RESPUESTAS SIC - El reto de la virtualización segura > Crónica
 
  Madrid: 14 de octubre de 2008
Hotel NH Eurobuilding

Barcelona: 17 de octubre de 2008
Hotel Rey Juan Carlos I
RESPUESTAS SIC - El reto de la virtualización segura
La jornada contó con el co-patrocinio de Fortinet, McAfee, Stonesoft, Symantec y Trend Micro

El impacto en la seguridad de las incipientes tecnologías para virtualización, a debate en la novena edición de Respuestas SIC

Con el título “El reto de la virtualización segura”, la Revista SIC organizó el pasado 14 de octubre en Madrid y el 17 de octubre en Barcelona una sesión monográfica destinada a analizar las ventajas que la técnica de virtualización puede aportar a la mejora de la seguridad, así como a realizar una puesta al día de la situación evolutiva de las soluciones que la industria especializada en protección de la información propone para gestionar los riesgos asociados al uso de la virtualización. Ambas jornadas, en lo que supone la tercera cita anual de este evento, concitaron el interés de más de 300 asistentes.




El primero de los bloques, a cargo de Javier Fernández-Sanguino, Responsable de la División de Seguridad Lógica de Germinus (Grupo Gesfor), permitió sentar las bases sobre las actuales estrategias y el estado del arte de la materia, realizando un repaso por la historia de las tecnologías de virtualización, la aplicación de la virtualización a la seguridad, la virtualización de las infraestructuras de servidores, las oportunidades de seguridad ligadas a la virtualización de servidores, los riesgos adyacentes a los sistemas virtualizados y algunos ejemplos de gestión de infraestructuras virtuales seguras, entre otros puntos de interés.

El consultor especializado de Germinus subrayó en el turno de preguntas que la madurez de los productos de virtualización en materia de seguridad de la información todavía no es muy avanzada, y que la introducción de seguridad en entornos virtualizados es “algo que los Responsables de Seguridad de las organizaciones ya tienen sobre la mesa”. En este sentido, recomendó cautela en aspectos como la virtualización del puesto ofimático, aunque abogó por la realización de pruebas en entornos controlados. Igualmente, llamó la atención acerca de la necesidad de establecer con claridad las responsabilidades en la operación de la seguridad en los entornos virtualizados y los no virtualizados.


Sesión de Madrid


Sesión de Barcelona


Propuesta tecnológica

Seguidamente, cinco compañías de la industria, Fortinet, McAfee, Stonesoft, Symantec y Trend Micro, representadas respectivamente por Emilio Román, Director General de la compañía para Iberia; Blas Simarro, Director Técnico; María Campos, Directora General de la filial ibérica de la firma finlandesa; Javier Ferruz, Consultor Senior Preventa; y Gabriel Agatiello, Responsable de Producto del fabricante nipón, presentaron las tecnologías con las que actualmente estos fabricantes afrontan la protección de los escenarios virtualizados en los que operan.

Algunas de las cuestiones planteadas en el coloquio por los asistentes versaron en torno a la oportunidad y madurez de este tipo de soluciones, los controvertidos y a menudo citados “costes ocultos” de la virtualización en seguridad, los riesgos asociados a componentes fundamentales como el hipervisor (con acceso a todas las aplicaciones), el impacto de los posibles fallos de estas soluciones en la seguridad del conjunto virtualizado, o los pros y contras del uso masivo de la plataforma VMware en los proyectos de virtualización y el mayoritario número de alianzas de los fabricantes de seguridad y este proveedor.


Sesión de Barcelona


La opinión de los usuarios corporativos


El epígrafe final de la jornada, en forma de mesa redonda, contó con la visión y las expertas opiniones de tres organizaciones usuarias, cuyos representantes, Tomás Roy, Director del Área de Calidad, Seguridad y Relaciones con Proveedores del CTTI-Generalitat de Cataluña; Carlos Pérez, Responsable de Ingeniería de Seguridad, de la Dirección de Seguridad Lógica del Grupo BBVA; y Juan Miguel Velasco, Director Asociado de Servicios de Seguridad y Proyectos de Seguridad de la Unidad de Grandes Clientes de Telefónica España, expusieron las ventajas y retos que la protección unificada y eficiente de la información de los sistemas virtualizados plantea en el presente dentro de sus organizaciones.

En este sentido, Tomás Roy destacó que, aunque en su entidad un 50% de la tecnología está virtualizada y presenta funcionalidades muy interesantes, existen aspectos que todavía requieren de una importante evolución, como el análisis de riesgos para estos entornos, propuestas de continuidad en entornos críticos, auditoría, contabilidad y control, o políticas y guías de desarrollo específicas para entornos virtualizados.


Por su parte, Carlos Pérez expuso que los sistemas críticos del Grupo BBVA llevan un tiempo virtualizados, aunque hay componentes que son muy complicados de llevar a entornos virtuales, debido, en su opinión, a que tanto el mercado como los propios usuarios no están lo suficientemente maduros ni preparados para virtualizaciones masivas. En cualquier caso, sobresalen algunos apartados que proporcionan interesantes beneficios para la entidad bancaria como las plataformas virtualizadas de escritorios y la movilidad.



Sesión de Madrid



Finalmente, Juan Miguel Velasco explicó que en Telefónica Empresas se emplea ampliamente la virtualización, a la que la firma accedió hace tiempo tanto por una necesidad de negocio, como de costes y de demanda del mercado, abarcando el puesto de usuario, los servidores de los cinco centros de datos de la compañía, y el área de seguridad virtualizada. Asimismo, entre las cuestiones pendientes por resolver en el futuro, el directivo mencionó que estos novedosos entornos se enfrentan a nuevos fraudes y amenazas que supondrán un importante reto.


SIC

<volver