Llegamos a ustedes gracias a:



Conversando con...

Claudio Chávez y Vicente Amozurrutia de Fortinet

La seguridad como habilitadora del negocio

[30/10/2012] La seguridad informática es el fantasma de las organizaciones y el encargado de TI el tipo pesado de la empresa. Esa es quizás la visión que tienen muchas organizaciones en la actualidad sobre una de las funciones más críticas de TI y del encargado de administrarla. Lo negativo de esta visión es que sesga la forma en que las firmas enfrentan los desafíos que implican las nuevas tendencias como el bring your own device (BYOD); las ven como un problema.
Fortinet, en su más reciente evento Fortinet Security Conference 2012, realizado en Lima, planteó voltear la tortilla. Ahora la empresa ya no debe ver a las tendencias -como el BYOD- como una amenaza sino como una oportunidad de negocio. Al asegurar que nada pasará al adoptar el BYOD, el área de TI no solo podrá mantener tranquilos a los responsables del negocio sino que les dará un nuevo camino para ampliar las operaciones de la firma.
Claudio Chávez y Vicente Amozurrutia, country manager para Perú y Bolivia y regional sales director para América Latina de la División de Tecnología Avanzada de Fortinet.
Con Claudio Chávez y Vicente Amozurrutia, country manager para Perú y Bolivia y regional sales director para América Latina de la División de Tecnología Avanzada de Fortinet, respectivamente, charlamos durante el evento sobre esta nueva forma de ver a la seguridad y también al encargado de ella.
¿El evento se realiza periódicamente?
Amozurrutia: A partir de este año vamos a hacerlo anualmente, nos interesa tener un posicionamiento en el mercado y en el cliente. Con este posicionamiento deseamos que puedan ver que nosotros los tenemos informados de cómo poder solucionar los problemas que aquejan a la seguridad informática.
Hablando de los problemas de seguridad, ¿siguen siendo los mismos?
Chávez: De hecho, en ese aspecto podría decirte que no hay nada nuevo bajo el Sol, como los virus, malwares, botnets, pero sí lo que existe es una modernización de las amenazas. Nosotros como Fortinet tenemos que evolucionar a la par de las amenazas y eso es lo que hacemos día a día.
Por ello, una de las cosas importantes que estamos anunciando es el preview de nuestro nuevo sistema operativo que va a contar con 17 funcionalidades, dos más que el anterior, y que va a ser útil no solo para controlar las nuevas amenazas y su evolución, sino que también tendemos a ofertar una arquitectura consolidada que permita que los negocios de las personas crezcan.
No estamos viendo la seguridad como un ente aislado o reactivo ante las amenazas, sino como una arquitectura habilitadora de negocios en la que la seguridad se vea de una forma distinta, no como el cuco sino como un ente facilitador de los objetivos de la empresa y los negocios, eso es lo que queremos transmitir.
Regresando a la pregunta inicial, sí existen amenazas nuevas que básicamente suelen ser evoluciones de lo ya escrito. Nosotros como Fortinet estamos más que listos para atender esas amenazas y no como una empresa reactiva sino proactiva ante esto y las necesidades de mercado.
Amozurrutia: Es importante no ser reactivos sino poder darle a nuestros clientes la opción de que puedan planificar los retos de seguridad, y no solo a través de un nuevo antivirus o una nueva firma sino mediante habilitadores de negocio. Uno de los temas, por ejemplo, es BYOD [bring your own device]. Parece un monstruo pero no se debe ver como un monstruo sino que queremos que vean como con Fortinet podemos ayudar a habilitarlo dentro de las empresas de manera segura.
Otra tendencia son los DDOS, como los de Anonymous. Es increíble que muchas veces los clientes se dejen intimidar por Anonymous y se desconecten ante un ataque. Queremos mostrarles cómo podemos enfrentar esos retos. Como dice Claudio, es necesario planificar y no ser reactivos.
¿Las tendencias como la nube, virtualización, BYOD son más frentes que seguridad tiene que atender?
Chávez: Pues sí, de hecho generan problemas pero nosotros queremos verlo de otra forma, tender a otro enfoque. Nuestro enfoque es que estas tendencias, como por ejemplo BYOD, no solo conllevan una amenaza sino una oportunidad para el negocio. El gerente de sistemas, por ejemplo, cuando quiera puede llevar su tableta y empezar a trabajar con un usuario llevando su propia máquina, queremos ver a BYOD como un ente facilitador del negocio no como un ente que puede entorpecer los procesos de seguridad.
Además, ¿cómo es vista la persona de seguridad en una empresa? Es vista como el tipo más odioso que existe, es la persona que no te deja entrar al Facebook, que no te deja jugar, que te bloquea el Hotmail, que cada tres meses te dice que tienes que cambiar la contraseña. Nosotros queremos que sea visto de manera distinta, queremos que las empresas vean a la persona de seguridad como un facilitador del negocio, de los procesos productivos y que sea una parte activa de los objetivos de la empresa.
¿Cual es el nivel de awareness de las empresas con respecto a la seguridad?
Amozurrutia: Generalmente son reactivas, lamentablemente en los 20 años que tenemos en seguridad informática, el mercado se ha movido reactivamente. Pero el mensaje de Fortinet es cambiar ese círculo vicioso de ser reactivo a un círculo virtuoso de ser planificador y comprender no solo la tecnología.
Nosotros estamos cambiando nuestro discurso de bit and bytes por soluciones habilitadoras y lo que queremos es que gracias a ese awareness nos tomen como asesores, consultores, y no como fabricantes; no somos fabricantes de una caja sino consultores de soluciones, con tecnología atrás, pero que acomodamos de acuerdo a la necesidad del cliente.
Ahí es donde tenemos ese gran reto, de comunicar esto a los encargados de informática. Ellos pueden tener muchas amenazas, como los DDOS. Lo que queremos hacer es que se preparen para que los retos del futuro los podamos afrontar de manera eficiente. Por ejemplo, en el caso del IPv6, ¿quién les ha dicho como prepararse para ello? El encargado de informática puede verlo con algo de temor pero nosotros nos encontramos aquí para acompañarlo y habilitar todo, ya no solo en términos de bits and bytes como se dijo, sino de una manera orientada al negocio.
Siempre se dice que las empresas financieras son las más preocupadas por la seguridad pero ¿qué otras empresas también lo están haciendo?
Chávez: Desde una perspectiva local te puedo decir que la diversidad de empresas que están optando por soluciones de Fortinet es muy amplia, abarcamos todas las verticales (finanzas, educación, energía, comercio, gobierno, etcétera) y es que cualquier entidad que tenga una conexión a Internet y que comparta información necesita poder hacer estas transacciones de forma segura.
Un ejemplo. En el 2011 Sony sufre un ataque pero no le robaron un solo dólar, le robaron datos de los usuarios y eso ocasionó ocho días de cierre del servicio en línea de PSP de Sony. Se calcula que eso le costó 170 millones de dólares a Sony, sin que implique una sola transacción de dinero. Entonces cualquiera, sin que esté realizando transacciones monetarias, necesita ver a la seguridad informática no como algo que tiene que tener para que no le pase algo -que es el enfoque usual-, sino para poder crecer como empresa y ver nuevos nichos de negocio de manera segura.
Amozurrutia: Se puede decir que todos los sectores se están preocupando por la seguridad. Regionalmente, ha habido ataques de denegación de servicio a casinos, hoteles y otros negocios. ¿Qué se puede hacer? Nosotros podemos habilitar la seguridad en diferentes nichos.
Los ataques de denegación de servicio se siguen produciendo a pesar de haber soluciones contra ellos, ¿por qué ocurre esto?
Amozurrutia: Los ataques se siguen sofisticando y nunca se van a acabar, obviamente hay que estar preparados. Muchas veces se piensa que la nube es segura y que los proveedores son seguros, y sí lo son pero los ataques son más dirigidos. Por eso nosotros mostramos cómo podemos habilitar la seguridad con un traje a la medida. No solo uno debe sentirse seguro con lo que pueda haber en la nube sino que se tiene que determinar lo que realmente la organización necesita como seguridad.
Chávez: De hecho, las soluciones son mucho más sencillas de lo que creen los clientes. Y otro de los problemas es que los ataques DDOS tienen por objetivo que un servicio no esté arriba. Regresando al ataque a Sony, se puede entender como un DDOS porque el robo de información implicó que al final el servicio estuviera ocho días parado. Un defacement de un sitio web, por ejemplo, sin que ataque la parte interna de la empresa detiene el servicio.
Entonces la protección ante un ataque DDOS no solo implica la protección de los puertos o del servidor de base de datos, sino también cualquier tipo de ataque que pueda resultar en la suspensión de los aplicativos y los servicios en línea. Si entendemos esto vamos a comprender que un solo producto no va a detener los ataques DDOS sino una arquitectura.
Cuando alguien va donde el gerente y le dice que la empresa tiene que comprar una caja de DDOS y a los tres meses le dice que se tiene que comprar otra caja que proteja los aplicativos de Internet y luego de otros tres meses le dice que tiene que comprar un firewall de base de datos. ¿Cómo explicar que se tiene que comprar cajas cada tres meses y luego sus licencias?
Aquí es justamente donde entra la visión de Fortinet que nos dice que con una arquitectura organizada y con los productos adecuados y el expertise podemos generar una malla de solución contra ataques de DDOS y otros tipos de ataques. Si lo hacemos de esta manera, podemos tener a la empresa mucho más preparada.
Jose Antonio Trujillo, CIO Perú