Llegamos a ustedes gracias a:



Reportajes y análisis

La nube, los proveedores y la seguridad

[19/10/2010] De acuerdo con la octava edición de la Encuesta Global de Seguridad de la Información realizada por PricewaterhouseCoopers para las revistas CIO y la publicación hermana CSO, las amenazas y desafíos que enfrentan los CIO no han cambiado mucho en el último año, pero están buscando una mejor fórmula para proteger sus datos corporativos y redes.

"Hay una sensación de tensión en las cifras de este año, en el sentido de que con el cambio en la economía ha habido un reajuste de las expectativas", señala Mark Lobel, director de la división de servicios de asesoría de PricewaterhouseCoopers.
De los 12.847 ejecutivos de negocios y tecnología encuestados en todo el mundo, el 67% tiene como prioridad los procedimientos de seguridad que ayudan a que su organización minimice el riesgo. Pero, los encuestados a su vez se dan cuenta que tienen que hacer un mayor gasto focalizado en la tecnología y traer expertos en seguridad de fuera para gestionar lo que su personal de TI no puede hacer. He aquí el por qué:
Quieren adoptar el cloud computing, ya que hace que sus operaciones de TI sean más ágiles y menos costosas. Sin embargo, su comprensión de la seguridad en la nube no ha avanzado mucho en el último año. Tienen que ser cuidadoso.
Sus clientes quieren gastar su dinero en línea y usan aplicaciones más elegantes para hacerlo y también desde dispositivos móviles. Así que hay que protegerse contra las vulnerabilidades que los atacantes pueden explotar para robar datos privados de sus clientes y otros bienes básicos. Más aun, las regulaciones del gobierno y la industria a menudo requieren dicha protección. Mientras tanto, las relaciones comerciales son cada vez más complejas, lo que obliga a dar a los extraños un mayor acceso a los sistemas internos. Usted necesita protegerse de un ataque contra un socio de negocios que podría extenderse por toda su red.
La crisis financiera de hace dos años pudo haber detenido algunas de sus iniciativas de seguridad, pero el 56% de ustedes señalaron que el incremento en los riesgos han elevado el papel y la importancia de la seguridad en su empresa. No hay vuelta atrás de lo que ya ha empezado.
Precaución en la Nube
62% de los encuestados tienen poca o ninguna confianza en su capacidad de asegurar los activos que se ponen en la nube. Incluso entre el 49% de los encuestados que se han aventurado por la computación en la nube, más de un tercio (39%) tienen importantes reparos acerca de la seguridad.
Al preguntarles lo que piensan representa el mayor riesgo para su estrategia de cloud computing, los encuestados dijeron que estaban seguros de su capacidad de hacer cumplir las políticas de seguridad en el sitio del proveedor, y que se preocupaban por la formación inadecuada y la auditoría de las TI.
James Pu, CIO para la Asociación de Empleados Jubilados del Condado de Los Ángeles (Lacera), es uno de los escépticos. Dice que le encanta la flexibilidad y la agilidad que el cloud computing podría ofrecer, pero desconfía de la disponibilidad y los riesgos de seguridad inherentes.
"A pesar de lo bueno que es en la actualidad (el cloud computing supongo), no tiene la misma fiabilidad que puede tener con una red de área local", señala Pu, quien cumple una doble función como el oficial de seguridad de la información en Lacera. "Yo también me preocupo por los terceros implicados". Los proveedores de cloud computing, señala, utilizan a terceros para albergar los centros de datos y hardware. Y éstos pueden contratar a personas sin hacer la investigación de antecedentes necesaria. "Cuando la información entra en la nube", indica Pu, "todo lo que necesita es un error de software para revelar accidentalmente mis datos."
Larry Bonfante, CIO de la United States Tennis Association (USTA), por el contrario, es uno de los líderes de TI que se está moviendo con cautela hacia la nube. Desde el punto de vista de seguridad, su mayor preocupación es la protección de los datos de los consumidores, una tarea difícil, dado que, por ejemplo, aproximadamente el 80% de las entradas para los partidos del torneo abierto de EE.UU. se compran en línea. Él no está dispuesto a dejar que esas transacciones se produzcan en la nube, por ahora, porque no está convencido de que todas las piezas tecnológicas están en su lugar para poder hacerlo con seguridad. Pero él piensa diferente acerca de sus sistemas financieros y de reportes.
Él ha mudado todos los sistemas internos a la plataforma de Amazon Web Services, con la creencia de que los recursos de seguridad de Amazon complementarán a los de su propia organización. Bonfante afirma que las ventajas incluyen costos más bajos y menor número de servidores que cuidar para su personal de TI, lo que le ha permitido implementar nuevas soluciones más rápidamente. Él dice que la nube también ha reducido la huella de carbono de la USTA: Menos hardware in situ significa menos energía utilizada para accionar el área de TI.
Antes que el cloud computing llegue a ser aceptado como una opción segura, algunas cosas tienen que suceder, señala Ken Pfeil, CSO para una gran empresa de fondo mutuo en el área de Boston y anteriormente CSO para las empresas financieras Capital IQ y Miradiant. (Pfeil habló para sí mismo y pidió que su actual empresa no se nombrara).
En primer lugar, dice, los expertos en seguridad deben venir con directrices más específicas para saber que clase de datos son aceptables para almacenar en la nube, ya sea información de clientes o de propiedad intelectual. También quiere aclaraciones de las agencias reguladoras, como la Comisión de Bolsa y Valores, sobre cómo es que los controles de la presentación de informes financieros se deben trabajar en la nube.
No está convencido de que esas preguntas hayan sido contestadas, especialmente cuando se trata de los tipos de datos financieros que pueden ir a la nube. Por lo tanto, su compañía lo está evitando por ahora.
Etiquetado de los Socios de Negocios
Aún si disponen de la opción de decidir si confiar en los proveedores de nube para administrar sus datos; la relación con los socios comerciales es más complicada, señalan los encuestados.
Los encuestados están más preocupados de lo que estuvieron el año pasado de que su propia seguridad se vea amenazada por la seguridad de sus socios comerciales y proveedores que han sido sacudidos por la recesión. Más de tres cuartas partes (77%) de los encuestados coincidieron en que sus socios y proveedores se habían debilitado por la recesión, por encima del 67% de hace un año.
"Las empresas se están volviendo cada vez más dependientes de terceros, les guste o no, y los socios necesitan tener acceso a su infraestructura de TI y sus datos", señala Lobel. "Eso es difícil cuando los tiempos son buenos y espanta cuando los tiempos son malos." Enfrentando sus propios problemas de negocio, estos terceros necesitan reducir costos al igual que, y pueden recortar los controles de seguridad en el proceso, afirma.
Josh Jewett, vicepresidente senior y CIO de Family Dollar, señala que la compañía ha tomado medidas para asegurar que los socios comerciales no comprometan su seguridad. "Hacemos que los terceros rindan cuentas, no solo contractualmente sino también operacionalmente", indica. "Ellos deben demostrar que cumplen los mismos estándares de seguridad que tenemos internamente".
Los socios de Family Dollar también están sujetos a revisión periódica por la empresa o por un auditor independiente. Si sus prácticas ponen en peligro los datos de la empresa o la continuidad del negocio, la empresa tiene el derecho contractual de terminar la relación.
Del mismo modo, Pu de Lacera, quien también es un certificado auditor de TI, toma una táctica del presidente Ronald Reagan para hacer cumplir los tratados de armas nucleares en la ex Unión Soviética: confía, pero verifica. "Los terceros a menudo tienen que poner sus procedimientos de seguridad en papel, pero nunca se hace el seguimiento para verificar. Lo comprobamos en ellos", señala Pu. A los vendedores les hacemos muchas preguntas y limitamos lo que pueden acceder. Cuando llegan, nos aseguramos de que sean escoltados". Es más, a los socios no se les permite conectar computadoras a las redes de Lacera sin usar medidas de seguridad aprobadas, y deben cumplir con normas claras que regulen la cantidad de datos que pueden ser utilizados.
Si los datos o las aplicaciones no son pertinentes a una necesidad de negocio, los socios no tienen acceso a ella. Los datos o aplicaciones deben estar directamente ligados a cualquier iniciativa, como un evento, en el que las dos partes están trabajando en conjunto, añade Pu.
Bonfante piensa del mismo modo respecto al acceso que se le debe dar a sus socios respecto de sus sistemas. Las aplicaciones financieras están bloqueadas. Los socios tampoco pueden acceder a partes de la red donde se encuentran los datos del cliente. Bajo esas condiciones, se siente muy seguro de compartir otras partes de la red.
"Siempre hay cierta preocupación, pero trabajamos con nuestros socios para asegurar cosas como la encriptación y la protección de contraseñas" que se utilizan, afirma, añadiendo que los datos que fluyen entre la USTA y sus compañeros se encriptan. De esta manera, es indescifrable y por lo tanto inútil a un forastero pícaro que intente acceder a él.
Pfeil señala que para garantizar la seguridad de asociaciones empresariales, las empresas necesitan conseguir personal de seguridad antes de que los líderes empresariales elijan quien proporcionará servicios de terceros. Los expertos en seguridad le echarán ojo a los controles de seguridad de los socios de manera mas cuidadosa que, por ejemplo, la gente de márketing que identifica y persigue a estos socios. Los profesionales de seguridad son también más propensos a insistir en que los socios den un recorrido detallado de sus operaciones de seguridad.
Al igual que Jewett, Pfeil es un purista de los términos de corte y secado de los contratos. "La seguridad debe estar en el idioma. ¿Cómo se maneja la autenticación? ¿Cómo se manejan los datos en movimiento y en reposo? ¿Qué lado es responsable de y sobre que controles? Usted debe contestar todas estas preguntas", agrega.
Confiamos en los subcontratistas
Las empresas pueden poner la seguridad de sus socios comerciales bajo escrutinio, pero muchos líderes empresariales y de TI reconocen que no siempre se puede mantener esa información segura internamente, al menos no sin la ayuda de expertos externos.
Más de la mitad (52%) de los encuestados dijo que los subcontratistas de servicios, también conocidos como proveedores de servicios de seguridad gestionada (MSSP), son importantes o muy importantes para el cumplimiento de sus objetivos de seguridad. Un 19% dijo que los subcontratistas juegan algún papel. Mientras tanto, más del 30% citó la externalización de algunas o todas las funciones de seguridad, como filtrado de correo electrónico y gestión de aplicaciones de firewall, como una prioridad en los próximos 12 meses, frente al 18% de hace un año.
Si bien estas cifras no representan una ola de cambio desde el año pasado, Lobel indica que hacen una señal de vientos de cambio.
El mayor interés en la contratación externa "es el resultado de la reducción de los servicios de TI", indicó. Por ejemplo, las empresas ya no están tan dispuestas a pagar a alguien de la casa para supervisar las operaciones de seguridad durante la noche cuando un fabricante puede hacerlo por menos. "El costo de hacer un mal trabajo en casa es más barato que lo que los proveedores le cobrarán, pero el costo de una buena seguridad en casa es más caro que lo que los vendedores cobran", señala Lobel.
Las empresas se dan cuenta que es mejor poner la seguridad en manos de quienes están inmersos en ella, indica Warren Axelrod, un ex CSO y autor del libro Outsourcing Information Security. "Si necesita una cirugía, prefiere ir a un cirujano que tiene cinco de estos procedimientos al día en vez de uno al mes".
Más del 30% de los encuestados está haciendo del outsourcing una prioridad importante para poder establecer medidas de seguridad que actualmente no están en su lugar, incluyendo funciones como el filtrado de correo electrónico y pruebas de penetración. Mientras tanto, el 60% dijo que ya externaliza la eliminación segura de tecnología de hardware y el 59% dijo que han delegado la administración de restablecimiento de contraseñas. En las áreas de estrategia y normas, el 32% dijo que tienen personal externo ayudándolos a establecer líneas de base de seguridad para los socios externos, proveedores y otros proveedores de TI. 24% externaliza sus procedimientos centralizados de gestión de seguridad de la información.
Jewett, de Family Dollar, señala que su compañía ha contratado una variedad de proveedores de servicios para la ejecución y auditoría de parte de su programa de seguridad. Se negó a entrar en detalles sobre qué elementos se externalizan y por qué, pero él dice que la compañía basa sus decisiones sobre los siguientes criterios: su propia evaluación de habilidades y recursos internos, el costo relativo de la contratación externa en comparación con el mantenimiento del trabajo en casa, la necesidad de separación de funciones, y evaluaciones de riesgo.
Sin un equipo de seguridad dedicado de TI en USTA (la función es una de las responsabilidades de su director de tecnología y operaciones), Bonfante se basa en proveedores de servicios gestionados para manejar tareas tales como la vigilancia y filtrado de la web, el análisis de correo electrónico y la vigilancia de almacenamiento. Se espera externalizar las funciones de seguridad adicionales en el próximo año, aunque todavía no está listo para delinear detalles.
Pfeil señaló que el éxito en la externalización de la información de seguridad depende en que los CIO comprendan la experiencia del proveedor. La falta de escrutinio en las especialidades de un vendedor es un error evidente, y sin embargo común. "Las empresas tienen que revisar cuidadosamente las áreas de especialidad y también tomarse el tiempo para investigar el historial de una empresa con la que está pensando trabajar, señala. No todos los MSSP manejan todos los tipos de necesidad de seguridad. El hecho de que un proveedor tenga un gran nombre no significa que sea la mejor opción para su empresa, advirtió.
Una vez que decide contratar un proveedor externo, es importante establecer acuerdos de nivel de servicio (SLA) que definan, por ejemplo, el número de incidentes por mes, el MSSP debe ser capaz de detectar y de crear planes para hacer frente a estos incidentes. Una de las disposiciones que Pfeil requiere en cualquier SLA es que existan calendarios donde las MSSP deben notificar a la compañía sobre las actividades sospechosas.
"Tenemos que ser notificados en un plazo de 10 minutos sobre este tipo de eventos, y en cuatro horas para ese tipo de eventos", señala Pfeil. También son necesarias sanciones significativas asociadas con el incumplimiento de los plazos, añade. "Si vemos que no se alcanzan los acuerdos, yo no pago mi factura."
El camino a seguir
Nuestra encuesta muestra que a pesar de las recientes condiciones económicas, las empresas no están haciendo recortes drásticos en materia de seguridad. De hecho, la mayoría de los encuestados no han diferido ni recortado los gastos de seguridad. De cara al futuro, el 52% espera que el gasto en seguridad aumente al menos en 10% en el año que viene, 9% planea aumentar su gasto en más del 30%.
Lobel resalta que la previsión del aumento en el gasto no siempre es un hecho. Las empresas pueden aprobar un presupuesto, pero esperan hasta el último momento para liberar el dinero debido a la continua incertidumbre económica. Pero él espera ver un continuo aumento en la demanda de mayor seguridad ya que las empresas sienten la presión por cumplir la normativa, al igual que ofrecer más servicios en línea.
"Hay una demanda acumulada de inversiones en cosas como la aplicación y la seguridad móvil", señala Lobel. "Cuando se da luz verde al gasto real, se puede ver el despegue real de las cosas".
Cuando eso suceda, la seguridad global de TI dará otro paso adelante.
Cómo obtuvimos los números
La Encuesta Global de Seguridad de la Información, un estudio en todo el mundo realizado por CIO, CSO y PricewaterhouseCoopers, se llevó a cabo en línea desde el 19 de febrero hasta el 30 de abril del 2010. Los lectores de las versiones impresas y en línea de CIO y CSO así como los clientes de PricewaterhouseCoopers de todo el mundo fueron invitados a participar en la encuesta. Los resultados se basan en las respuestas de 12.847 profesionales de TI y seguridad de más de cien países. La mayoría de los encuestados -un 37%- fueron de Asia, seguido por Europa (30%), América del Norte (17%), América del Sur (14%) y el Medio Oriente y África del Sur (2%).
Bill Brenner. CIO (EEUU)