Valoración
  • Actualmente 0 de 5 Estrellas.
Tu valoración
  • Actualmente 0 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
NOTICIA

'Compliance' y la tendencia BYOD pisarán con fuerza en Infosecurity

02/02/2012 - Ángel Gallego / Londres
Infosecurity 2012 (Londres, 24-26 de abril) demostrará que la industria sabe escuchar las demandas de la empresa actual y pondrá sobre la mesa soluciones que ayuden a digerir la 'consumerización' creciente, como Bring Your Own Device (BYOD) y la presión constante que inflige a veces el cumplimiento normativo.

InfoSec 2012, que es como a los británicos les gusta denominar Infosecurity, volverá a ser el mayor punto de encuentro de la Seguridad TIC del Viejo Continente sin resentirse. Haciendo oídos sordos a la perenne crisis, unos 300 expositores, según la organización, volverán a llenar el pabellón principal de Earls Court en Londres.Mientras tanto, hasta que llegue el 24 de abril (inauguración de la feria, que se prolongará hasta el 26), algunas de las firmas más representativas ofrecieron su visión sobre el mercado tecnológico en la tradicional conferencia de prensa previa. A grandes rasgos y tras realizar un ejercicio de síntesis, compliance, cloud computing y la 'consumerización' estarán muy presentes en un congreso donde proliferarán las soluciones específicas para securizar transacciones, dispositivos y aplicaciones consolidadas.

055_Infosecurity press12
Panel de expertos compuesto por John Colley, de (ISC)2; Neira Jones, de Barclaycard; Lars Davies, de ISACA; y Andrew Yeomans, de Jericho Forum.

Pymes, en el punto de mira

El 99,8 por ciento de las organizaciones europeas son pymes, un dato que deja de ser sorprendente al constatar que Symantec engloba dentro de esta categoría a todas las que no superan los 250 empleados. Martin Lee, analista senior de la firma, desveló que cada vez es más habitual que este tipo de compañías sean objeto de Advanced Persistent Threat (APT) -ataques personalizados continuados-. “Es preocupante que sólo la mitad de estas empresas tenga un plan de recuperación de desastres y que solamente el 39 por ciento asegure tener instalado el antivirus en todos sus equipos”, expresó Lee, tras observar cómo las amenazas dirigidas a estas organizaciones son cada vez más creíbles y relacionadas con la actividad a la que se dedica cada una.A pesar de que el impacto económico no es aún muy significativo, Symantec atisba que las consecuencias pueden ser nefastas si no se aumenta el grado de concienciación en un lugar de trabajo donde los recursos TI son limitados, pero no los bienes o las identidades susceptibles de ser robadas. La solución: “establecer planes de Disaster Recovery y llevar el backup al terreno de lo cotidiano”, aconsejó Lee.

'Compliance', caballo de batalla

¿Cómo evitar que la Unión Europea (UE) castigue a una empresa con multas de hasta el cinco por ciento de su facturación anual? El compliance continuo es la solución para Tufin, aunque es consciente de la dificultad que entraña lograrlo. Shaul Efraim, vicepresidente de Marketing y Desarrollo de Negocio de la firma, aseveró que una interminable lista de normativas por cumplir (PCI DSS, SOX, HIPAA, ISO 27001, etc.), unida al aumento de la complejidad de gestión del entorno TI para el CISO es sinónimo de caos: “Son cientos de cambios semanales los que hay que realizar, que pueden llegar a niveles extremos si se tienen que gestionar de 10 a 100 firewalls de fabricantes diferentes”. 

En Tufin se posicionan a favor de soluciones de monitorización continua, que redundan en simplificar la gestión. “Solo el siete por ciento de las organizaciones automatiza sus auditorías de seguridad –añadió-, quedando expuestas la mayoría a sufrir un elevado índice de errores humanos. Ante las nuevas exigencias de la UE, la compañía reveló –de acuerdo a un estudio reciente- que el 39 por ciento de las empresas está más preocupado y el 55 por ciento de las mismas está interesado en soluciones de gestión automatizada, aunque solo el ocho por ciento está haciendo una transición real hacia dichas tecnologías.

El peligro número uno y el principal daño colateral que puede ocasionar el cumplimiento normativo es que llegue a obsesionar tanto a la organización que pueda bloquearla. En sus ansias por evitar ser multadas, muchas compañías se olvidan de pensar primero y analizar si están preparadas para emprender una acción. En torno a esta idea, Neira Jones, responsable de Payment Security de Barclaycard, se dirigió a la prensa europea: “No tiene sentido gastar 100 libras en proteger un activo de una libra. Es necesario conocer tu riesgo, elegir bien a los partners, fijar unas bases y estar preparado…”. Para Jones: “somos inherentemente vulnerables, no únicamente los usuarios, sino también las compañías, que caen a menudo en el pánico de implementar requerimientos a toda costa. Lo más lógico es pensar primero en soluciones que automaticen el compliance”, aseveró, en línea con el posicionamiento de Tufin.

La portavoz de Barclaycard hizo hincapié en lo complicada que se torna la labor del CISO en este nuevo escenario, pero su rol debe cambiar: “El CISO de ayer tiene que pasar de ser un analista a facilitador del negocio; de experto técnico del riesgo a Risk Manager; de administrador a estratega; y de centrarse únicamente en el riesgo de las pérdidas a hacerlo en todos los riesgos de la compañía”. En resumen, Jones ve un CISO exitoso en aquel profesional creíble dentro de la empresa, con habilidad para influir en las relaciones entre las principales líneas del negocio: legal, privacidad, recursos humanos, marketing, etc. 

En este sentido, Neira Jones recomienda que la inversión en Seguridad de la Información esté guiada por la realidad del negocio y no por el cumplimiento normativo. “El lenguaje adecuado para conseguirlo es Security Information Event Management (SIEM), que hace posible la correlación de logs, la prevención de intrusiones, el análisis forense y la automatización de procesos”, recalcó.

Y para hablar de SIEM, allí estuvo presente AlienVault, una compañía española, pionera en esta tecnología, que ha recibido un espaldarazo inversor definitivo para su expansión internacional, tal y como detallamos en este número. Richard Kirk, vicepresidente senior de Ventas de AlienVault, ofreció una presentación detallada de su nueva compañía (proviene del equipo ejecutivo de HP Fortify) y de los casos de éxito más relevantes: Telefónica y Metro de Madrid.

Los más jóvenes, seguros y protegidos en la Red

La Fundación (ISC)2 desarrolla la loable labor de proteger a los más jóvenes que son también los más indefensos, frente a los peligros de Internet. Tim Wilson, que lidera el voluntariado de la iniciativa "Safe and secure online" en el Reino Unido, dio a conocer los pormenores de su actividad: visitar colegios y difundir la concienciación sobre la necesidad de proteger la identidad digital. "Es necesario que las empresas reflexionen sobre el futuro y apliquen políticas que la situación actual demanda -dijo Wilson-. Desde la familia a la empresa, todos deben ser conscientes de que la seguridad de la vida real hay que llevarla a la vida online de los jóvenes".

055_tim wilson isc2
Tim Wilson, de la Fundación ISC2, con los niños del programa 'Safe and Secure Online'

Wilson hizo esta reflexión tras facilitar los datos que se desprenden de la última encuesta de  (ISC)2 y que hablan por sí solos: El 50 por ciento de los menores encuestados utiliza las redes sociales todos los días; el 63 por ciento utiliza Facebook, una red donde el 34 por ciento ha mostrado alguna vez fotos suyas con el uniforme de su colegio. El dato más alarmante es quizá que uno de cada diez niños asegura haber conocido personalmente a alguien que ya conocían a través de Internet. De los que reconocieron ir acompañados de alguien a esta cita, la mitad lo hizo con una persona menor de 18 años. En consecuencia, Wilson enunció: "Es necesario desligar el uso de Internet de la habitación y animar a los padres a ejercer de forma responsable un control parental y demorar el primer contacto con redes sociales hasta los 13 años". 

BYOD son siglas a recordar

Si aún no sabe a qué hacen referencia estas siglas: BYOD, memorícelas porque se va a hablar mucho de este concepto en los próximos meses. Aunque pueda parecer lejano, diversos proveedores de soluciones consideran que lo más beneficioso para la productividad en la oficina es que los empleados trabajen con sus dispositivos, que a menudo ofrecen más prestaciones que los que provee la empresa.

“Trae tu propio dispositivo” o “Bring Your Own Device” (BYOD) será una de las iniciativas más relevantes en los próximos meses, sobre todo en compañías sujetas a una regulación fuerte. Firmas como Good Technology afrontan el reto de poner en manos de la organización herramientas que permitan gestionar todo dispositivo ajeno a la compañía en horario laboral. “Estas empresas están dispuestas a asumir ese gasto extra en seguridad para que el empleado sea más productivo”, declaró Andrew Jacques, director general para EMEA de Good Technology. El directivo estima que el 80 por ciento de las firmas interesadas en esta iniciativa tiene más de 2.000 empleados y, aunque la mayoría son de Estados Unidos, tendrá un mayor eco en Europa próximamente. “Ofrecemos una tecnología de gestión escalable y probada, que mitiga el riesgo que puede hallarse en el usuario, en el dispositivo y en la empresa”.

Por su parte, Jamie Bodley-Scott, director de Estrategia de Cryptzone, informó a los presentes de que SharePoint, la plataforma de aplicaciones web más importante de Microsoft, no es todo lo segura que debería y desgranó las funcionalidades de su tecnología para extremar la protección del software. “SharePoint está diseñado para que los usuarios localicen rápidamente el contenido, generando gran cantidad de datos expuestos a caer en manos inapropiadas”, subrayó Bodley-Scott.

“Los controles de esta plataforma son demasiado opacos y técnicamente inadecuados. Los derechos de acceso se establecen en relación con los usuarios, pero quedan parapetados tras la localización del proxy. Este problema acarrea que el usuario tenga acceso a lo que necesita y lo mueva a zonas no seguras como un PC no corporativo o una memoria USB”. La solución que plantea Cryptzone ofrece acceso a la información en la plataforma si los derechos de acceso se corresponden en contexto con la identidad del usuario. En última instancia, esta tecnología consigue encriptar toda la información con derechos de acceso y puede abrirse desde SharePoint u otra localización siempre y cuando se acredite la identidad correctamente. Este paso adelante en la identificación también es viable en dispositivos móviles y está directamente ligado con la tendencia BYOD…  No la olviden. 

Envía tu comentario

Los campos marcados con * son obligatorios

Volver

Newsletter

¿Quieres estar informado? Ya puedes suscribirte GRATIS a nuestra newsletter mensual