Llegamos a ustedes gracias a:



Reportajes y análisis

Seguridad en la nube: Preparados para un rápido crecimiento

Las propuestas de negocio convincentes y BYOD dirigiendo el éxodo de seguridad en el nimbo

[28/01/2014] La fiebre de las empresas por trasladar sus operaciones a la nube está creando una estela que está dejando a los servicios de seguridad en el nimbo.
"La gente ahora se siente más cómoda con la nube, por lo que están aprovechando ciertos servicios de ésta para la seguridad", señala Brian Contos, CISO de Blue Coat, una empresa de dispositivos de filtros web.
Esa comodidad conducirá un rápido crecimiento en el mercado de servicios de seguridad basados en la nube durante los próximos años. El mercado, de acuerdo con Gartner, saltará mil millones de dólares en los próximos dos años, de 2,1 mil millones de dólares en el 2013 a 3,1 mil millones de dólares en el 2015.
La firma de investigación Infonetics Research también tiene un pronóstico optimista para los servicios de seguridad basados en la nube. Predice que sus ingresos subirán a una tasa de crecimiento anual del 10,8%, desde el 2012 hasta el 2015, cuando alcanzará 9,2 mil millones de dólares.
"Hay una creciente presión sobre las organizaciones para tener servicios en la nube, y la única manera real de gestionar algunos de los riesgos en la nube es con los servicios de seguridad en la nube", comenta Davi Ottenheimer, presidente de flyingpenguin, una firma de consultoría de seguridad.
Dado que las empresas mueven los servicios de sus centros de datos hacia la nube, no solo quieren que sus servicios de seguridad también estén allí, sino que quieren que esos servicios de seguridad emulen otras ofertas de nube. "Ellos están exigiendo servicios de seguridad de la más alta clase y de próxima generación", anota Mark Nunnikhoven, ingeniero principal de la nube y las tecnologías emergentes en Trend Micro.
"Quieren un servicio de seguridad que tenga los mismos atributos de la nube -algo que sea inteligente y flexible", añadió.
La migración general de las operaciones a la nube no es la única tendencia que está llevando a los servicios de seguridad al nimbo. "El aumento de la movilidad y la distribución de los usuarios, ha llevado a una gran exigencia de seguridad en la nube", señala el analista principal de Infonetics, Jeff Wilson.
El aumento en el uso de múltiples dispositivos por parte de los empleados para realizar su trabajo, ha ampliado los retos de seguridad en muchas organizaciones. Estos dispositivos son utilizados por los trabajadores de los servicios fuera de la red de su empleador -servicios como Gmail, Webex, Dropbox y Evernote- que pueden exponer a esa red al riesgo. "Tratar de encontrar una manera de comprar un producto que lo proteja de todo eso se vuelve alucinante", señala Wilson.
"Hace que pensar en el 'hijacking' y el tráfico de enrutamiento a través de una nube segura suena como algo razonable", agregó.
Cuando las organizaciones podían limitar las pasarelas a sus redes y enfrascar los datos dentro de esas redes, las soluciones locales tenían más sentido. Ese no es el caso ahora.
Jay Chaudhry, fundador y CEO de Zscaler, una compañía de seguridad de información basada en la nube, recuerda una reciente conversación que tuvo con un CSO. "Le pregunté, ¿Cuántos empleados tiene usted?", señaló Chaudhry. "Él dijo, 10 mil. Le dije: ¿Cuántas puertas de enlace a Internet tiene? Y esperaba una respuesta como tres o cuatro o cinco. Dijo, 10 mil".
El CSO explicó que cada empleado tenía una computadora portátil. Va a donde vaya el empleado, y que a menudo se conecta directamente a Internet. "Entonces él dijo: Lo siento. Lo dije mal", continuó Chaudhry. "'Cada empleado tiene un teléfono inteligente y la mayoría de ellos tienen una tableta, también. Así que al menos hay 20 mil puertas de enlace".
"Si observa eso, a continuación la idea de comprar unas cuantas cajas y ponerlas en una red comienza a sonar irrelevante", añadió.
Sin lugar a dudas, la diversidad de dispositivos está contribuyendo a la erosión de la eficacia de las defensas perimetrales, y aumenta el atractivo de la nube como una herramienta de seguridad. "La diversidad de dispositivos está impulsando la necesidad de una solución más allá de la protección de este castillo que hemos construido para proteger nuestros datos a través de los años", señala Dan Hubbard, CTO de OpenDNS, un proveedor de servicios de seguridad basados en la nube.
"Ese modelo de castillo y foso explota cuando todos sus usuarios y los datos pasan por las puertas del castillo y comienzan a trabajar fuera del castillo", agregó.
Gran parte de lo que los empleados tenían que hacer y acceder -bases de datos de SAP y Microsoft Exchange- se ha trasladado a la nube. Ahora los empleados pueden acceder a lo que necesitan para trabajar desde cualquier lugar con cualquier dispositivo. "Dado que los usuarios con sus datos y los dispositivos están viajando con ellos en la nube, la nube es la mejor manera de protegerlos", señala Hubbard.
Esto se debe a que la nube le puede dar a los 'perros guardianes' del sistema una mejor visión de lo que está sucediendo en un entorno en expansión de soluciones locales. Se puede lograr, por ejemplo, una mayor visibilidad en los patrones de tráfico de datos. "La nube es enorme para eso", agrega Hubbard.
Además, los ataques se pueden identificar en tiempo real o casi real. "Si tiene clientes en silos con aparatos y software distribuidos en distintos lugares del mundo, no van a estar hablándose unos a otros, por lo que no ve los datos en tiempo real", señaló Hubbard. "Con una solución en la nube, las tecnologías de grandes datos pueden aplicarse para proteger a los clientes de una manera mucho más rápida y predecible".
Por otra parte, los servicios de seguridad basados en la nube pueden permitir que una organización haga frente a los problemas que son demasiado grandes para ellos, como los ataques distribuidos de denegación de ataques de servicio. "No es razonable que la empresa media compre la infraestructura para mitigar un ataque DdoS sostenido de 100 eventos", señala Wilson de Infonetics.
Las empresas también están interesadas en los servicios de seguridad en la nube por muchas de las mismas razones por las que están interesados en los servicios de nube. Por ejemplo, quieren gastar menos dinero en hierro, volviendo los gastos de capital en gastos operativos más predecibles. "En lugar de gastar 100 mil o 150 mil dólares en una nueva plataforma de filtrado web, que puede pasar de un dólar por usuario al mes", explicó Wilson.
"Es mucho más fácil predecir sus gastos", continuó, "y evitar la obsolescencia".
De hecho, salir de la jaula de la tecnología siempre ha sido una gran atracción de la nube. "Muchas empresas no quieren asumir la carga de tener que gestionar más soluciones de seguridad complejas", señala Greg Onoprijenkom, presidente, co-fundador y director general de ventas de e-ternity, una firma de consultoría de continuidad del negocio.
"La tecnología está en constante evolución, y es caro mantenerse actualizado", añadió.
Con una solución de seguridad basada en la nube, esas cargas pueden ser para otra persona. "Le quita el costo de propiedad", agrega Hubbard, de OpenDNS. "No tiene que parchar ningún servidor. No tiene que instalar cosas. No tiene que configurarlas. No tiene que actualizarlas. Todo esto sucede de forma automática".
Sumándose a esos gastos se encuentran los altos requisitos de seguridad de los reguladores y otros. "Ahora hay un impulso mucho más significativo en torno al cumplimiento en muchas organizaciones con respecto a hace tres o cinco años", comenta Erik Bataller, consultor principal de seguridad en Neohapsis, una firma de seguridad empresarial y consultoría de riesgos.
"Los requisitos son cada vez más rigurosos por lo que hay un aumento de los costos allí", agregó. "La mayoría de las organizaciones se han esforzado por cumplir con los requisitos actuales y poco en tratar de satisfacer las crecientes necesidades".
No solo puede ser oneroso mantener los sistemas de seguridad, pero encontrar los materiales web para hacerlo también puede ser un reto. "Es aún más difícil en las empresas más pequeñas, donde el personal de TI ya se ha reducido", señala Brian Laing, vicepresidente de productos en Lastline, un proveedor de inteligencia de amenazas basado en la nube. "Ellos no tienen el personal para dedicarse a la seguridad, y mucho menos contratar a una persona de seguridad de gama más alta".
Las grandes empresas también son conocidas por cortar las esquinas de seguridad. Andrew Kellett, uno de los analistas principales de Ovum, una compañía de investigación de empresas y tecnología, recordó su experiencia con una empresa minorista que opera en 26 países. "No teníamos profesionales de seguridad TI dedicados", señala. "Fue un requisito general de TI".
Aliviada de la necesidad de expertos en seguridad, una empresa que utiliza los servicios de seguridad basados en la nube, puede liberar recursos para las necesidades más importantes de su misión fundamental. "Una organización que adopte un servicio de nube no tiene que convertirse en experta en ese servicio", explicó Justin Moore, fundador y CEO de Axcient, un proveedor de servicios de continuidad de la nube para las pequeñas y medianas empresas. "Esto significa ser capaces de desplegar las mejores capacidades de su clase con el mínimo esfuerzo y gasto".
"Si es un negocio de 100 personas", añadió Nunnikhoven de Trend Micro, "y no quiere contratar a siete personas que se dediquen solo a la seguridad, es mucho más valioso para usted, como organización, que opte por un proveedor de seguridad gestionado que coordine la mayor parte de que lo que necesita con solo dos o tres personas responsables de la seguridad".
Nunnikhoven advirtió, sin embargo, que, a pesar de las afirmaciones entusiastas de los proveedores de la nube, el ahorro puede ser difícil de alcanzar. "Muchas veces cuando la gente piensa en los ahorros, creen que estaban pagando 100 dólares y que ahora están pagando 50 dólares", señala. "Es probable que veamos una mejor utilización de sus recursos. Puede pasar la misma cantidad de dinero, pero le dan más por él".
A pesar de la velocidad de mover los servicios de seguridad a la nube, algunas empresas seguirán siendo escépticas acerca de esta práctica. Nirav Mehta, director de gestión de productos de RSA, la división de seguridad de EMC, observa: "No es que el negocio sea menos seguro mediante el uso de la nube, es que la empresa no puede tener visibilidad sobre qué tan seguro es cuando pierde el control de sus servicios de seguridad".
Por otra parte, en los últimos tiempos, la vulnerabilidad de la nube ante actores dotados de grandes recursos, ha empañado la reputación de la seguridad en el nimbo. "La suposición de que estos proveedores de la nube son demasiado grandes para ser inseguros ha resultado ser falsa", señala Ottenheimer de flyingpenguin.
En ninguna parte ha sido más evidente que en las recientes revelaciones de espionaje en los grandes proveedores de servicios de nube hechos por la Agencia de Seguridad Nacional (NSA, por sus siglas en inglés). Sin embargo, hay personas que creen que ni siquiera la NSA puede ralentizar el impulso detrás de la migración de los servicios de seguridad a la nube.
"La nube es una opción tan atractiva en estos días que no hay mucho que vaya a reducir esa tendencia", señala Onoprijenkom de e-terntiy. "Hay muchos ejemplos de brechas en la nube de Amazon, y la gente todavía se sigue uniendo a ella diariamente".
"Eso quiere decir que no importa quién sea o cuánto dinero gaste, aún existen vulnerabilidades y todavía tiene que ser consciente de las amenazas", agregó. "Es ingenuo pensar que ningún entorno de TI conseguirá ser penetrado. Tiene que lidiar con ello y asegurarse de que la gente esté tan protegida como sea posible", añade.
John P. Mello Jr., CSO (EE.UU.)