INFORME OFICIAL Ampliación del control de acceso a la nube Las organizaciones utilizan cada vez más aplicaciones de software como servicio (SaaS). Las aplicaciones SaaS tienen muchas ventajas, pero el riesgo potencial de acceso no autorizado es también elevado. Estas aplicaciones están adquiriendo una gran popularidad, por lo que resulta importante contar con una solución asequible y fácil de gestionar que supervise y controle el acceso de los usuarios a la información alojada en SaaS. La seguridad, los informes de conformidad y la facilidad de acceso encabezan la lista de prioridades, y las organizaciones deben saber cómo abordarlas correctamente. Si no tienen en cuenta la complejidad a la hora de evaluar la seguridad del acceso autorizado, terminarán optando por una solución incompleta, insegura y que precise intervención manual.
INFORME OFICIAL Índice Las organizaciones están enganchadas al SaaS... 3 Los peligros del cloud computing... 3 Control de riesgos en la nube... 4 Puntos imprescindibles para la adopción... 6 Selección de la solución... 6 Lo importante es su éxito... 6 NetIQ puede ayudarle a conseguir el éxito... 7 Acerca de NetIQ... 7 INFORME OFICIAL: Ampliación del control de acceso a la nube
Las organizaciones están enganchadas al SaaS El nuevo paradigma del mercado se llama cloud computing. Los presupuestos para TI siguen congelados y las unidades empresariales son las que determinan los presupuestos. A menudo, el gasto de capital es el primero que recortan las organizaciones, retrasando nuevos modelos empresariales que permitirían trabajar de forma más eficiente tanto al personal de TI como a las unidades empresariales. Por ello, las organizaciones se están sumando a una nueva forma de consumir aplicaciones: el software como servicio (SaaS). Gracias a las aplicaciones SaaS, su organización podrá ahorrarse el desembolso inicial que suponen las nuevas implantaciones y actuar con una rapidez que resultaría sencillamente imposible con las aplicaciones tradicionales. Además, ofrecen tres importantes ventajas con respecto al método tradicional de adquirir software: Las aplicaciones SaaS se alojan en la nube y puede tener acceso a ellas desde cualquier lugar. Es posible acceder a ellas mediante dispositivos móviles. El departamento de TI no tiene que actualizar los proyectos para obtener las últimas funciones o correcciones porque las aplicaciones están siempre actualizadas. Con tantas ventajas, es lógico que el mercado de SaaS esté creciendo a un ritmo impresionante. En 2011 alcanzó los 21 200 millones de dólares y se espera que crezca hasta los 132 500 millones de dólares en 2020 1. Gartner pronostica el incremento más rápido para 2016 2. Los peligros del cloud computing Al utilizar alegremente las aplicaciones SaaS, los usuarios empresariales no son conscientes de los nuevos peligros que introducen a su organización. En la lista de las diez preocupaciones más importantes del sector de TI en cuanto a aplicaciones SaaS, las tres primeras se refieren a la seguridad 3. Además del riesgo jurídico y económico que conllevan las infracciones, gestionar la mala publicidad que provocan puede convertirse en una auténtica pesadilla. Le resultan familiares estos titulares? «Vulneran la seguridad de las tarjetas de crédito de Citi» CNNMoney, 9 de junio de 2011 «Google admite la violación de la seguridad de los datos de Gmail» Cryptzone, 2 de junio de 2011 «Sony congela 93 000 cuentas en línea tras una infracción de seguridad» Forbes, 12 de octubre de 2011 «IMF sufre un ataque cibernético 'de consideración' a su seguridad» BBC, 12 de junio de 2011 «Una grave vulneración de la seguridad militar deja al descubierto datos de combate» esecurityplanet.com, agosto de 2010 «Infracción de seguridad en Lockheed Martin» Wall Street Journal, 27 de mayo de 2011 «La reputación de LinkedIn en entredicho después de una infracción de seguridad» Calgary Herald, 9 de junio de 2012 1 2 3 Forrester Research Inc. 2011 Gartner Forecast: Public Cloud Services, Worldwide and Regions, Industry Sectors, 2010-2015 (Servicios de nube pública, a escala mundial y por regiones y sectores, 2010-2015), Actualización de 2011 The Aberdeen Group, 2011 INFORME OFICIAL: Ampliación del control de acceso a la nube 3
Mantener la seguridad de los datos confidenciales corporativos y de la propiedad intelectual es primordial para cualquier organización. Desde planes y estrategias de marketing hasta secretos relacionados con las líneas de productos, pasando por información de clientes, las organizaciones deben estar en disposición de poder acceder cada día a sus datos sin riesgo de filtraciones a la competencia ni de ataques de ciberterrorismo. Está su información regulada? Si trabaja en un sector regulado, como es el caso de las actividades financieras, los seguros, la energía o la sanidad, debe poder demostrar la conformidad con las normativas específicas que regulan el acceso a la información en el sector. El sector de TI ya ha conseguido cumplir con estos requisitos para las aplicaciones in situ y ahora es el momento de alcanzar el mismo nivel de control en las aplicaciones en la nube. In situ, la organización de TI cuenta con procesos que permiten asegurar que solo el personal autorizado cuenta con acceso y que puede supervisar el mismo. Para que la conformidad se mantenga, el departamento de TI necesita ampliar estos mismos controles y las funciones de elaboración de informes para que incluyan la información empresarial que se encuentra alojada en la nube. Las infraestructuras independientes de los procesos existentes no son fiables ni eficaces. Las medidas de control traspasan sus muros? Calcular el uso del SaaS puede resultar difícil. Los departamentos y las líneas de negocio suelen utilizar aplicaciones SaaS como una serie de decisiones tácticas que van evolucionando en el tiempo en lugar de como directivas impuestas desde instancias superiores. Cuando el consumo de SaaS es táctico, los usuarios empresariales no suelen contar con el personal de TI, sino que suelen dejar que sean los administradores empresariales los que actualicen las cuentas. Este enfoque excepcional es ad hoc y manual. La llegada de nuevos empleados puede obstaculizar el acceso a las aplicaciones. Además, cuando los empleados cambian de puesto o dejan la empresa, pueden convertirse en usuarios fraudulentos si no se les desaprovisiona correctamente. La pregunta es: quién es el responsable de proteger el acceso? La responsabilidad de la conformidad de acceso y seguridad recae en última instancia en el departamento de TI? Está seguro de que ningún usuario fraudulento tiene acceso a la información privada de su organización en la nube? La mayoría de las organizaciones usan Active Directory como repositorio central de las identidades de sus empleados. Desde este repositorio, el personal de TI suele llevar a cabo procesos eficaces para la incorporación y baja de empleados, controlando el acceso de forma automática según la necesidad y el puesto. Los criterios empresariales que justifican el control de la información privada son los mismos que justifican el control de esta información en la nube. Si no fuera así, su organización estaría en peligro. Es sencilla la experiencia de sus usuarios en la nube? Hace unos años, el sector de TI llegó a la conclusión de que la sencillez y la facilidad de uso eran la clave de la seguridad. Cuando resulta difícil obtener acceso a información o aplicaciones seguras, o es complicado recordar contraseñas complejas, los usuarios tienden a crear trucos que les faciliten esta tarea, como pegar notas en sus monitores. Por este motivo apareció la entrada única. Ofrece a los usuarios un método sencillo y rápido de acceder a aplicaciones e información aumentando a la vez la seguridad de las aplicaciones. Sus aplicaciones en la nube cuentan con entrada única? Tiene notas repartidas por toda la oficina? Control de riesgos en la nube Las aplicaciones basadas en SaaS han venido para quedarse porque su uso apenas se encuentra con obstáculos y por la agilidad empresarial que ofrecen. La cuestión que surge ahora es cómo se adaptará el sector de TI. El personal de TI debe proteger los secretos de la empresa y la información de los clientes, así como cualquier dato regulado que posea la empresa. A continuación, se describen las principales funciones que se pueden aplicar a la mayoría de los entornos. INFORME OFICIAL: Ampliación del control de acceso a la nube 4
Controlar el acceso a los recursos que usted no controla. Para asegurar la seguridad de los datos corporativos y de clientes, debe ampliar la gestión de acceso más allá de los límites de la empresa. El departamento de TI tiene que tomar el control del acceso de los usuarios en la nube como en su día modificó los procesos para adaptarlos a sus aplicaciones internas. Los empleados utilizan cada vez más dispositivos móviles personales para actividades empresariales. Por ello, la gestión del acceso que realice el departamento de TI debe incluir también este tipo de dispositivos. La clave para garantizar la seguridad de las credenciales corporativas es que estén siempre controladas y protegidas dentro la empresa, nunca en la nube. Las soluciones que replican las credenciales de los usuarios fuera de las instalaciones ponen en peligro su información y, en última instancia, a la empresa. Por su parte, la mayoría de soluciones seguras no permiten que los usuarios introduzcan credenciales corporativas en la nube. Trasladar a la nube los procesos internos automatizados. El sector de TI ha trabajado durante años para desarrollar los procesos más adecuados para gestionar su entorno. Por ejemplo, hoy en día es habitual que las organizaciones cuenten con políticas y procesos específicos para sus directorios empresariales, que suelen ser implantaciones de Active Directory. Mediante estos directorios, el personal de TI puede conectarse a otros almacenes de identidades de la empresa que controlan el acceso a los recursos y las aplicaciones según el puesto que ocupa el empleado en la organización. Estas conexiones funcionan como puntos de sincronización que automatizan el control de acceso. Los procesos de TI para controlar el acceso a aplicaciones alojadas en la nube tienen que estar tan automatizados como los procesos de acceso interno. El enfoque más seguro a la hora de controlar el acceso autorizado a aplicaciones SaaS es ampliar los procesos de TI existentes para que incluyan también las aplicaciones alojadas en la nube. Este enfoque también aprovecha su inversión en TI actual. Mantener a raya las soluciones alternativas. Si las funciones de entrada única no se trasladan a las aplicaciones SaaS, verá como las prácticas de autenticación inseguras inundan su organización. Como se ha mencionado con anterioridad, los usuarios apuntarán sus contraseñas en notas, libretas o en archivos de texto inseguros. Centralizar las contraseñas en un repositorio seguro de identidades es tan importante como mantenerlas siempre apartadas de la nube. La entrada única es la solución. Este método asegura que el proceso de autenticación de usuarios se realice con facilidad sin que los usuarios tengan que recordar varias contraseñas diferentes. La seguridad se preserva al tiempo que la experiencia de usuario aumenta considerablemente. Las soluciones de entrada única adecuadas no introducen las credenciales del usuario en la nube, sino que las mantienen en sus instalaciones bajo su control. Una sencilla experiencia de usuario esconde un gateway de autenticación que utiliza credenciales únicas generadas por computadora para realizar la autenticación en aplicaciones en la nube. Las credenciales secretas siguen siendo un secreto y, además, la solución regula el comportamiento de acceso de los usuarios al exigir que accedan a la nube a través del gateway. Auditoría y elaboración de informes. Según el tipo de aplicaciones e información que su organización almacene en la nube, es posible que necesite el mismo nivel de auditoría y elaboración de informes en sus entornos SaaS que en sus aplicaciones internas. Entre los parámetros esenciales que se supervisan se incluyen los usuarios con privilegios de acceso, los usuarios que realmente han accedido a las aplicaciones y el momento en el que lo han hecho. Cuando se trata de información regulada, demostrar la conformidad es tan importante como la misma conformidad. INFORME OFICIAL: Ampliación del control de acceso a la nube 5
Puntos imprescindibles para la adopción Implantación rápida. El departamento de TI no adopta soluciones que resulten difíciles de implantar porque el personal suele estar repartido entre diferentes tecnologías. Es posible implantar en días o semanas aplicaciones bien diseñadas que aprovechen las tecnologías actuales de virtualización porque se puede omitir el proceso de instalación y la configuración es mucho más fácil. Frente a los proyectos tradicionales de centros de datos que podían llevar meses, una solución adecuada debe ponerse en marcha en días. Fácil mantenimiento. El presupuesto para TI está congelado y, en el mejor de los casos, puede estar incluso disminuyendo, por lo que se evitan a toda costa las soluciones de gestión con un mantenimiento caro o complejo. Las mejores soluciones ofrecen a los administradores flujos de trabajo de actualización y actualización automática con restauración (cuando se aprueba). Selección de la solución Por último, la elección del proveedor adecuado es tan importante como las herramientas que selecciona para gestionar el acceso a las aplicaciones SaaS. A continuación se muestran algunos aspectos importantes a la hora de elegir un proveedor. Credibilidad. Qué reputación tiene el proveedor en el mercado? Cuál es el grado de satisfacción de otros clientes con la asistencia y los servicios que presta? Si sospecha de la reputación del proveedor, o este si lleva poco tiempo en el mercado como para haberse labrado una reputación sólida, extreme las precauciones durante el proceso de selección. Perspectiva de futuro. Cuál es la perspectiva de futuro del proveedor? Tiene vocación de liderazgo o de seguidismo? La perspectiva de futuro del proveedor coincide con la suya? Liderazgo en el sector e historial de servicio. Cuáles son los antecedentes del proveedor? Se ha mostrado innovador en los mercados donde opera? Ha demostrado que el mercado de nube y SaaS es una de sus prioridades o parece que solo se ha apuntado a esta moda? Eficacia demostrada. Cuál es la opinión de los clientes actuales del proveedor acerca de su trabajo? Cuál es el nivel de especialización de sus profesionales de ingeniería y asistencia técnica? Han implantado con éxito soluciones muy similares a la suya en otras organizaciones? El uso de las aplicaciones SaaS se extiende cada vez más, por lo que nunca fue tan importante elegir los productos oportunos que tengan el respaldo de la empresa adecuada. La investigación, planificación y selección adecuada de los socios garantizarán el éxito de la empresa durante los próximos años. Lo importante es su éxito NetIQ se vuelca desde el principio con cada organización para comprender todos y cada uno de sus desafíos y dificultades. Cuenta con trayectoria probada a la hora de ofrecer soluciones de TI para afrontar los continuos cambios, la complejidad y el riesgo en organizaciones como la suya. Este historial es lo que le permite en última instancia recuperar el control frente a estos obstáculos y prestar servicios empresariales con éxito. En cada implantación, NetIQ se compromete a facilitar la colaboración, así como proporcionar un servicio al cliente excepcional y soluciones innovadoras. Así es como NetIQ puede cumplir con los requisitos empresariales tácticos y estratégicos de sus clientes y partners. INFORME OFICIAL: Ampliación del control de acceso a la nube 6
NetIQ puede ayudarle a conseguir el éxito Con innovadoras soluciones, productos de gran calidad y servicio excepcional, NetIQ facilita los requisitos empresariales tácticos y estratégicos de sus clientes. Nuestros objetivos son conseguir el éxito del cliente y su fidelidad a largo plazo. Nuestra cultura y procesos empresariales ofrecen al cliente una experiencia positiva que facilita la realización de negocios con NetIQ. NetIQ es mucho más grande que los proveedores de soluciones parciales por lo que disponemos de los recursos que estos carecen. Sin embargo, no somos tan grandes como para que llegue a perderse entre la multitud. Respondemos a las necesidades de los clientes de forma rápida y directa. Acerca de NetIQ NetIQ es una compañía mundial de software para empresas de TI con un enfoque intensivo en el éxito del cliente. Los clientes y socios eligen NetIQ para afrontar de manera rentable los retos que plantean la protección de la información y gestionar la complejidad y el dinamismo de los entornos de aplicaciones con un alto grado de distribución. Nuestra cartera incluye soluciones ampliables y automatizadas para el manejo de identidades y seguridad, así como servicios de gestión de operaciones de TI que ayudan a las organizaciones a prestar, medir y gestionar de forma segura servicios informáticos en entornos físicos, virtuales y en nube. Estas soluciones y nuestro enfoque práctico centrado en el cliente para resolver desafíos persistentes de TI, garantizan que las empresas sean capaces de reducir el gasto, la complejidad y el riesgo. Para obtener más información acerca de nuestras reconocidas soluciones de software, visite www.netiq.com Este documento puede incluir imprecisiones técnicas o errores tipográficos. La presente información se actualiza de forma periódica. Los cambios efectuados podrían incorporarse en ediciones posteriores de este documento. NetIQ Corporation puede realizar en cualquier momento mejoras o cambios en el software descrito en el presente documento. Copyright 2012 de NetIQ Corporation y sus filiales. Reservados todos los derechos. 562-ES1010-001 Access Manager, ActiveAudit, ActiveView, Aegis, AppManager, Change Administrator, Change Guardian, Cloud Manager, Compliance Suite, el diseño del logotipo del cubo, Directory and Resource Administrator, Directory Security Administrator, Domain Migration Administrator, Exchange Administrator, File Security Administrator, Group Policy Administrator, Group Policy Guardian, Group Policy Suite, IntelliPolicy, Knowledge Scripts, NetConnect, NetIQ, el logotipo de NetIQ, PlateSpin, PlateSpin Recon, Privileged User Manager, PSAudit, PSDetect, PSPasswordManager, PSSecure, Secure Configuration Manager, Security Administration Suite, Security Manager, Server Consolidator, VigilEnt, y Vivinet son marcas comerciales o marcas comerciales registradas de NetIQ Corporation o sus filiales en Estados Unidos. Los demás nombres de compañías y productos que se mencionan en el presente documento se utilizan solamente a efectos de identificación y pueden ser marcas comerciales o marcas comerciales registradas de sus respectivas empresas. España C/ José Echegaray, 8 Edificio III Planta 1 Oficinas 5 y 6 28230 Las Rozas (Madrid) Telefono: +34 91 640 25 00 Fax: +34 91 640 25 25 Email: contact-es@netiq.com info@netiq.com www.netiq.com http://community.netiq.com Para obtener una lista completa de nuestras oficinas en América del Norte, Europa, Oriente Medio, África, Asia- Pacífico y América Latina, visite www.netiq.com/contacts. INFORME OFICIAL: Ampliación del control de acceso a la nube 7