Llegamos a ustedes gracias a:



Noticias

Gartner:"Nuestro escenario de pesadilla está aquí, ahora"

[21/10/2009] En el Gartner Symposium IT/Expo esta semana, miles de gerentes TI se enfrascaron en sesiones sobre el tema de la virtualización de las computadoras empresariales, junto con la posibilidad de adoptar servicios basados en nube pública o de construir nubes privadas. Algunos afirman que la revolución ya está en camino, y los gerentes de seguridad se encuentren en el medio, perdiendo el control que antes tenían.

Los analistas de Gartner, incluyendo a David Cearley y Gene Phifer, expusieron casos de estudio de usuarios entre los que se encontraban FedEx, Presidio Health, Johnson Diversey y otros alabando la nube pública o privada, mientras que en una sesión separada Michael Lock, jefe de Ventas Empresariales de Google, se encontraba, cual estrella de rock, frente a una enorme audiencia de ejecutivos de alta tecnología, ansiosos de escuchar sobre Google Apps. Con nuevas formas de conducir la computación empresarial y el desarrollo de aplicaciones que desastibilizan las prácticas convencionales TI, el mal humor provenía principalmente de los analistas de seguridad de Gartner, que reconocían que la revolución que se encontraba encaminada estaba destrozando los controles de seguridad de la actualidad.
Nuestro escenario de pesadilla está aquí, ahora, señalió el analista de Gartner, John Pescatore. El cibercrimen liderado por las botnets claramente se está incrementando a medida que los depredadores en línea involucrados en el cibercrimen como servicio saquean los datos corporativos y de los consumidores para obtener ganancias financieras. Además, los empleados corporativos están usando ahora teléfonos inteligentes que la empresa ni siquiera ha emitido, y gasta una parte sustancial de su tiempo en redes que no son propiedad de la empresa.
Ahora se ofrece la cloud computing como servicio y obviamente luego llegarán los ataques, indicó Pescatore. En muchos casos, el hecho es que la organización TI está siendo conducida hacia un estado en el que tendrá menos control sobre el software y hardware.
La implementación de esto, indicó Pescatore, es que ellos se pueden sentar y pensar en algo placentero, como el retorno de los mainframes, o pueden realizar un cambio para usar o desarrollar la seguridad como servicio para adaptarse a los nuevos escenarios tanto en la cloud computing pública como en la virtualización de su infraestructura TI.
Con la nube tomando formas tan nebulosas como la de muchos tipos de servicios públicos, privados e híbridos, es un hecho que una de las tecnologías que se deben observar son los servicios de encriptamiento. En los próximos años, veremos servicios de encriptamiento, indicó Pescatore.
El analista de Gartner, Neil MacDonald, tampoco tuvo pelos en la lengua para describir las implicancia para la seguridad de la revolución en la virtualización y la cloud computing.
Nos encontramos en un punto crítico, indicó MacDonald. La adopción de las tecnologías del consumidor y la transformación de la infraestructura técnica en la empresa significa que hay frustración de parte de las unidades de negocio hacia nosotros, señaló MacDonald.
Con la virtualización, el concepto clave de restringir un dispositivo físico está desapareciendo a favor de la seguridad orientada hacia las máquinas virtuales, de la misma forma en que los dispositivos de seguridad virtuales como software en lugar de los dispositivos físico, añadió. Además, el permitir una rápida implementación de aplicaciones y bases de datos virtualizadas para facilitar las sociedades entre empresas es algo que debe hacerse, pero la seguridad se hace algo muy difícil en este ambiente.
La cloud computing y la virtualización rompen uno de los principios fundamentales de la arquitectura de seguridad: nosotros y ellos, indicó MacDonald.
Las tecnologías conocidas tales como los antivirus basados en firmas son ahora insuficientes, cada vez menos útiles y, añadió, muy costosas. Los antivirus deben apuntalarse con listas blancas para controlar el uso de aplicaciones, y los novedosos appliances virtuales basados en software tienen que ser examinados para su uso en un ambiente de máquinas virtuales.
Acerca de los appliances de seguridad que se encuentran en el mercado en la actualidad, MacDonald indicó estas cajas son caras, y menospreció a Cisco, Juniper y TippingPoint señalando que no tienen muchas cosas en la actualidad porque les gusta vender cajas.
Cuando se trata de servicios de cloud computing, el profesional de la seguridad está siendo presionado a salirse del camino y pensar en algo que sea lo suficientemente seguro, indicó MacDonald, aunque lo mejor sería decirle no a la nube.
Aunque la nube pública tiene sentido para los datos menos confidenciales, hay límites, tales como nada de la PCI, indicó MacDonald, refiriéndose a los datos que se encuentran dentro de los requerimientos de seguridad de la Payment Card Industry, la Industria de las Tarjetas de Pago.
Pero van a aparecer trade offs junto con las nuevas ofertas de servicio de nube, y la postura que el profesional de la seguridad debería tomar es explicar con claridad los riesgos a los dueños empresariales de los datos y asegurarse que los acepten, y no los vuelvan a cargar al departamento de seguridad y TI.
Ellos obtienen todos los galardones y uno asume todos los riesgos, ¿quién quiere ese trabajo?, señaló.
Hablando en un panel en la conferencia de Gartner, varios CIO reconocieron que sus principales preocupaciones giran en torno a la seguridad en la cloud computing.
June Hartley, CIO del National Business Center del Departamento del Interior de Estados Unidos, señaló que los requerimientos de seguridad conocidos como FISMA que el gobierno de Estados Unidos utiliza para el cumplimiento de la seguridad, probablemente sea cambiado para hacer frente al nuevo mundo de cloud computing privado y público.
Casey Coleman, CIO de la General Services Administration y copresidente de lo que se conoce como el Federal Cloud Council, estuvo de acuerdo, pero ambos indicaron que aparentemente no había ninguna barrera para ello.
Algunas veces hay algunos riesgos inesperados.
Sal Allavarpu, director senior de Marketing de Producto de Citrix Systems, importante actor del mercado de virtualización que ha creado versiones virtuales de su appliances Access Gateway, Branch Repeater y NetScaler, señala que hay nuevos temas de seguridad que surgen en la virtualización y la cloud computing.
Por ejemplo, no se aconseja correr aplicaciones con diferentes niveles de controles de confianza sobre máquinas virtuales localizadas en el mismo servidor físico, señala. Es mejor mantenerlas separadas, las máquinas virtuales con los mismos controles de confianza en el mismo servidor físico, indicó, señalando que los auditores prefieren esto.
Sin compartir detalles, dijo que sabe de una ocurrencia reciente en un ambiente de cloud computing en donde los agentes de la ley llegaron luego de que alguien se apoderó de los datos de todo el servidor físico a pesar de que el sospechoso tenía datos en solo una de las máquinas virtuales en ese servidor. Esto causó mucha consternación entre otras compañías cuyos datos se encontraban en el mismo servidor físico en máquinas virtuales separadas. Señaló que la virtualización y la cloud computing es algo nuevo para la ley en algunos casos y este tipo de problemas aún está siendo examinado.
Mark Hurd, presidente y CEO de HP, quien dio la presentación principal en Gartner, le sacó algunas sonrisas a los asistentes cuando dijo que había visitado a muchos CEO y francamente, a ellos no les gustaba el término nube porque preferían pensar que estaban operando en cielos claros.
El ejecutivo insinuó que HP podría ser un activo actor en este campo con servicios orientados a la nube con el tiempo, probablemente con las variedades de nube más privadas.
Ellen Messmer, IDG News Service