidente de la Región de EMEA McAfee Inc. Anuncia el nombramiento de David Quantrell como Presidente de la Región de EMEA (Europa, Medio Este y África). Quantrell, que reportará a Michael DeCesare, Vicepresidente de JOHN FLAVIN Vicepresidente senior de servicios profesionalesglobales Infor anuncia cambios en su organización global de servicios profesionales, reforzando su compromiso por reducir el coste total de propiedad de la implemen- Ventas Mundial de McAfee, llega a la compañía procedente de HP EMEA, donde desempeñó su labor como Presidente de HP Software. Quantrell es un experimentado directivo que ha desarrollado su trayectoria en compañías de la talla de Mercury Interactive, NetIQ, Nortel Networks y Clarify. En HP, fue el responsable de duplicar el negocio de software hasta superar la cifra de 1 billón de dólares, así como de la gestión de un equipo de ventas de más de empleados. Antes de su llegada a HP, desempeñó el cargo de Presidente de EMEA en Mercury Interactive. Previamente, trabajó como Vicepresidente y Director General de EMEA de NETIQ, una compañía de gestión de seguridad y sistemas. Quantrell conducirá los negocios de McAfee en la región de EMEA. tación y gestión de aplicaciones de software de negocio. John Flavin, anterior vicepresidente senior de satisfacción del cliente en Infor, es nombrado vicepresidente senior de servicios profesionales globales, un nuevo puesto que proporciona liderazgo corporativo a un equipo mundial centrado en el compromiso con los servicios de software. John Flavin cuenta con 25 años de experiencia en el negocio de las aplicaciones de software, con un amplio historial en el desarrollo de productos, venta, soporte y servicios. Antes de incorporarse a Infor, ocupó distintas posiciones a nivel ejecutivo en Future Three, JBA International, Unisys y Ford Motor Company. ED HARNISH Vicepresidente de Marketing, GFI Software GFI Software, uno de los principales proveedores de software de correo electrónico y de seguridad, anuncia el nombramiento de Ed Harnish. Vicepresidente de Marketing, ejecutivo que cuenta con una amplia experiencia en las áreas de ventas y marketing. El nuevo vicepresidente será el encargado de reelaborar las estructuras de marketing de la compañía, así como de introducir nuevas iniciativas globales. Ed Harnish. Vicepresidente de Marketing. Ed es un veterano con 25 años de experiencia en la industria de la alta tecnología y tiene un largo historial a la hora de de proporcionar valor tanto a los clientes como a los accionistas. Es un pionero del concepto de organizaciones centradas en el cliente, donde cada miembro de la organización trabaja hacia un conjunto claro de objetivos que refuerce su base de clientes para ser más competitiva. Ed ha ayudado a docenas de compañías a lograr sus objetivos de crecimiento. Antes de unirse a GFI, fue Vicepresidente de Marketing en Acronis, donde contribuyó a que el crecimiento de la compañía pasase de menos de 20 millones de dólares en 2005 a 120 millones en Ha ocupado altos cargos en Aptus Technologies, Switchboard y Banyan Systems. TOD NIELSEN COO ( Chief Operating Officer ) de VMware VMware Inc. El líder mundial en solu- ciones de virtualización desde el escritorio hasta el Centro de Datos, anuncia el nombramiento de Tod Nielsen para el recientemente creado puesto de jefe máximo responsable de operaciones (COO, Chief Operating Officer) de VMware. Nielsen reportará directamente al Presidente y Director Ejecutivo Paul Maritz. Nielsen de 43 años proviene del equipo de Borland Software Corporation en donde sirvió como Presidente y Jefe Ejecutivo desde Noviembre del Anteriormente, Nielsen estuvo en varios puestos ejecutivos clave en compañías líderes en software incluyendo Microsoft, BEA, y Oracle. Nielsen aporta más de 20 años de liderazgo en empresas dedicadas al desarrollo de software hacia VMware. Antes de trabajar con Borland, Nielsen fungió como vicepresidente de marketing global y ventas para la Corporación Oracle. Nielsen fue el jefe de marketing y vicepresidente ejecutivo de ingeniería en BEA Systems. Nielsen se unió a BEA cuando está adquirió su compañía Crossgain Inc., en donde estuvo como jefe ejecutivo. Nielsen trabajó por 12 años para Microsoft, como gerente general del desarrollo de herramientas y vicepresidente de la plataforma del Grupo Microsoft. 12

13 PYMES CON NUEVAS SOLU- CIONES DE SEGURIDAD, REDES Y PRODUCTIVIDAD En línea con su compromiso para ayudar a las PYMEs a desplegar soluciones de colaboración y redes, Cisco ha anunciado nuevos productos diseñados expresamente para que este tipo de organizaciones cubran sus necesidades en seguridad, conectividad y productividad. Los lanzamientos se suman al amplio catálogo de soluciones de Cisco para PYMEs e incluyen: Sistemas de Almacenamiento para Redes Cisco NSS2000 y NSS3000, dispositivos de almacenamiento de sobremesa conectados a la red que protegen los datos sensibles y permiten a los usuarios compartir fácilmente la información. Sistema de Comunicaciones Cisco Smart Business (SBCS) 1.4, un sistema completo de colaboración y comunicaciones que conecta de forma sencilla oficinas, E S P A Ñ A empleados y clientes desde cualquier sitio y en todo momento, y que incluye el primer teléfono IP de sobremesa inalámbrico con conectividad Bluetooth. STONESOFT PRESENTA STONEGATE VIRTUAL IPS Stonesoft, proveedor de soluciones integradas para la seguridad de las redes y la continuidad del negocio, presenta el nuevo StoneGate Virtual IPS (Sistema de Prevención de Intrusiones). El lanzamiento de esta solución lleva la inspección granular de paquetes y la correlación de eventos inteligente del StoneGate IPS físico al mundo virtual. De esta forma, StoneGate Virtual IPS es la última novedad de Stonesoft dentro del creciente portfolio de soluciones virtuales y físicas de seguridad. StoneGate Virtual IPS es una solución totalmente lista y de fácil instalación diseñada para proteger las redes virtuales y los servidores frente a los ataques más sofisticados. Diseñada para trabajar junto a las soluciones físicas o virtuales, StoneGate firewall/vpn protege a las aplicaciones y sistemas operativos vulnerables de las amenazas en entornos virtuales. ISACA APPLAUDS MOVE TO COMMON DISK ENCRYPTION STANDARD ISACA, applaud moves by the data storage industry to develop a common encryption standard for use on hard drives. According to Vernon Poole, CISM Head of Business Consultancy for Sapphire and Member of ISACA s Information Security Management Committee, the development of the standard by the Trusted Computing Group - whose membership includes Fujitsu, Hitachi, IBM, Samsung, Seagate, Toshiba and Western - centres around three non-proprietary specifications. NEW SECURE WEB GATEWAY - UNIFIED WEB SECURITY SOLUTION FOR ENTERPRISES Finjan Inc., a leader in secure web gateway products, announce the launch of its unified Secure Web Gateway (SWG) version 9.2. It combines multi-layered web security, productivity, compliance, liability E U R O P A and bandwidth control on one dedicated appliance. Finjan s unified Secure Web Gateway is the first of its kind to provide enterprises with a cost effective web security solution with low administration cost. Instead of using multiple point solutions running on separate appliances, Finjan Secure Web Gateway combines multiple web security and control capabilities on a single appliance. All combined features are easily managed, using a user-friendly administrative GUI. Finjan s unified Secure Web Gateway combines: Multi-layered web security to protect valuable business data against today s cybercrime threats. Data Leakage Prevention (DLP) to protect enterprises from intentionally or unintentionally leaking sensitive corporate data by employees or Trojans. Productivity, URL filtering and Web 2.0 control to enable organizations to fully benefit from the Web and Web 2.0 applications while controlling employees productivity. Applications control to increase employees productivity and prevent the leakage of corporate data by controlling the use of common applications per specific policy groups. Secure content caching to accelerate web content access, improve user experience and save bandwidth cost.

14 Mundo ITIL gestión de la seguridad Desde que el uso de las redes de comunicaciones se ha desmarcado como uno de los principales motores de los sistemas de información, la seguridad se ha convertido en un aspecto fundamental y crítico a tener en cuenta por todas las organizaciones TI para lograr el éxito. Refiriéndose a las comunicaciones no sólo al contacto con el mundo exterior, sino también controlando la integridad y confidencialidad de aquella información que se intercambia entre entidades de negocio dentro de una misma organización TI. Una compleja infraestructura TI en crecimiento implica que los negocios son ahora más susceptibles de fallos, ya sean por errores humanos o por actos malintencionados. Una crisis de seguridad compromete y pone en riesgo el negocio de la compañía de manera que involucrar la seguridad en la cultura de la organización y en la rutina de los negocios asegura una efectiva reducción de riesgos y, por lo tanto, un beneficio claro en todos los departamentos de TI. ITIL visión general Durante la década de los 80 la Agencia Central de Equipos y telecomunicaciones (Central Computer and Telecommunication Agency - CCTA) del gobierno británico empezó a trabajar en lo que hoy se conoce como ITIL o Biblioteca de Infraestructura de tecnologías de la Información. Muchas organizaciones y agencias gubernamentales de toda Europa comenzaron a asimilar y adoptar rápidamente este framework a comienzos de los 90 y hoy en día se conoce como el marco de trabajo de las mejores prácticas cuyo objetivo principal es la entrega de servicios de calidad en Tecnologías de la Información. ITIL se ha convertido en un estándar de-facto orientado a procesos que se introduce en una organización TI con el objetivo de apoyar en la consecución del éxito, que no es otro que prestar servicios de calidad y mantenerlos disponibles cumpliendo los acuerdos establecidos entre las partes implicadas: el proveedor del servicio y el cliente. Se compone de un conjunto de buenas prácticas basadas en las experiencias de profesionales TI de manera que sean consideradas como una guía y no como una metodología, cuya flexibilidad permita Adaptar y Adoptar todas estas buenas prácticas de acuerdo a la infraestructura y negocio de cada organización TI particular. Aplicación El objetivo principal de ITIL es asegurar que medidas efectivas de seguridad de la información son aplicadas a niveles estratégico, táctico y operacional. Este conjunto de prevenciones deben garantizar que: Se cumplen con los requisitos de seguridad estipulados en los Acuerdos a Nivel de Servicio o SLA, Se proporciona un nivel de seguridad básico, independientemente de las necesidades de negocio de los clientes. La Gestión de la Seguridad debe mantener un fuerte vínculo con el negocio y los servicios que puede ofrecer una organización TI para así ser capaz de aplicar una serie de protocolos de seguridad definidos que garanticen y aseguren que la información siempre esté disponible (disponibilidad), sea correcta (integridad) y esté protegida contra el acceso y uso no autorizados (confidencialidad). Un aspecto importante a tener en cuenta a la hora de aplicar un enfoque ITIL a la gestión de la seguridad es que dicho proceso debe tratarse como una actividad iterativa que constantemente es controlada, planeada, implementada, evaluada y mantenida. Es decir, debe mantener una estrategia de mejora continua de la calidad de los servicios siguiendo el principio definido por el círculo de Deming (Planificar Hacer Verificar Actuar) - Fig 1. Se podrían resumir los principales objetivos de la Gestión de la Seguridad ITIL en: Políticas de seguridad, que diseñadas conjuntamente entre la organización TI, clientes y proveedores pretenden marcar los objetivos que satisfagan las necesidades de cada negocio particular. Asegurar que se cumplan los estándares de seguridad acordados, tanto en el Plan de Seguridad como en los Acuerdos a Nivel de Servicio. Conjuntamente con el resto de procesos, identificar los riesgos que afectan a la continuidad del negocio. La función proactiva de la Gestión de la Seguridad debe evaluar los riesgos que se pueden producir por cambios en la infraestructura TI, nuevos aspectos que afecten al negocio de la organización, así como prever posibles tendencias y vulnerabilidades que pongan en riesgo la continuidad de los servicios. Aunque este último aspecto está controlado por otro proceso dentro de ITIL (Gestión de la Continuidad), la Gestión de la Seguridad debe ser un apoyo y un recurso que debe tenerse en cuenta para toma de decisiones que afecten a la continuidad de los servicios TI. El Acuerdo a Nivel de Servicio o SLA define los acuerdos que se establecen con el cliente, por lo que todos aquellos requisitos de seguridad de negocio del cliente deben quedar reflejados y claramente descritos sin ambigüedades. Entre las actividades que debe llevar a cabo la Gestión de la Seguridad está la de supervisar la inclusión de dichos requisitos de seguridad en los SLA y posteriormente garantizar su correcto cumplimiento. La Gestión de la Seguridad debe servir como un marco de referencia en lo que 14

15 Mundo concierne a la seguridad para el resto de procesos que forman parte de la estructura ITIL (como se mencionaba su relación con la Gestión de la Continuidad), por lo que su éxito radica en la estrecha colaboración de toda la organización TI, colaborando en la toma de decisiones y asignando recursos necesarios ante eventos que, aún siendo controlados por el resto de procesos, necesitan de la intervención del Gestor de Seguridad para mantener la integridad del negocio. Los principales aspectos que consiguen que esta colaboración sea lo más eficaz posible son: Fijar una política de seguridad que sirva de referente al resto de procesos que colaboran, de manera que los objetivos y responsabilidades sean perfectamente claros a toda la organización TI. Elaborar un Plan de Seguridad en el que queden de manifiesto los niveles de seguridad aplicables tanto a los servicios ofrecidos a los clientes como a los propios acuerdos de servicio con proveedores internos y externos. El Plan de Seguridad debe ser implementado y revisado constantemente para su correcto cumplimiento por todas las partes implicadas. Dicho plan debe estar continuamente evolucionando de manera que se mantengan al día los niveles de seguridad y los acuerdos a nivel de servicio. Es importante definir indicadores clave de rendimiento o KPI s cuyas métricas medibles sean ajustables y comparables a los valores fijados en los Acuerdos de Nivel de Servicio (SLA) para comprobar los niveles de seguridad que se están cumpliendo y cuáles no. Realización de informes de auditoría periódicos, tanto internas como externas a la organización TI pero siempre independientes a la Gestión de la Seguridad. Continuos y actualizados planes de formación. ( Fig 2. ). Tanto los protocolos aplicables como las responsabilidades de los diferentes roles en la Gestión de la Seguridad deben quedar perfectamente definidos en el Plan O P I N I O N LUIS JAVIER CAÑO Ingeniero Informatico por la Universidad de león. Certificado en ITIL Foundations v2.0 de Seguridad, de manera que es el Gestor del proceso el responsable de coordinar la correcta implementación de los procedimientos incluidos en dicho plan. La Gestión de la Seguridad debe verificar que todo el personal involucrado en mantener una robusta y fiable política de seguridad en la organización TI, sea consciente y conozca todas las medidas que se pretenden aplicar así como las responsabilidades de cada uno para conseguir el éxito. El factor humano es el eslabón más débil de la cadena que representa la consecución de la Gestión de la Seguridad, por lo que es de vital importancia conseguir el compromiso y actitud necesarios de todas las partes implicados. Cómo ITIL puede mejorar la seguridad de la información La complejidad de las organizaciones de TI ha provocado que gran cantidad de vulnerabilidades asociadas a los distintos departamentos que la componen hayan surgido como riesgos potenciales que afectan al negocio. ITIL ofrece un planteamiento de Gestión de la Seguridad unificado que sepa controlar y prever todas estas debilidades. ITIL establece procesos documentados que son auditados y monitorizados periódicamente para comprobar que se está cumpliendo con los acuerdos establecidos. Esto permite a la organización TI conocer la efectividad de su proceso de seguridad de la información de manera que siempre está inmerso en un plan de mejora continuo. Un proceso organizado de Gestión de la Seguridad previene las prisas y la desorganización a la hora de aplicar medidas de seguridad, ya que requiere un diseño consistente, así como una proactividad en la toma de decisiones de manera que se están considerando las posibles vulnerabilidades o riesgos que se desencadenan al realizar cambios en cualquier punto de la infraestructura TI. Esto es sinónimo de ahorro, tanto en dinero, como en tiempo y esfuerzo. ITIL define responsabilidades y roles para las acciones de Gestión de la Seguridad de manera que estará definido quien es el responsable de cada actividad. Establece un lenguaje común sobre el que se sustentan discusiones relacionadas con seguridad de la información. Esto permite que el personal que desempeña funciones en la Gestión de la Seguridad se comunique de manera más efectiva con proveedores tanto internos como externos sin dejar margen a ambigüedades. 15

16 Mundo Entornos virtuales: un punto ciego para la seguridad? O P I N I O N KLAUS MAJEWSKI Vicepresidente de marketing de Stonesoft Corporation Acabo de conocer a un cliente cuyo negocio se estaba expandiendo con rapidez, de tal forma que tuvo que añadir tres nuevos servidores a su granja de servidores. Aún así, el verdadero problema era que no disponía de espacio físico en el cuarto de máquinas, por lo que se veía obligado a construir una nueva ubicación para dichos servidores adicionales, aún sabiendo que estas máquinas no son precisamente baratas. Por tanto, el cliente comenzó a buscar soluciones alternativas. Descubrió que tenía un buen número de servidores que estaban la mayor parte de los tiempos inactivos, por lo que constituían un buen objetivo para poner en marcha la consolidación de servidores en un entorno virtual. Le gustó la idea y probó la virtualización, en un primer momento, con un par de servidores, y los resultados fueron tan esperanzadores que virtualizó el resto de servidores que contaban con una utilización baja, gracias a lo cual se liberó una cantidad de espacio físico suficiente como para albergar una docena de servidores más. Lo extraño fue que el cliente dejó de recibir tantas alertas de su cortafuegos y de su sistema de prevención de intrusiones (IPS) como solía. Parecía como si alguna parte de su tráfico de red se hubiese desvanecido tras la virtualización, por lo que intentó descubrir que podía haber pasado. Comprobó el cortafuegos, el IPS y los logs de monitorización de la red, pero nada parecía estar fuera de lo normal. Finalmente, se dio cuenta de que su nuevo entorno virtual constituía un punto ciego para los appliances de seguridad de red tradicionales, que ya no podían ver qué pasaba en su interior. Cuando un appliance virtual se comunicaba con otro del mismo tipo, la comunicación nunca abandonaba dicho entorno virtual; en otras palabras, nunca pasaba a través de ningún dispositivo de seguridad de red que se encontrase fuera de ese entorno virtual, de forma que estos dispositivos no podían saber qué sucedía dentro de él. Podríamos pensar que un entorno virtual es más seguro que uno tradicional y físico, porque se ubica dentro de un servidor bajo nuestro control. Aún así, esta no era la causa: en realidad era tan inseguro como cualquier otro dispositivo conectado a la red, susceptible al mismo tipo de ataques y vulnerabilidades. Después de todo, las máquinas virtuales ejecutan sistemas operativos y aplicaciones normales, claro está. Por fortuna, existen soluciones de seguridad de red como cortafuegos e IPSs que pueden ejecutarse también en entornos virtuales y gestionar su tráfico, y es más, algunos de ellos ofrecen gestión centralizada para manejar los appliances de seguridad de red tanto en el mundo físico como en el virtual. Desde el punto de vista de la gestión de la seguridad, no existiría diferencia entre appliances de seguridad reales o virtualizados, lo que garantiza la unificación de las políticas de seguridad en todo el entorno TI. A corto plazo, los appliances virtuales podrán seguir al usuario. Por ejemplo, si disponemos de un negocio global, nos interesaría servir a nuestros clientes mediante servidores locales por el día, cuando los negocios requieren del máximo rendimiento y de tiempos de respuesta más rápidos. Por la noche, en cambio, los appliances virtuales podrían moverse automáticamente a otro continente, siguiendo la luz del día. Muchos de los servidores alojados en las zonas en las que sea de noche podrían apagarse para ahorrar energía, mientras que los servidores en zonas diurnas se ocuparían de los negocios. Está idea es brillante e incluso factible, pero el aspecto de la seguridad nos lleva a otras preguntas: cómo podríamos proteger los appliances virtuales en movimiento? Tenemos que duplicar la inversión en dispositivos de seguridad físicos, por ejemplo con uno en cada continente, los cuales sólo usaríamos el 50% del tiempo? Y si la seguridad pudiese moverse junto a los appliances virtuales? El appliance de seguridad virtual sabría con certeza las necesidades de tráfico y de protección para el negocio. Juntos, crearían un bundle securizado que podría moverse con seguridad en todo el entorno virtual, y esto sería posible si el precio de un cortafuegos o de un IPS virtual fuese lo suficientemente bajo. Otro efecto positivo vendría de la mano de que sólo necesitaríamos pagar por la seguridad que realmente utilicemos. En definitiva, esto es lo que en realidad entiendo como una infraestructura TI eficaz. 16

17 Virtualización: Consolidación, Automatización y Agilidad Operativa como fundamento de las TIC sustentables Alo largo de la primera década del siglo XIX surge la virtualización de servidores tipo x86 como la tecnología de optimización de infraestructura más prominente debido a los evidentes beneficios financieros y operativos que produce. Con dicha tarea cumplida, la virtualización está evolucionando (virtualización 4ª generación) a cumplir otras asignaturas pendientes: la automatización de procesos de administración de la infraestructura que permita tener una agilidad operativa para crear nuevos servicios y mantenerlos disponibles con los niveles que las necesidades actuales demandan. En los siguientes párrafos se pone en perspectiva las capacidades en el contexto de servicios administrados los cuales son un tema de suma actualidad. Compactar es la clave para tercerizar La virtualización ha probado su valor para compactar (consolidar) el número de servidores de cualquier centro de datos que utiliza servidores tipo x86. Hoy en día es posible compactar infraestructuras tipo x86 en razones que van del 20 a 1 hasta al 30 a 1, por ejemplo, no es lo mismo tercerizar 100 servidores en forma tradicional que virtualizar esos 100 servidores en sólo 5 y una vez hecho esto tercerizar la colocación y administración de sólo 5 servidores. Los beneficios son videntes: se genera una disminución dramática en requerimientos de espacio, energía eléctrica, e infraestructura de redes IP y de almacenamiento. El resultado es que el costo de tercerizar se ve también reducido en extremo lo que hace necesario el virtualizar antes de tercerizar o hacer ambas cosas en el mismo evento. Compactar inteligentemente demanda automatizar Cuando las altas concentraciones de servicios por servidor físico (entre 20 y 30) que la virtualización produce so vistas a través del cristal de la valuación de riesgos, se vuelve evidente la necesidad de herramientas de automatización que resuelvan situaciones que ocurren como parte del día a día de cualquier centro de datos: Qué sucede si un servidor físico falla y se colapsa? Qué pasa si el patrón de carga cambia O P I N I O N ENRIQUE CORRO Ingeniero de Ventas de VMware - México dinámica y constantemente? Es posible auto balancear la carga de los servidores físicos en respuesta a cambios en los patrones de carga? La virtualización incluye esquemas de redundancia para el acceso a las redes IP y de almacenamiento? La virtualización me puede ayudar en la aplicación de actualizaciones a los sistemas operativos? Existen mecanismos simples y efectivos de respaldo de máquinas virtuales? Es posible cambiar de plataforma de hardware sin tener que realizar migraciones riesgosas, lentas y costosas? VMware ha desarrollado respuestas positivas y contundentes cuando desarrolló la virtualización 3G y que recibirán un perfeccionamiento definido en la 4ª generación de virtualización. El mensaje de fondo aquí es que no es suficiente con poder consolidar sino que es indispensable que las infraestructuras virtuales posean una automatización suficientemente desarrollada que automatice sus operaciones internas que permitan reducir al máximo el riesgo que las altas concentraciones de servicios implican. TICs Sustentables y Ágiles, el nuevo horizonte de la virtualización Dadas las restricciones presupuestales que la TICs gubernamentales viven y dados los nuevos esquemas de tercerización y colocación que vienen a sustituir las prácticas de compra de hardware y software, las nuevas herramientas de control de las infraestructuras virtuales permiten enfrentar con eficacia el problema de administrar contratos delimitados por máximos y mínimos permitiendo que una TIC se mantenga lo más cerca posible del consumo mínimo de su contrato de tercerización (sustentabilidad financiera) sin sacrificar su agilidad para responder a nuevas necesidades y requerimientos de los usuarios finales. Es posible controlar el ciclo de vida de un servicio virtualizado desde que se configura y se pone en servicio hasta que se discontinúa y se archiva para fines de auditoría. Todo esto se realiza dentro de un marco de control basado en el flujo de solicitudes y aprobaciones que incluyen información acerca del costo que implica el activar un servicio nuevo. De esta forma se tiene un pleno control de los recursos contratados basado en un claro conocimiento de los costos implicados. Los nuevos servicios se crean automáticamente observando niveles preestablecidos de disponibilidad y desempeño. Conclusión Los nuevos retos de las TIC requieren respuestas nuevas que permitan enfrentar los retos de presupuestos más restringidos y una creciente necesidad de servicios informáticos. La virtualización de computadoras de 4a Generación ofrece una de las respuestas más contundentes y frescas por lo cual cada director de infraestructura debe revisar el tema con seriedad y evaluar con la ayuda de consultores especializados la mejor forma de utilizar el concepto en su beneficio de su empresa. 17

18 Latinoamérica La biometría como método de gestión de la identidad O P I N I O N JAVIER RODRÍGUEZ SAETA Director de I+D SeMarket Las tecnologías biométricas han adquirido una gran importancia en los últimos años, especialmente a raíz de los acontecimientos del 11-S del La preocupación por la seguridad es un tema que ha ido creciendo desde entonces y son cada vez más los sistemas que utilizan la biometría para paliar la falta de seguridad existente en ciertos entornos. Saber quién tiene permisos de acceso a una zona, recinto, edificio o despacho determinado; conocer en todo momento quién ha entrado, a qué hora o el tiempo que ha permanecido, es fundamental para garantizar la seguridad. El uso de llaves, tarjetas o contraseñas en el control de accesos representan un alto riesgo ya que pueden perderse, olvidarse, ser robadas o utilizadas de forma fraudulenta. Es en este punto donde la biometría encaja como la solución tecnológica más idónea para cubrir todas estas carencias. Existen multitud de tecnologías biométricas entre las que se podrían citar la voz, la huella digital, las caras, la palma de la mano, el iris o la retina, como las más importantes. Todas ellas responden al paradigma fundamental de algo que se es, frente a las concepciones clásicas en seguridad como eran algo que se tiene (tarjeta, llave...) y algo que se sabe (pin, password...). Características Principales La biometría evalúa las características físicas y/o el comportamiento de los individuos para autenticarlos o identificarlos. Algunos elementos biométricos comunes son las caras, las voces, las huellas digitales No es posible asegurar que cada individuo tenga una biometría diferente. Lo único que se puede asegurar es que en una población determinada (miles e incluso millones de personas) la probabilidad de encontrar dos muestras biométricas idénticas es prácticamente nula. La primera división que se podría establecer en biometría sería en función del origen del rasgo biométrico. En este caso, los rasgos biométricos podrían ser: Físicos, si se basan en la forma o la composición del cuerpo humano. En este grupo se encuentran las huellas digitales, la retina, el iris, la geometría de la mano y de la palma, la cara, la oreja, las venas de las manos, el olor corporal, la termografía, la dimensión de la cabeza, el ADN o la configuración de los poros. Del comportamiento, si proviene de la evaluación del individuo durante un tiempo determinado. La biometría del comportamiento incluye la firma, la dinámica de pulsaciones (sobre el teclado) o la manera de andar, entre otros. La voz es también un rasgo biométrico que algunos autores incluyen en el grupo de los rasgos físicos y otros incluyen en el grupo de los rasgos del comportamiento. Debería considerarse como un rasgo biométrico intermedio entre los dos grupos, puesto que se podría definir aplicando cada una de las dos definiciones ya mencionadas. En general, los rasgos biométricos físicos son más precisos que los del comportamiento. A diferencia del ADN, todos ellos pueden utilizarse en tiempo real. La biometría ideal variará en cada aplicación. Ningún método biométrico cumplirá todos los requisitos, pero es cuestión de analizar la biometría para elegir correctamente en función de la aplicación. Por ejemplo, el acceso a una central nuclear tiene que ser muy seguro. El nivel de intrusismo no es importante y el coste podría ser alto. Por otra parte, el acceso a un despacho en horas de trabajo debería gozar de la aceptación del usuario, además de ser lo más barato posible, fácil de usar y medianamente preciso. Un proceso biométrico consta de dos partes claramente diferenciadas: el entrenamiento y el test. Durante el proceso de entrenamiento, se extraen unas características propias del individuo y se crea un modelo o patrón del mismo. Una vez creado el modelo del usuario, éste puede ser reconocido por el sistema. Una realización o registro de un individuo, se compara con los modelos o patrones de él mismo (verificación, 1:1, dado que el individuo se identifica previamente) o de todos los modelos existentes (identificación, 1:n, ya que el individuo no es conocido), para determinar el grado de similitud o correlación. El resultado es una puntuación que se compara con una medida predeterminada o umbral. Reconocimiento de voz y de cara Las tecnologías del reconocimiento de locutor y de caras han elevado su popu- 18

19 laridad en un mercado dominado por el reconocimiento de huella dactilar. El reconocimiento de locutor no es ni mucho menos la tecnología más utilizada comercialmente, aunque en el futuro se prevé que su utilización aumente con la incorporación cada más frecuente de portales de voz en Internet. En el caso del reconocimiento de caras, su utilización empieza a ser ya muy común pues la captura de la muestra biométrica es de gran sencillez y escasa invasividad. Como tecnología biométrica, la voz se basa en el tracto vocal y en la configuración de las cuerdas vocales, que constituyen un elemento diferenciador de cada individuo. Al emitir un sonido, estos rasgos fisiológicos generan voces diferenciadas, cosa que permite al oído humano poder distinguir entre determinados locutores en la mayoría de los casos. En el reconocimiento automático de locutores, las propiedades del oído humano se transfieren a una máquina que, a través de técnicas de procesado de señal, consigue discernir de forma automática entre un conjunto de locutores. La voz posee cualidades muy importantes puesto que se trata del medio natural de comunicación entre las personas, lo que la dota de un grado de sencillez que otras tecnologías no alcanzan. Por otro lado, el hardware requerido para la implementación de un sistema automático de reconocimiento es mínimo, lo que se traduce en un bajo coste. Las aplicaciones de reconocimiento de locutor poseen dos vertientes fundamentales según el tipo de interfaz o medio de comunicación entre el usuario y la máquina. En primer lugar tendríamos las aplicaciones que utilizan el micrófono. En este grupo de aplicaciones encontramos las presenciales, como la securización de edificios, y las aplicaciones web. En segundo lugar nos encontraríamos con aplicaciones que utilizan el teléfono. En este grupo se encuadrarían la gran mayoría de las aplicaciones forenses y las aplicaciones de v-commerce o comercio por medio de la voz. En cuanto al reconocimiento de caras, su vertiente forense es muy clara. Identificar a un sospechoso en una zona pública como un aeropuerto o una estación de tren es una aplicación cada vez más común. Las distintas policías disponen de bases de datos con las caras de delincuentes o personas fichadas. Cuando obtienen una fotografía de un individuo, a menudo interesa saber lo antes posible si se encuentra en esa base de datos. Interesa conocer su identidad. La evolución de los sistemas biométricos de reconocimiento facial ha sido espectacular en los últimos años. Hoy en día, los sistemas de caras 2D son capaces de identificar la cara de un individuo entre decenas de miles de caras en tan sólo un par de segundos. La propuesta de SeMarket SeMarket es una empresa española fundada en 1999 especializada en el desarrollo de productos y servicios de seguridad en las áreas de identificación y verificación de identidades, control de acceso, firma electrónica y protección de activos digitales. El objetivo de SeMarket es asegurar la identidad de las personas y organizaciones. Para ello cuenta con una amplia gama de soluciones que utilizan tecnologías biométricas tales como el reconocimiento de cara, voz y huella dactilar, así como servicios de firma electrónica basados en tecnología de Infraestructura de Clave Pública (PKI). La compañía invierte constantemente en I + D con el objetivo de ofrecer las mejores soluciones al mercado. Actualmente dispone de un amplio abanico de soluciones tanto con la biometría de la voz como con la de la cara. Así podemos encontrar sistemas de control de acceso tanto físico como lógico con ambas biometrías, sistemas de reseteo de contraseñas mediante reconocimiento de locutor, sistemas de videovigilancia con reconocimiento facial o bien todo tipo de sistemas de reconocimiento remoto a través del teléfono con biometría vocal. Conclusión La utilización de la biometría es hoy una realidad que no está ya esencialmente reservada a áreas policiales o militares, sino que cada vez se encuentra más extendida, tanto en el sector público como en el privado. Se trata de una tecnología madura que ofrece todas las garantías y se presenta como la alternativa más indicada para paliar las brechas de seguridad de los sistemas tradicionales, así como un elemento importante para la automatización de procesos de búsqueda en grandes bases de datos. 19

20 Latinoamérica IPBrick. Funcionalidades Principales O P I N I O N ESTANIS MORENO RODRÍGUEZ Country Manager de IPBrick Instalación. Listo en 5 minutos. El proceso de instalación de IPbrick es muy rápido, automático y totalmente desatendido. Tras unos minutos, el Cd-Rom es expulsado automáticamente, lo que indica que el proceso de instalación ha finalizado (no será preciso tener ni monitor/teclado/ratón para hacer la instalación). Una vez reiniciado el Servidor (tras la instalación), tendremos ya activos el servidor DHCP y DNS, por lo que conectados con un portátil en el adaptador de red ETH0 del Servidor, obtendremos una IP y ya podremos acceder a la herramienta de gestión mediante un navegador Configuración. Sabes Linux?. No se precisa conocimientos de Linux para poder configurar y gestionar un Servidor IPBrick. La herramienta web de administración, esta organizada de forma funcional y es muy intuitiva. Las opciones más habituales están en la parte superior, organizadas por su función. También existe una zona avanzada, donde se podrán realizar configuraciones más complejas en función de cada situación. Recuperación ante desastres. Solo en 15 minutos? IPbrick.D es el nombre comercial para la funcionalidad que permite recuperar el sistema de forma completa y muy rápida. Todas las configuraciones del sistema son almacenadas en un Pen-drive o enviadas automáticamente por , permitiendo que en caso de fallo del Servidor, podamos restaurar el sistema sobre el mismo hardware reparado o un hardware nuevo (no hay una dependencia del hardware) en un tiempo record de 15 minutos. Backup. Protección total. Como no podía ser de otra forma, IPbrick incluye multitud de formas de respaldar todos los datos del sistema. Desde un concepto de facilidad, y flexibilidad, IPbrick nos permite hacer backup en los siguientes dispositivos: Unidades de cinta Discos duros USB NAS Carpetas de red de otros servidores Windows o Linux Remotamente (por Internet) sobre otros servidores IPbrick. Comprobaciones CRC y MD5 hacen que los respaldos se realicen de forma fiable. Seguridad Perimetral. Blinde de Red. Todas las soluciones IPbrick utilizan,como mínimo, dos adaptadores de red. ETH0 para la conexión a la red local y ETH1 para la conexión a Internet. Una de las funciones más importantes que tiene IPbrick y sobre la que se monta el resto de servicios, es la protección a nivel de Gateway. IPbrick crea una barrera utilizando su Firewall y Proxy desde Internet hacia la red local y viceversa. Así mismo, todos los equipos locales que quieran interactuar con Internet (http, mail, ftp, ) tendrán que hacerlo a través del Proxy, el cual podrá tener políticas de restricción y donde está implementado el motor de protección de Kaspersky, para la detección y eliminación de código malicioso en los protocolos más habituales (http, ftp, Telnet, pop, smtp, etc). Intranet. Servicios en la red local. Crear un dominio donde convivan todos los equipos de una organización (pcs, impresoras, servidores, ) es también posible con IPBrick. La utilización de LDAP, permite que los Servidores con Windows (Active Directory) se conecten a Servidores IPbrick o viceversa. Podrá realizar una sencilla gestión de sus usuarios, grupos de usuarios, gestión de máquinas, impresoras en red y carpetas de datos individuales o de grupo (departamentales), permitiendo el acceso o no, a los distintos recursos en función del usuario y los privilegios asignados al mismo. Servidor de correo electrónico. La comunicación por excelencia. Dos cosas que cada vez más preocupan a las empresas son: Tener su correo electrónico dentro de su red y de forma centralizada. Poder acceder a su correo desde cualquier ubicación y dispositivo. IPbrick soporta los protocolos habituales: pop/pops y smtp/smtps, pero lo realmente interesante es poder utilizar buzones IMAP. Revisar el correo desde 20