RESPUESTAS SIC - De los servicios de SOC a la seguridad en la nube
|
|
|
Barcelona: 17 de noviembre de 2009
Hotel Rey Juan Carlos I
Madrid: 19 de noviembre de 2009
Hotel NH Eurobuilding |
|
|
|
|
|
RESPUESTAS SIC - De los servicios de SOC a la seguridad en la nube |
Con la participación de expertos de la consultora Deloitte, del integrador GMV-SGI, y de los proveedores IBM, McAfee, MessageLabs (Symantec), S21sec, Telefónica y Unitronics.
La tercera edición de Respuestas SIC en 2009 tomó el pulso al emergente modelo de servicios desde “La Nube”
La actualidad y oportunidad del modelo de computación en “La Nube” es una realidad que en los entornos de protección TIC permite solucionar muchos de los problemas tradicionales a los que se enfrentan las organizaciones. Pero precisamente su elevado grado de abstracción y sus amplias posibilidades lo convierten en un escenario inquietante para muchos usuarios. Con el fin de arrojar luz sobre las nuevas modalidades disponibles actualmente en el mercado, así como su impacto en la provisión de aplicaciones y servicios, e indiscutiblemente en los de seguridad prestados desde SOC, la Revista SIC organizó los pasados 17 y 19 de noviembre dos sesiones monográficas en Barcelona y Madrid, que concitaron el interés de unos 300 asistentes.
|
|
|
La sesión, denominada “De los servicios de SOC a la seguridad en La Nube”, arrancó con la visión clarificadora de dos reputados expertos, Javier Urtiaga, Socio Responsable del área de Security & Privacy Services de Deloitte; y Mariano J. Benito, Director de Seguridad de GMV Soluciones Globales Internet. Sus intervenciones permitieron sentar los conceptos básicos sobre el cloud computing, sus modalidades, las diferencias con el outsourcing, los beneficios y aspectos más positivos de esta fórmula, la gestión de riesgos de seguridad en “la nube”, los puntos a solventar en el futuro, y las similitudes con otros servicios ya existentes y con óptimo funcionamiento.
|
|
Algunos de los requisitos de mejora mencionados en este primer bloque de intervenciones fueron: la interoperabilidad de aplicaciones e interfaces de servicios, la auditoría del proveedor de herramientas y servicios desde “la nube”, la deseable identidad digital, el cifrado de las comunicaciones, los requisitos adicionales de cumplimiento legal, o la incorporación de cláusulas adicionales a la disponibilidad en los acuerdos de nivel de servicio (SLA), entre otros.
Igualmente, entre las conclusiones señaladas por ambos ponentes, que estuvieron de acuerdo en defender el interés y las oportunidades del modelo analizado, se enfatizó la necesidad de clasificar y proteger la información a trasladar a la nube, gestionar el riesgo, analizar la normativa, reservarse el derecho a ciertas auditorías y exigir a terceros las mejores prácticas.
|
|
Proveedores y prestadores: modelos actuales de servicio
La segunda parte de la jornada abrió el turno de participación a un selecto grupo de proveedores y prestadores de este tipo de servicios, integrado en esta ocasión por: Juan Carlos López, IBM ISS SPGI Leader Global Technology Services, de IBM Global Services España; Fernando Vega, Director Técnico para Iberia de McAfee; Francisco Cabeza, Responsable de Desarrollo de Negocio para el sur de Europa de MessageLabs-Symantec Hosted Services; Mariano Largo, Director de Estrategia y Desarrollo de Negocio de S21sec; Juan Miguel Velasco, Director Asociado de Servicios y Sistemas de Seguridad (Servicios desde la Red. Grandes Empresas), de Telefónica de España; y Javier Zubieta, Director de Desarrollo de Negocio de Seguridad y CISO de Unitronics.
|
|
Con posterioridad a las presentaciones de los representantes de estas firmas del sector, los asistentes tuvieron oportunidad de exponerles sus preguntas en el marco de una mesa redonda, en la que salieron a colación cuestiones como el papel de los SLAs en este tipo de servicios y su deseable evolución en contenidos, parámetros a medir y garantías; o qué servicios y productos de seguridad están en disposición de ofrecer las compañías participantes bajo la modalidad “en la nube”, destacando fundamentalmente los de web, correo-e, análisis de vulnerabilidades, prevención de fuga de información (DLP), detección de intrusos, filtrado de tráfico a nivel de cortafuegos, back-up en línea, gestión remota de dispositivos, acceso seguro, auditoría de servicios “en la nube” y protección de “la nube”.
La visión de los usuarios: Arsys, Generalitat de Cataluña e Iberdrola
Como cierre de la sesión, el tercer bloque de la misma contó, en torno a una mesa redonda, con la opinión desde el ángulo de las compañías usuarias, de Olof Sandstrom, Director General de Operaciones y Seguridad de Arsys Internet; Tomás Roy, Director del Área de Calidad, Seguridad y Relaciones con Proveedores del Centro de Telecomunicaciones y TI de la Generalitat de Cataluña; y Francisco Javier García Carmona, Director del Departamento de Seguridad de la Información y las Comunicaciones de Iberdrola.
El representante de Arsys matizó que actualmente no existe una frontera clara para definir “la nube”, ya que en ocasiones se habla de ella como si fuera Internet, o equivale a los conceptos de hosting y housing que se vienen usando desde hace una década, o la externalización de infraestructuras de TI por cuestión de costes. En cualquier caso, destacó la disponibilidad y la capacidad entre las ventajas de este modelo, y la deslocalización de la información y el riesgo de que todo lo que corre encima de “la nube” resulte comprometido en caso de que esta sea el objetivo del ataque, entre algunos de los aspectos más controvertidos.
|
|
Por su parte, Roy destacó algunas ventajas de la computación “en la nube” como su capacidad, flexibilidad y tiempo de respuesta, y aconsejó como primer paso el uso de arquitecturas cloud in house y posteriormente externas. Además, subrayó que los riesgos de esta opción son los mismos que los del outsourcing y que “no todos los que hablan hoy de la nube estarán en el futuro en la nube”.
Finalmente, García Carmona expuso algunas de sus dudas con respecto a este modelo, como la inseguridad de la propia “nube”, la propiedad de la información que reside “en la nube”, ¿qué tipo de uso se puede hacer de los datos durante el servicio?, ¿cómo realizar auditorías de estos servicios?, ¿cuál es la interoperabilidad entre los diferentes prestadores?, o si la dirección de la compañía permitiría que los datos estén distribuidos aunque su seguridad quede garantizada bajo acuerdo. En opinión de García Carmona “Se dejarán para la nube los aspectos que no aporten valor a la compañía” y aunque la externalización es una tendencia con visos de seguir consolidándose, sería indispensable poder realizar un seguimiento/auditoría de este tipo de servicios desde “la nube”’.
|
|
SIC |
|
|
|