"Las aplicaciones y servicios en la nube cambian nuestro entendimiento de los riesgos, pero también representan una oportunidad"
Durante la pasada RSA Conference celebrada en Amsterdam hablamos con Amit Yoran, General Manager y Vice President ; y Grant Geyer, Vicepresident, Security Analytics de la compañía.
¿Cuáles son las mayores amenazas de seguridad que tienen hoy sus clientes?
Para muchas organizaciones es doble. Por un lado entender que el entorno de amenazas es cada vez más sofisticado, más orientado a actividades criminales para la empresa, pues se intenta obtener ganancias financieras, y entendiendo también que hay una muy amplia actividad de los gobiernos en este área. Y segundo que la infraestructura, los datos, el entorno informático global de la empresa es mucho más complicado y está mucho más expuesto, pues el volumen de datos, la cantidad de aplicaciones, el acceso masivo, la movilidad, están explotando.
¿Cómo pueden contribuir a la seguridad en la empresa las aplicaciones analíticas y Big Data?
Si se piensa en todas las amenazas a las que se enfrenta una organización, el hecho de que el número de sistemas que hay en una organización continúa incrementándose, la información de que disponen se ha disparado, y los datos no están sólo en los sistemas de la empresa, sino también en los teléfonos y en los ordenadores portátiles de los empleados, es una tarea muy complicada a la que se enfrenta el administrador de seguridad.
Por un lado, hay tal cantidad de información y datos que proteger, y al mismo tiempo el número de amenazas se ha multiplicado, por lo que el punto al que llegamos al final no es cómo podemos protegernos de todo, sino cómo nos podemos focalizar en protegernos de las amenazas que representan el mayor riesgo para la empresa.
Aquí es donde entra Big Data. Ser capaces de recoger la información de un lado a otro de la empresa, clasificar toda esa información para ver cuáles son los mayores riesgos de los que nos tenemos que proteger, o en qué riesgos no hemos caído o hemos omitido, y usar toda esa información para priorizar los recursos limitados que tenemos en el equipo de seguridad de la empresa.
¿Es la nube más insegura que el centro de datos que radica en las instalaciones de la empresa?
Depende. No hay una nube y un centro de proceso de datos; hay muchas variantes y todas las organizaciones operan de forma diferente, no hay una igual a otra. Las aplicaciones y servicios en la nube ciertamente cambian nuestro entendimiento de los riesgos, pero también representan una oportunidad, pues si entendemos que los riesgos se incrementan al ir a soluciones basadas en la nube, y los requerimientos de seguridad están proactivamente definidos en los requerimientos del contrato y en el modelo operacional, se pueden usar las capacidades basadas en la nube para reducir los riesgos de la organización. Todo depende de cuáles son los requerimientos.
¿A qué compañías les recomendaría la nube y cuáles no?
Todo depende de qué están haciendo con la nube, qué datos envían fuera, a quíen se los envían, que procesos hacen con esa información, asegurar que tienen el nivel adecuado de visibilidad y de nivel de servicio. En muchos casos las aplicaciones en la nube están gestionadas muy bien y muy profesionalmente, y entonces se puede obtener en la nube mayor seguridad que si se gestionan las aplicaciones en las instalaciones propias y se espera que por ser un entorno propio va a ser más seguro, cuando todos los entornos tienen compromisos.
¿Qué hay diferente en su oferta de seguridad para sus clientes?
Si se mira la forma en que tradicionalmente se enfoca la seguridad, se logra identificar únicamente una pizca, una sombra de los incidentes de seguridad que afectan a las organizaciones. ¿Por qué? Porque sólo miran una parte de los datos, los “logs” registrados. Si se quiere realmente entender lo que ha pasado, hay que ir más a fondo, utilizar la información de los paquetes y la información basada en el punto final.
Pongamos un ejemplo. Vemos información que sale de la red con destino desconocido y la pregunta es ¿qué deberíamos hacer.? La respuesta puede parecer obvia, limpiar el sistema que está enviando la información. Bien, pero esto puede ocurrir un centenar o dos de veces en un mes, y no se podrá probar nunca qué está ocurriendo, y el equipo de TI está gastando una gran cantidad de recursos. Utilizando la información de los paquetes, se puede validar qué información está exactamente saliendo por la red para entender el impacto en la organización. También si se puede mirar el punto final, entenderemos que proceso específico está generando esta actividad. Así entenderemos impacto e intención, y es por esto que la seguridad basada en la analítica es diferente de otras cosas que hay en el mercado hoy.
¿Cuál es su visión de las tendencias en seguridad para el futuro?
Creo que vamos a ver a una bifurcación de las organizaciones focalizadas en “compliance” y en cumplir requerimientos y las organizaciones que están focalizadas en entender las amenazas y la seguridad del entorno, porque los requerimientos y regulaciones no mantienen el mismo ritmo y velocidad que las amenazas. Según los sistemas estén más expuestos y cada vez más rápidamente, y las amenazas sean más innovadoras y profesionales, y aceleren su velocidad, esa división entre ambos tipos de organizaciones crecerá rápidamente, como veremos en los próximos años. Las organizaciones que sigan estando solo focalizadas en “compliance”, van a encontrar que su nivel percibido de riesgo va a dejar de estar alineado con el nivel real de hostilidad del entorno.
¿Son las compañías europeas más o menos vulnerables que las americanas?
Cuando hablamos de Internet el mundo es plano. Todas las organizaciones tienen activos en riesgo, ya sea propiedad intelectual, datos de empleados, de clientes o financieros. Todas tienen sus “joyas de la corona” que son importantes y deben ser protegidas. Los cibercriminales no discriminan cuando buscan esas “joyas”.
¿Cuál es el porcentaje de TI que debe gastarse en seguridad?
Creo que varía según la industrias. Unas gastan en seguridad un porcentaje mayor de sus presupuestos que otras. Los presupuestos son importantes, pero también existe un importante factor cultural. Hay organizaciones con menos presupuesto y una buena cultura de seguridad que son más efectivas que otras organizaciones que puede que gasten más dinero, pero que no tienen una cultura que genere buenas conductas de seguridad, no tienen la seguridad embebida en el diseño, en la implantación, en la definición de los requerimientos de sus sistemas e infraestructura. Para mí la cultura es tan importante como los presupuestos.
¿Cuál es su anuncio más importante este año en la conferencia?
Uno de los anuncios que hemos hecho se refiere a nuestro programa de respuesta a incidentes críticos, y tiene que ver con la necesidad de que los equipos de operaciones de seguridad y de respuesta a incidentes tengan una operación madura, capaz de desarrollar las actividades de respuesta adecuadas junto con la arquitectura y tecnología necesarias para suministrar la solución.
Anunciamos algunas mejoras de producto en Security Analytics, junto a nuestros equipos de servicios profesionales y de educación, para suministrar a las organizaciones la combinación de tecnología, personas y proceso que necesitan para sus necesidades de seguridad.
¿Cuáles son sus herramientas clave para mejorar la seguridad de sus clientes?
Creo que hay unas pocas herramientas clave que permiten a nuestros clientes mejorar su seguridad. Una es tener la visibilidad adecuada, con nuestra aplicación de monitorización de red y analítica de seguridad, que ofrece la mejor visibilidad disponible para las redes y entornos de los clientes. Otra herramienta clave es la unión de nuestra infraestructura de analítica de seguridad y nuestra oferta de gestión de seguridad, riesgos y observancia, de forma que los responsables de seguridad que están operando dentro de una burbuja tecnológica pueden ver que es lo más importante para la organización, que debe priorizarse qué es menos importante, y dar información al negocio de cómo se pueden mitigar los riesgos y proteger mejor a la organización.
¿Qué piensa usted de la privacidad respecto a la seguridad?
Privacidad y seguridad pueden parecer elementos contrapuestos, pero si lo hacemos correctamente se complementan una con la otra. Si hablamos, por ejemplo, de la tecnología de monitorización de red, que es uno de nuestros elementos diferenciadores, si tenemos una buena visibilidad de lo que está ocurriendo en la red, podemos ver información identificable personalmente. Así podemos decidir activamente que no queremos registrar ese contenido porque es sensible personalmente, y enviar una alerta al sistema y a la gente responsable de esa comunicación de que están violando la política de privacidad de la empresa. Así podemos suministrar mejor seguridad y a la vez ayudar a la organización a mejorar sus prácticas de privacidad de una forma responsable.
¿Cree que estos elementos, privacidad y seguridad, están balanceados en la empresa?
Desde mi perspectiva no se puede tener privacidad sin seguridad. Para poder asegurar que la seguridad está adecuadamente implantada en la empresa hay que ganar la confianza de los empleados. Los procesos deben estar bien definidos y ser transparentes, y por otro lado hace falta la gestión, el gobierno. La gobernancia y la transparencia juntos crean la confianza de los empleados.
Veo que la gente entiende cada vez mejor esta necesidad, porque comprende el problema de no implantar una buena seguridad, hay tantas oportunidades de que la información de clientes y empleados sea robada con propósitos criminales.
¿Comprende que la gente no quiera muchas veces suministrar sus datos personales por temor a que sean utilizados malévolamente?
La gente debe ser muy consciente de que información da y a quién, qué implicaciones y posibles consecuencias puede tener. Pero no creo que tener esa sensibilidad esté en conflicto con la seguridad. Tener transparencia puede ayudar a los usuarios de tecnología entender mejor y poder decidir entonces a quien dar o no determinada información. Por otro lado la seguridad ayuda a proteger la información privada.
¿En el problema de seguridad hoy en día, qué lado está ganando, los criminales que atacan o la sociedad que se defiende?
Creo que cada vez es más difícil ofrecer seguridad. Cada vez hay más datos, más aplicaciones, más sistemas, más métodos diversos de acceder a la información. Creo también que los atacantes son cada vez más sofisticados. Los ataques ahora son para obtener ganancias financieras, intereses de gobiernos, hay atacantes más sofisticados y potentes. Es más difícil hoy ofrecer buena seguridad, por eso los equipos de seguridad tienen que seguir mejorando sus prácticas.
¿Qué me recomienda para defender mi propio ordenador en mi utilización diaria?
Depende de en qué organización trabaje, qué tipo de negocio sea y qué clase de datos utilice. Nosotros estamos especializados en el entorno empresarial más que en consumidores.
¿Qué opina de la seguridad de las aplicaciones en los teléfonos móviles?
Los teléfonos móviles son también ordenadores. Mucha gente no piensa en ellos de esa forma, pero tienen procesos, aplicaciones, memoria, almacenamiento, sistemas operativos, vulnerabilidades, acceden a los sistemas corporativos. Son parte del cambiante panorama de la tecnología. Todo programa de seguridad debe incluir cómo los usuarios utilizan las aplicaciones y plataformas móviles.
Es lo mismo que hace diez años cuando los usuarios empezaron a utilizar ordenadores portátiles, y ahora son los móviles y las tabletas. Las tecnologías cambian, pero los principios son los mismos. Es importante tener los sistemas de control, pero también los sistemas de monitorización, para tener una visibilidad completa de lo que ocurre.
