Descarga directa! - Online Multi Services
Transcripción
Descarga directa! - Online Multi Services
Revista Profesional especializada en seguridad de la información, comunicaciónes y almacenamiento Año III Nº 14 - 2007 Ahorre la energía suficiente como para preparar 300 tazas de café al día. El HP ProLiant DL365 no es sólo un servidor, también sirve para ahorrar energía. Con procesadores AMD Opteron™ consume un 30% menos de energía* pero con el rendimiento que usted espera de un servidor HP ProLiant. Dispone de la tecnología necesaria para incorporar discos duros HP SAS de 2.5 pulgadas que además ahorran el 50% de energía en comparación con el disco de 3.5 pulgadas. Y con el software HP ProLiant Essentials Migration Pack-Physical de ProLiant Edition usted podrá transferir 50GB de datos mediante una red dedicada de 1Gb en sólo 3 pasos y 90 minutos*. Simplemente haga clic y vea cómo migra todo, mientras se relaja y saborea un café. Tómese un café ahora y visite www.hp.es/ahorrar-energia Tecnología para mejorar los resultados de negocio. ©2007 Hewlett-Packard Development Company, L.P. Todos los derechos reservados. AMD, el logo de AMD, AMD Opteron y las combinaciones del mismo, son marcas registradas de Advanced Micro Device Inc. *Compruebe todas las fuentes y detalles en www.hp.es/ahorrar-energia Servidor HP ProLiant DL365 Revista profesional especializada en Seguridad de la Información, Comunicación y Almacenamiento AÑO III www.esecuritymagazine.com Nº 14 - 2007 Entrevista exclusiva Isidro Cano HPTC y ASD-Business Manager de HP Repor taje: Una revolución para las empresas El auge de la virtualización, una revolución para las empresas Entrevista: Rafael Alonso Director unidad de Negocio de portátiles HP empresas Carta del Editor Libertad Tecnológica Pasaporte electrónico, eDNI, Certificados Digitales, firma electrónica…Nuestra identidad digital ya está tomando forma y se está estructurando toda la plataforma que la va a sostener. La administración parece dar muestras de su interés por las nuevas tecnologías aplicadas a los servicios más comunes de los ciudadanos, y empieza a notarse un fuerte impulso en esa dirección. El desarrollo de la sociedad de la información empieza a hacerse sentir con los primeros efectos del Plan Avanza y los proyectos que se están llevando acabo. Aún así, nos sigue quedando la pregunta ¿qué beneficios nos va a aportar a nosotros, los ciudadanos de a pie? Se supone que aparte del aspecto necesario e ineludible como es el de la Seguridad en todas las gestiones corrientes, tendría que aportarnos del mismo modo facilidad, tranquilidad y rapidez. Por el momento, no se ha logrado aún ninguno de estos tres aspectos de forma clara, pero esperamos que se hagan una realidad en un futuro cercano. Sin duda se trata de un cambio importante, con las molestias y vacíos que crean todos los cambios en un principio, que debería llevar a un gran beneficio común sin lo cual se perdería todo el sentido del cambio. Por otra parte, está llegando con fuerza las comunicaciones convergentes a través de Internet, la conocida VoIP y su gestión de llamadas. Ante el escepticismo inicial, ya no cabe la menor duda que la calidad del servicio de telefonía por banda ancha es buena pero que sus posibilidades son mayores que la telefonía tradicional. Al mismo tiempo que la forma de gestión con esta tecnología es más avanzada ofrece además de mayor seguridad y control, múltiples posibilidades y un ahorro considerable. Todo un conjunto de ventajas que hacen la propuesta VoIP muy interesante para cualquier tipo de empresa. De igual modo está adquiriendo un gran impulso la movilidad, que es algo ya muy común en las empresas y por lo delicado que puede resultar la información que entra y sale de las compañías, es importante mantener un control detallado de la misma. Los dispositivos se mejoran y ofrecen cada vez más funcionalidades. Por ello vemos soluciones mucho más completas para poder sacar el máximo partido de la movilidad sin exponer la información crítica de las empresas, posibilitando las copias de seguridad, el bloqueo de los dispositivos en caso de pérdida o robo e incluso el borrado de la información interna del dispositivo. Otra gran apuesta de las organizaciones y corporaciones está siendo la Virtualización, que permite la consolidación de equipos en una sola unidad física, logrando una reducción de los costes a la vez que se optimiza el volumen de trabajo y aumentan la fiabilidad de negocio. Es una tecnología que parece interesar, ya no sólo a las grandes empresas sino que a todos los tipos de cuenta, que quieren disfrutar de tales ventajas. En definitiva, cada vez estamos ganando más en libertad de movimiento y posibilidad de acción, en cuanto a las tecnologías y su aplicación se refiere, aunque, nos damos cuenta que esto implica un esfuerzo de organización en cuanto a estructura y de formación e información en cuanto a forma de uso. Lo que me lleva a un último punto no menos importante, la paciencia necesaria para ver realizados los objetivos trazados y entender hacia dónde nos estamos dirigiendo. Cordialmente, Oscar Velasco 6 nº 14 Sumario ENTREVISTAS 52 Pedro Galatas y Fernando Ayllón de Afina 2007 - Nº 14 DESTACADOS 16 Llamada a las empresas europeas: 8ª Edición de la RSA Conference Los gobiernos y las empresas europeas necesitan tomar una postura más fuerte con respecto a las brechas de seguridad de los datos. 22 Por María Campos, Country Manager de Stonesoft Ibérica 62 Javier Serrano de Seguridad Informática del Banco Sabadell Priorización en la Continuidad de Negocio 24 El momento de la Accesibilidad Web Por Luis. M. Hidalgo. Fundación CTIC, Centro de Referencia en Accesibilidad y Estándares Web de INTECO 28 Por Juan Santesmases Director General de Mossec 66 John Gordineer Product Manager Sonicwall Dispositivos Móviles: un nuevo reto para la seguridad de las empresas 32 Análisis de riesgos en la implantación de un sistema de seguridad con Biometría Por Javier Rodríguez Saeta de SeMarket 44 70 Roberto Llop, Director General de RSA EMEA 2007 nº 14 Reportaje: En un mundo cada vez más global, donde las transacciones electrónicas están ampliamente generalizadas, los certificados digitales vienen a aportar la confianza que reclama esta modalidad transaccional, equiparándola a la tradicional “cara a cara”. 9 Sumario 2007 - Nº 14 El auge de la virtualización, (una revolución para las empresas) Uno de los objetivos básicos de cualquier empresa, ya sea a medio o a largo plazo, es expandir su actividad hacia nuevos segmentos del mercado y hacia un mayor número de clientes. No obstante, este propósito implica necesariamente una expansión de las infraestructuras de TI que no siempre es tan eficaz como debería. La tendencia a añadir servidores para ejecutar nuevas aplicaciones puede dar como resultado recursos infrautilizados, mayores costes de gestión, y una reducción en la agilidad y en la fiabilidad de las operaciones. Para hacer frente a estos inconvenientes, desde hace escasos años las organizaciones de mayor tamaño están recurriendo a la virtualización como método para asegurar un mejor aprovechamiento de sus recursos y para lograr una reducción de costes. Y gracias a los nuevos desarrollos y al abaratamiento de las tecnologías, esta práctica está dejando de ser una solución reservada a los grandes, para convertirse también en la panacea de las pymes. Pero antes de profundizar en las cuantiosas ventajas que la virtualización ofrece a todo tipo de empresas, resulta conveniente establecer una breve definición de lo que este término implica. Como tal se entiende a la consolidación de múltiples piezas de equipos, como servidores o unidades de cinta, en una sola unidad física, recurriendo generalmente a un software de virtualización. Tal como describe la compañía VMware, uno de los proveedores más importantes de este tipo de soluciones, se trata de una capa abstracta que separa el hardware físico del sistema operativo para lograr una mayor utilización y flexibilidad de los recursos de TI. O, lo que es lo mismo, la virtualización consiste en utilizar menos hardware para lograr mayores beneficios. Y gracias a esta consolidación de aplicaciones en un menor número de servidores, las organizaciones reducen la proliferación de recursos, simplifican su gestión y mejoran su utilización, aportando más agilidad y fiabilidad a la red. Tanto es así que los niveles de utilización de servidores del 10% pueden incrementarse hasta el 60%, tal como estiman algunas compañías. 6 CARTA DEL EDITOR 14 NOMBRAMIENTOS 15 NOTICIAS LATINOAMERICA Y EUROPA 17 FUGA DE DATOS EN LAS EMPRESAS 18 AUTENTICACION FUERTE PARA VIRGIN MOBILE FRANCIA 36 VALORAR Y GESTIONAR EL RIESGO 72 ALGUNAS PROPUESTAS EN FORMACIÓN 74 SOLUCIONES Y SERVICIOS Una solución de seguridad para entornos ofimáticos y Pymes Cajero Móvil de la mano de Banco Sabadell 78 LABORATORIO 82 NOVEDADES ALMACENAMIENTO 84 NOVEDADES SOLUCIONES 88 BIBLIOGRAFÍA Continuación en página 45 10 2007 nº 14 Revista Profesional Especializada en Seguridad de la Información, Comunicación y Almacenamiento AÑO III. - 2007 NÚMERO 14 EDICIÓN ESPAÑOLA SUSCRIPCIÓN 60 € AÑO www.esecuritymagazine.com La criptografía como instrumento de seguridad y confianza en la Banca La Banca es un sector tradicionalmente muy sensibilizado y comprometido con la seguridad. Garantizar la confidencialidad de sus operaciones de cara a los clientes, así como minimizar los posibles riesgos y fraudes, ha sido una constante en sus políticas de negocio con el fin de evitar la pérdida de imagen y confianza ante el cliente. Esta constante de la Banca en su “modus operandi“, se convierte en algo mucho más acusado a raíz de la aparición de Internet y su incorporación operacional en el entorno bancario. El uso y puesta en marcha de la Banca Electrónica, conlleva una serie de riesgos que es necesario tener en cuenta y que ha obligado a la Banca a adoptar en sus infraestructuras. Muchas de éstas medidas de seguridad son estándares y popularmente conocidas: Firewalls, VPNs, IPS/ IDS, SSL etc. Página 30 Incremento del fraude en Internet a nivel mundial IBM presenta los resultados del estudio realizado por el equipo de investigación y desarrollo X-For ce de Inter net S ecur ity Systems (ISS) correspondientes a la primera mitad de 2007, donde se pone de manifiesto, una vez más, el continuado crecimiento de las amenazas sobre la red. Durante estos primeros seis meses del año, X-Force ha identificado y analizado más de 210.000 nuevas muestras de ‘malware’ (programas maliciosos) superando el número de las observadas en la totalidad de 2006. Página 20 Laboratorio ISA Server 2006 El objetivo de este laboratorio es el análisis y evaluación de M icr o s o f t I n t e r n e t S e c u r ity and Acceleration (ISA) Ser ver 2006. La solución de seguridad de red integral de Microsoft proporciona funcionalidades de firewall frontera y perimetral de alto nivel, servidor VPN (Virtual Private Network) de acceso remoto, pasarela (gateway) VPN para conexión de sucursales (site to site), funciones de proxy-caché y publicación web, Outlook Web Access (OWA) y SharePoint, en un único producto. Su arquitectura modular permite que se configuren todas sus prestaciones o sólo un subconjunto de ellas, proporcionando una solución de red flexible para todo tipo de negocios. La consola de administración se compone de asistentes que facilitan el proceso de configuración y administración del sistema y convierten la publicación de servicios en un proceso casi inmediato. El producto evaluado se integra dentro del línea de soluciones para la protección y control de la seguridad corporativa que Microsoft ha denominado Forefront .ISA Server 2006 proporciona acceso seguro y controlado entre redes y funcionalidad proxy caché garantizando capacidades de descarga y respuesta web de alto rendimiento, así como publicación segura para accesos remotos. Página 78 La seguridad, eje primordial de las IV Jornadas de Firma Electrónica de CATCert Por cuarto año consecutivo, el próximo 29 y 30 de octubre de 2007, la Agencia Catalana de Certificación - CATCert organiza las Jornadas de Firma Electrónica, bajo el lema “Crecemos en seguridad. Porque la seguridad va contigo”. Conscientes de la importancia de la seguridad en la realización de trámites telemáticos en un mundo en que buena parte de las administraciones y empresas ofrecen sus servicios a través de Internet, la Agencia Catalana de Certificación -CATCert, organismo autónomo bajo el amparo del Consorcio Administración Abierta de Cataluña (Consorcio AOC) y como entidad de certificación digital de las administraciones públicas catalanas, organiza anualmente las Jornadas sobre el uso de la Firma Electrónica (JSe) como punto de encuentro y debate de las principales novedades del sector de la firma electrónica y la certificación digital. Página 26 Nombramientos EL DATO LAS CLAVES INTEGRACIÓN DE APLICACIONES CORPORATIVAS DE FORMA SEGURA CON LA VOIP Nuevo Responsable de Grandes Cuentas para Check Point La compañía especializada en seguridad de Internet, refuerza su equipo directivo en España con el nombramiento de José Arias Barrigón, como Responsable de Grandes Cuentas. Su misión desde su nuevo cargo en Check Point consistirá en gestionar la división de grandes clientes de todo el territorio nacional. Entre sus responsabilidades se encuentran la coordinación y supervisión de la correcta ejecución de proyectos, así como la identificación de las necesidades a medida, aportando soluciones tecnológicas y estableciendo métodos de trabajo, lo que fortalecerá y dinamizará las relaciones con los clientes. Anteriormente Arias ha desempeñado funciones similares en empresas como ONO, Soluziona Telecomunicaciones y Nortel Networks. Es licenciado en Telecomunicaciones por la Universidad Politécnica de Madrid, y MBA por el Instituto de Empresa de Madrid. Pilar Torres es la nueva vicepresidenta de almacenamiento para EMEA (Europa, Oriente Medio y África) en Sun Microsystems. Desde este cargo será responsable del negocio de almacenamiento de Sun en la región EMEA. Desde su nuevo cargo, Pilar Torres dirigirá un equipo de 300 personas especializadas en almacenamiento en 7 áreas geográficas, cubriendo más de 100 países de Europa, África y Oriente Medio; además, el equipo de almacenamiento se complementa con toda la fuerza de ventas de Sun. Telindus, especialista en servicios y soluciones de convergencia IP y externalización, escoge en la figura de Emilio Cabañas su nuevo Director General. Desde su nuevo puesto se responsabilizará de las direcciones comerciales, Ingeniería Preventa, Innovación, Desarrollo de negocio y Marketing. Su tarea consistirá en identificar, planificar, promover y gestionar las oportunidades de negocio en las soluciones y servicios que Telindus ofrece en todo el territorio nacional, en coordinación con los diferentes directores regionales. La convergencia en las empresas de dos tipologías de redes bien diferenciadas: la de voz, o la telefónica convencional; y la de datos, o IP, resulta ser un escenario corporativo cada vez menos rentable. La infraestructura corporativa tiende a aunar bajo una misma filosofía de red ambos mundos gracias a una tecnología que es conocida por todos como VoIP (Voz sobre el protocolo de Internet, o Voice over Internet Protocol), la cual ha hecho posible la utilización de una única infraestructura (la red IP de datos), para la transmisión conjunta de voz, datos y vídeo entre delegaciones de una misma compañía. En este contexto, la tecnología de VoIP permite convertir las llamadas telefóni- cas en paquetes de datos, para tratarlas después como si todas ellas fueran conexiones metropolitanas, aunque en realidad se trate de llamadas nacionales o internacionales. HP PRESENTA NUEVO SISTEMA DE ALMACENAMIENTO MEDIA VAULT El HP Media Vault permite compartir todo tipo de información (música, video…) entre todos los pc’s conectados a la red tanto los basados en Windows como los basados en Mac o Linux. Otra de las importantes ventajas de HP Media Vault es que realiza back-up programados y continuos para evitar posibles pérdidas de información y es capaz de recuperar discos duros en caso de fallo o infección por virus. En cuanto al hogar cabe mencionar que el HP Media Vault es un producto de gran flexibilidad y polivalente ya que incorpora un software de muy fácil manejo y tiene un tamaño muy reducido, lo que nos permite disfrutar de las ventajas de una red sin complicaciones. EL PERFIL Mario García nuevo Responsable NEW SSH TECTIA FOR IBM MAINFRAMES Telcos y Utilities Checkpoint Point Software Technologies designa a Mario García, como Responsable de Grandes Cuentas para telcos y utilities. Desde su nuevo cargo, García tendrá como misión consolidar la fuerte presencia de Check Point en grandes corporaciones y empresas de telecomunicaciones. Al mismo tiempo, se dedicará a introducir en este segmento de mercado las novedades en seguridad de red y protección del dato sobre las que actualmente está apostando este fabricante. Su carrera profesional en Cisco Systems, 3Com e IBM y posteriormente se unió al equipo de Juniper en España como responsable comercial de operadores alternativos y del mercado Portugués. 14 Itway Ibérica, escoge en la figura de Jordi Mor su nuevo Account Manager para toda la zona de Iberia. Sus nuevas competencias le sitúan en la ejecución de las estrategias comerciales diseñadas para satisfacer las demandas de los fabricantes y en la gestión de las actividades propias de sus cuentas. Con anterioridad, ha venido desempeñando responsabilidades en empresas mayoristas de equipos informáticos y en compañías orientadas hacia la Administración Pública donde fue asignado como supervisor de las ofertas para los concursos públicos. La compañía especializada en aplicaciones, sistemas y servicios para comunicaciones empresariales nombra a Paz Martos como Directora General de Avaya Iberia. Desde su nuevo cargo en Avaya Iberia, Paz Martos tendrá bajo su responsabilidad la planificación y puesta en marcha de las estrategias comerciales para España y Portugal, basándose en su amplio conocimiento de las necesidades locales y supervisando las acciones para ventas realizadas dentro de la región. 2007 nº 14 SSH announced its new SSH Tectia solution for IBM Mainframes. As the first enterprise security solution to fully integrate the well-established Secure Shell protocol for IBM mainframes, the new SSH Tectia Server is designed to run native on IBM z/OS® platform. SSH Tectia Server for IBM mainframes provides true integration with critical IBM mainframe requirements, including the vital EBCDIC/ASCII translation and utilization of IBM mainframe hardware crypto facilities for optimum performance. The new SSH Tectia mainframe server supports SSH2 terminal access and SFTP2/SCP2 based file transfers and full compatibility with SSH Tectia products. SSH now provides for the first time an easy-to-deploy secure end-to-end communications solution across all major internal and external enterprise network communications IT platforms, including Windows, major UNIX versions, and Linux. The new SSH Tectia Server will be available for evaluation E U R O P A testing on request, and will reach general availability in summer 2007. SSH Tectia mainframe evaluations, product pricing, and further details can be obtained by contacting SSH Communications Security at http://www.ssh.com/campaign/zos/newsletter.html. ENISA AND ITU LAUNCHING NEW PORTAL: FOR THE 1ST TIME GIVING EUROPE ONE, SINGLE ACCESS POINT FOR IT SECURITY STANDARDS ENISA, the European Network and Information Security Agency together with the International Telecommunication Union, is launching a new portal for IT security standards, for the first time giving Europe one, single access point for IT security standards. “The Security Standards Roadmap is a repository for recent activities in Network and Information Security (NIS) standardization”, Alain Esterle, Head of the Technical Department at ENISA commented. “It contains an extensive list of key standardization organizations and their description, a list of standards published by those organizations (also available according to a topical categorization). In a later version, we will also look at their on-going standardization work.’ continues Elisabetta Carrara, Expert at ENISA Internacional Llamada a las empresas europeas: 8ª edición de la RSA Conference Fuga de datos en las empresas por parte de su personal Los gobiernos y las empresas europeas necesitan tomar una postura más fuerte con respecto a las brechas de seguridad de los datos, que dan como resultado que la información personal de los clientes esté expuesta. Los problemas generados por este tipo de cuestiones se incrementan de forma exponencial y son temas que preocupan tanto a empresas e instituciones públicas como a expertos en Seguridad. Check Point Software Technologies da a conocer los resultados de un estudio que demuestra que casi la mitad de los trabajadores se llevan consigo información y datos útiles de su empresa cuando se cambian de empleo. Pero lo peor es que nadie puede impedirlo, ya que tres cuartas partes de las compañías, según este reciente estudio, no poseen la seguridad necesaria en sus centros para prevenir esta fuga de información. La 8ª edición de la RSA Conference Europa, que se celebra con carácter anual, servirá de escenario para tratar éstos y otros temas de interés a los que Europa, sin duda, tendrá que hacer frente. Sin ir más lejos, en una reciente mesa redonda organizada por la Conferencia un panel de expertos debatió sobre si la promulgación de una ley de notificación de brechas de datos al estilo de Estados Unidos impulsaría las buenas prácticas u obligaría a las firmas a dar prioridad a la seguridad de la información. En estados de EE.UU. como California o Nueva York, las leyes de notificación de brechas de seguridad están ya en marcha, por lo que se requiere a las organizaciones que notifiquen a los residentes del estado en el caso de que su información personal haya estado expuesta a causa de una brecha de datos. Los reguladores en Europa están incrementado su atención sobre este tema en un momento en el que el robo de identidad y el fraude es un asunto que preocupa cada vez más. Un reciente informe elaborado por el Comisionado de Información de Reino Unido criticó a las compañías y a los departamentos gubernamentales y otros organismos públicos por el “terrible” número de brechas de las reglas de protección de datos. Las brechas de seguridad iban desde las generadas por procesos humanos hasta las relacionadas con la tecnología. Por ejemplo, un banco fue encontrado culpable de deshacerse de detalles personales de sus clientes en cubos de la basura externos a sus instalaciones. Una deficiente seguridad sobre las contraseñas era también recurrente, lo que deja los datos del cliente expuestos y comprometidos. Un Call Center tenía log-ins compartidos para su plantilla, lo que significa que trabajadores no autorizados pueden acceder potencialmente a la información del cliente, mientras que una agencia gubernamental de Reino Unido creó preocupación sobre el uso de las contraseñas por parte de su personal temporal. La responsabilidad de la seguridad de los datos debe residir en el alto nivel dentro de una organización. Según Thomas, “mi mensaje a las cúpulas de las organizaciones es que respeten la privacidad de los individuos y la integridad de la información que se tiene sobre ellos, que adopten la protección de los datos de forma positiva y que estén seguros de que no son el negocio o el líder político que falló a la hora de tratar la información de una forma seria”. Sin embargo, hablando de la cuestión de si es necesaria más regulación para imponer mejores procesos de seguridad de la información en las organizaciones, en el panel de expertos que debatieron sobre este tema había diferentes opiniones. Por ejemplo, el Director de Desarrollo de Negocio Europeo de la RSA, Richard Nichols, señaló que “esto será algo bueno. Hará que las compañías piensen cómo proteger a sus clientes y a su marca, y a poner la seguridad en una prioridad. Las organizaciones que quieran impulsar sus negocios online tendrán la responsabilidad de proteger los datos, a los clientes y a la marca hasta donde sea posible”. Sin embargo, el Asesor Jefe de Seguridad de Microsoft en Reino Unido, Ed Gibson, argumentó que mientras compañías como Microsoft “tienen una absoluta obligación” para asegurar que produce los productos más seguros posible, pidió precaución con respecto a cualquier movimiento que obligue a las firmas a revelar las brechas. De las 24.000 dudas y quejas recibidas sobre asuntos de información personal en 2006-2007 por el Comisionado de la Información de Reino Unido, en el 35% de los casos resultó que se trataba de una brecha real, de las cuales el 77% se debió a fallos en la organización a los que tuvo que hacer frente e implantan una mejor seguridad de los datos y de los procesos. Como explicó el Comisario de la Información, Richard Thomas, “francamente, no hay excusa para esto. La seguridad es fundamental”. Las empresas que generaron la mayor parte de las quejas fueron las firmas de Internet (13%), los bancos (12%), las organizaciones de marketing directo (10%) y las firmas de telecomunicaciones (7%). 16 En última instancia, sin embargo, los sistemas de TI seguros deben ir de la mano con procesos mejorados dentro de cada organización. El Director de Seguridad Europeo de Oracle, Patrick McLaughlin, señaló que pese al movimiento dentro de la Unión Europea de preparar sus infraestructuras críticas contra amenazas, entre las que se incluyen ataques ciberterroristas, el enfoque no debe ser sólo desde el punto de vista de soluciones tecnológicas. Microsoft, Oracle, Safeboot y RSA protagonizaron este interesante debate. Así, les animamos a asistir a la próxima edición de RSA Conference Europe, la conferencia líder de la región para profesionales de seguridad de la información, que se celebrará en Londres entre el 22 y el 24 de octubre para conocer en profundidad todos los temas y las tendencias que imperan el mercado de la seguridad de TI. Para más información y forma de registro, visite http://www.rsaconference.com/2007/europe/Home.aspx 2007 nº 14 El 85% de empleados admitieron que podrían descargarse fácilmente información confidencial para utilizarla en sus próximos trabajos, a pesar de que el 74% de estas compañías poseen una política que específicamente prohíbe al personal sacar información de la empresa fuera de la oficina. Estos resultados se desprenden de una encuesta realizada por Check Point Software sobre “personal y seguridad de datos” llevada a cabo entre 200 profesionales de nuevas tecnologías. Por otra parte, parece que los empleados británicos no son tan dignos de confianza como sus homólogos escandinavos, ya que la misma encuesta fue realizada en los Países Nórdicos resultando que, aunque la mayoría de los empleados nórdicos podrían descargar datos de su empresa actual, apenas el 32% se decidiría a utilizar esta información como ventaja competitiva en su siguiente trabajo. Los dispositivos USB favoritos por encima de los portátiles El 85% de de los individuos se lleva a casa información de su trabajo, y la mayoría, en vez de portátiles, prefiere utilizar lápices USB como método de almacenamiento de datos, ya que les resulta mucho más práctico, sencillo y económico: el 33% almacena datos del trabajo en sus lápices USB frente al 14% que lo hace en un portátil. La gran demanda de llaves USB ocasiona un verdadero quebradero de cabeza en cuanto a seguridad para la mayoría de las compañías, dado que es difícil controlarlas porque son pequeñas y pasan inadvertidas. También son mucho más fáciles de perder, convirtiéndose en un objetivo apetitoso para probables oportunistas, las consideran muy valiosas para negociar con la competencia o para chantajear a la compañía a cambio de mantener silencio sobre el hecho de que perdieron información valiosa o sensible sin protegerla. Martin Allen, portavoz de Check Point, ha declarado “Las llaves USB son más populares que nunca, todo el mundo, desde niños hasta importantes directivos, van todas partes con su pendri2007 nº 14 ve. Ahora cualquiera puede llevar 16 gigabytes en el bolsillo, que equivalen a llevar 640 toneladas de papel. Con este dato, no sorprende el hecho de que puedan convertirse en un importante riesgo para la seguridad. Las compañías gastan millones en su seguridad y se olvidan de que datos muy importantes, valorados en millones de euros, se están escapando en los llaveros de su personal y muchos de ellos descargan alegremente la información para llevársela a su próximo empleo. Sin ser demasiado severos, nuestro consejo es bloquear los ordenadores que contengan información vital y cerciorarse de centralizar el control de las memorias USB proporcionándoselas allí mismo al personal con una encriptación obligatoria. De este modo pueden utilizarlas libremente manteniendo siempre los datos seguros.” Consejos para la seguridad de datos en las empresas Educar al personal de modo que sean conscientes de la seguridad y de las implicaciones legales de descargar información sensible o competitiva. Incluir la gestión de todos los dispositivos móviles en la política de seguridad. Especificar que todos los miembros de la plantilla tienen que firmar una cláusula de confidencialidad, para asegurarse de que no descargarán la información sensible y confidencial ni utilizarán esta información en sus siguientes empleos, y cerciorarse de que la compañía cuente con el software apropiado para hacer cumplir esta política. Si la compañía posee información sensible que no desea que sea descargada, ha de bloquear las salidas de los ordenadores con software eficiente y rentable. Asegurarse de que todos los lápices de memoria USB que se conecten estén cifrados. Utilizar un software de encriptación que no deteriore el uso del dispositivo y asegurarse de que los empleados no pueden puentear el cifrado; éste ha de ser transparente para el usuario, rápido y fácil de utilizar. Recordar que la seguridad es un proceso de dos vías: es necesario que el personal esté concienciado con políticas sensibles, realizables, con tecnología de seguridad centralmente controlada y combinada con confianza, educación y entendimiento. 17 Internacional Autenticación fuerte para Virgin Mobile en Francia Aladdin Knowledge Systems proveedor especializado en soluciones para la administración de derechos digitales del software, autenticación basada en USB y pasarelas seguras a Internet, firma un acuerdo con Virgin Mobile France por el cual se proporcionará la solución Aladdin eToken a más de 3.000 distribuidores de Virgin Mobile en Francia. Los distribuidores de los centros de venta al por menor utilizan ahora la solución de autenticación Aladdin eToken para realizar transacciones seguras mediante el sistema de activación telefónica basado en Internet de Virgin Mobile en Francia. Esto proporciona una poderosa autenticación fuerte para las operaciones de venta que realiza la empresa en todo el país. manera fácil y rentable todo el proceso de autenticación fuerte con un único y sólido sistema que permite la gestión de todo el ciclo vital de los dispositivos eToken además, de la implementación, el suministro y el mantenimiento continuado de las tarjetas criptográficas proporcionadas a los distribuidores de toda Francia. Al proporcionar a sus distribuidores la llave de autenticación eToken NG-OTP de dos factores, Virgin Mobile France añade un alto nivel de seguridad a sus amplias operaciones de activación de teléfonos en toda Francia. De esta manera, se evita que usuarios no autorizados tengan acceso al sistema vital de la empresa, imprescindible para el desarrollo de su negocio. La solución eToken NG-OTP es una de las más innovadoras del mercado: una tarjeta criptográfica basada en tarjetas inteligentes híbrida de USB y contraseña de un solo uso (One Time Password, OTP). El dispositivo proporciona toda la funcionalidad de la tarjeta criptográfica eToken PRO USB de Aladdin, basada en tarjetas inteligentes, y añade la autenticación fuerte basada en la tecnología OTP en modo desconectado. Finalmente, se selecionó a Aladdin eToken entre varias soluciones de la competencia gracias sus capacidades de integración superiores y su facilidad de implementación, propiedades que quedaron demostradas durante la evaluación del departamento de TI. La empresa también descargó de forma eficaz certificados digitales en todos los dispositivos eToken NG-OTP para prepararse para las necesidades futuras que requiriesen dichas credenciales. El departamento de TI de Virgin Mobile France, que prioriza en todo momento la seguridad de los sistemas de TI y de los datos de la empresa y sus clientes, determinó que la solución de autenticación fuerte eToken era un método de protección potente y de fácil uso. Así, los distribuidores franceses de Virgin Mobile han estado recibiendo dispositivos eToken personalizados que sustituyen a los anteriores métodos de registro basados en contraseña. La implementación reduce significativamente el fraude y protege a la empresa con un método coherente de control seguro de los accesos de los distribuidores a su sistema. El dispositivo eToken, que tiene el tamaño de una llave doméstica común, es fácil de utilizar y de transportar, y permite a los distribuidores de Virgin Mobile France utilizar un elemento físico, como es Aladdin eToken, y un elemento de conocimiento, con una contraseña, para realizar la autenticación. Asimismo, el software Token Management System (TMS) de Aladdin permite a Virgin Mobile France controlar de 18 “Las empresas como Virgin Mobile France se percatan de la necesidad de proteger el acceso a un sistema utilizado por terceros en una región tan extensa” afirma Camilo Vaquero, director de ventas y desarrollo de Aladdin España, “Aladdin eToken no sólo proporciona una potente seguridad de datos sino que agiliza la gestión del ciclo de vida de toda la solución de autenticación, incluidas las propias tarjetas criptográficas. Estamos muy satisfechos de proporcionar a Virgin Mobile France la solución Aladdin eToken, con fácil integración e implementación que permite ampliar el control sobre el proceso de activación de teléfonos.” Mayo / Junio 2007 nº 13 Internacional Incremento del fraude en Internet a nivel mundial IBM presenta los resultados del estudio realizado por el equipo de investigación y desarrollo X-Force de Internet Security Systems (ISS) correspondientes a la primera mitad de 2007, donde se pone de manifiesto, una vez más, el continuado crecimiento de las amenazas sobre la red. Durante estos primeros seis meses del año, X-Force ha identificado y analizado más de 210.000 nuevas muestras de ‘malware’ (programas maliciosos) superando el número de las observadas en la totalidad de 2006. Las principales conclusiones extraídas del informe durante la primera mitad de 2007 se pueden resumir en tres puntos: En primer lugar España ha desbancado a Corea del Sur y se ha situado en la primera posición en número de correos electrónicos de phishing con un 17,9% del volumen mundial. El phising es una práctica que consiste en recabar información confidencial de los usuarios a través de correos electrónicos con apariencia de comunicación oficial de las corporaciones, afectando especialmente a entidades bancarias. Es una tendencia que refleja también el Banco de España en su última Memoria de Reclamaciones publicada la semana pasada, subrayando que "los intentos de fraude por Internet han crecido de forma alarmante en los últimos tres años, principalmente por la práctica del phising para conseguir las claves de los clientes de banca electrónica y poder acceder así a sus cuentas con fines delictivos”. También se ha detectado que el porcentaje de las vulnerabilidades que pueden ser explotadas remotamente ha crecido en la primera mitad de 2007 hasta un 90%, contra el 88% de 2006. Finalmente se confirma que alrededor del 10% de contenidos de la red consiste en material pornográfico, criminal o de dudosa clasificación. Una tendencia inesperada en este informe es que, por primera vez, ha disminuido el volumen de correos electrónicos de bombardeo publicitario en vez de seguir un modelo de crecimiento lineal que venía experimentado desde mediados de 2005. El porcentaje de bombardeo publicitario con imágenes disminuyó al nivel de mediados de 2006, en un poco más del 30 por ciento. "La utilización de nuevos tipos de fichero como Excel o pdf que consiguen engañar la detección de mensajes no deseados explica esta disminución” dice Kris Lamb Director del Equipo X-Force de IBM ISS. Los troyanos (piezas de software dañino disfrazadas de software legítimo) abarcan la categoría más voluminosa del malware descubierto hasta ahora, con un 28% del total, en contraste con el año 2006 en que los ‘Downloaders’ (malware de bajo perfil que se instala en los equipos con el fin de descargar agentes más 20 sofisticados posteriormente) eran la categoría más común. En palabras del director de la división X-Force de ISS, Kris Lamb, “Nuestras estadísticas de seguridad X-Force de 2006 ya anunciaron un aumento en la sofisticación de los ataques, motivado por la comercialización y rentabilidad económica de los ataques cibernéticos”. Reiteradamente, el informe X-Force pone de manifiesto el creciente uso de exploits (programas que atacan una vulnerabilidad particular de un sistema operativo), incluso ya se habla de una nueva modalidad basada en el ‘leasing’ de exploits, es decir, la venta de programas en el mercado negro que explotan las vulnerabilidades de los sistemas para uso fraudulento o terrorista. X-Force ha estado catalogando, analizando e investigando descubrimientos de vulnerabilidad desde 1997. Con más de 33000 vulnerabilidades de seguridad catalogadas, dispone de la base de datos de vulnerabilidades más grande del mundo, lo que ayuda a comprender la dinámica de la creación de vulnerabilidades. Además de las catalogadas en su base de datos X-Force, la compañía de IBM, Internet Security Systems proporciona una visión mundial de ataques de phishing y bombardeo publicitario. Los centros de operaciones y monitorización que tiene ISS alrededor del mundo le permiten identificar las tendencias en bombardeo publicitario y tecnologías phishing usadas por los atacantes en Internet. Para el resto del ejercicio 2007 y para 2008, X-Force prevé un breve estancamiento en el crecimiento de vulnerabilidades, con un incremento continuado del malware (fundamentalmente basado en troyanos) y un aumento cualitativo en las técnicas de encubrimiento de las amenazas en la red. En resumen: ataques cada vez más sofisticados. 2007 nº 14 Nacional OPINION Priorización en la continuidad del negocio MARÍA CAMPOS Country Manager de Stonesoft Ibérica Sin ir más lejos, para cualquier compañía que en su día a día se comunique con clientes, proveedores y demás a través del correo electrónico, conecte distintas sedes de su empresa a través de líneas de datos que empleen Internet, o requieran el acceso a datos de información desde distintas ubicaciones móviles, una caída del sistema equivaldría a estar incomunicados y a perder un tiempo valiosísimo, lo que acabaría lastrando su productividad y, quién sabe, incluso podría hacerle perder una oportunidad de negocio única e irrepetible. O peor aún, aquellas empresas que basen su comunicación telefónica en la VoIP, hasta se quedarían sin línea para efectuar llamadas. En definitiva, toda una catástrofe francamente inaceptable. En este sentido, son muchas las empresas que dejan todo lo relacionado con la conexión en manos de sus respectivos ISPs (Proveedores de Acceso a Internet), lo que a todas luces puede acabar resultando una temeridad. Estos, a la hora de proporcionarnos una conectividad robusta, siempre acaban ofreciendo precios demasiado altos, en ocasiones inasumibles, asegurándonos que recibimos un nivel de servicio a la altura de nuestras necesidades. La exigencia, algo fundamental para resultar competitivos, en este caso nos puede hacer perder rentabilidad –y de qué forma-. En el caso de las empresas distribuidas geográficamente, que cuenten con distintas sedes y oficinas a lo largo y ancho del planeta, la opción tradicional que se suele escoger viene de la mano de una solución MPLS (Multiprotocol Label Switching). Esta opción encaja adecuadamente en las posibilidades de este tipo de empresas, y constituye un recurso rápido, sencillo y transparente que permite la conexión de un elevado número de trabajadores remotos procedentes de distintas oficinas y ubicaciones conectadas a los servidores centrales. Si bien, ahora existen otras alternativas que, por otro lado, son más económicas y seguras. Por ello, si la conexión a Internet supone un elemento irrenunciable y esencial para el negocio, aquellas compañías que todavía recurren única y exclusivamente a un solo proveedor de Internet, pueden estar poniendo en riesgo su actividad y, tarde o temprano, acabarán pagando las consecuencias derivadas de una interrupción del servicio. En consecuencia, la solución radica en disponer de una solución inteligente que permita repartir nuestras bases para la conectividad en distintos puntos, y asegurar de esta forma un nivel de rendimiento sin contratiempos sin que se disparen los costes. Sólo disponiendo de una tecnología que no impida la inclusión de MPLS como parte de nuestro abanico de posibilidades, de manera que nos permita proteger nuestra capacidad de conectividad y aumentar el número de opciones para la conexión, podremos asegurar tanto el tráfico entrante como el saliente o el basado en VPN, garantizando que éste llegará finalmente a su destino sin incidencias de ningún tipo ni retrasos. Con esta forma de actuar, nos evitamos disgustos causados ya sea bien por acontecimientos no esperados o bien por tareas rutinarias de mantenimiento en el sistema. 22 En el mundo de los negocios actual, Internet se ha convertido en una herramienta casi central para el desarrollo de la actividad diaria, sin la cual a muchos nos costaría poder organizarnos y actuar con eficacia. Superando las limitaciones tecnológicas La tecnología MPLS fue diseñada en un principio para acelerar los procesos de enrutado, moviendo los datos en función de “etiquetas” y no atendiendo a direcciones IP al completo. Por ello, con el uso de etiquetas en el núcleo de la red, los ISPs potencian la sencillez de sus redes y tienen la posibilidad de utilizarlas para poner en marcha servicios no relacionados entre sí para cada uno de sus clientes, con total independencia. Aún así, la tecnología MPLS no está libre de contratiempos, pues requiere de un nivel de interacción mucho más elevado que un sistema tradicional, al tener que comunicar siempre al ISP cualquier suma, cambio o supresión relacionada con su conectividad. De dicho problema se derivan retrasos que variarán en función del tipo de servicio que se implemente, e incluso antes de que estén efectivamente funcionando. Si a esto le sumamos la necesidad por parte de algunas empresas distribuidas de contar con redes transnacionales, el precio se dispara y, en la mayor parte de las ocasiones, ni siquiera se garantiza la velocidad necesaria –a menudo limitada a tan sólo 1Mbps, lo que acaba resultando insuficiente-. Frente a la afirmación por parte de los ISPs de que las soluciones punto a punto son físicamente seguras, nos encontramos que únicamente el tramo final de la comunicación acaba resultando en realidad privada, coincidiendo con el servicio dedicado al cliente final. El problema viene cuando entre dichos puntos nos encontramos con el backbone del ISP, casi siempre compartido por varios clientes. Para solucionar esta circunstancia, se aplican diversas técnicas y funciones de software inteligente para separar cada comunicación y a cada cliente entre sí. Si bien, de esta forma no se evitan posibles errores en la configuración y algunos paquetes de datos acaban perdiéndose antes de llegar a su destino; o peor aún, entrando en ubicaciones erróneas. En virtud de este aspecto, la encriptación vuelve a ser, una vez más, un requisito indispensable para las soluciones MPLS. No es suficiente delegar en un tercero, aunque sea un proveedor de confianza, para garantizar nuestra red, sino que es necesario invertir en sistemas flexibles que nos otorguen una conectividad always-on absoluta. Al respecto, sólo combinando múltiples conexiones y gestionándolas nosotros mismos de forma central estaremos seguros. 2007 nº 14 Nacional OPINION El momento de la Accesibilidad Web No cabe duda de que nos encontramos en el momento clave de la Accesibilidad Web, donde las distintas administraciones, legisladores, colectivos, y el sector empresarial, entre otros, están comenzando a plantearse la accesibilidad como un reto y no como una carga. Centrándonos en la Administración General del Estado (AGE), parte de este mérito lo tiene el Centro de Referencia en Accesibilidad y Estándares Web del Instituto Nacional de Tecnologías de la Comunicación (INTECO), enraizado en la ciudad de León y con el respaldo de la Fundación CTIC, sede de la Oficina Española del W3C en España, ingredientes suficientes para desarrollar la labor de apoyo a los portales públicos y que puedan ser visitados por el mayor número de personas posibles. Esta es una tarea complicada en muchos casos y por ello debe de llevarse a cabo con gran rigor y profesionalidad. INTECO, como sociedad estatal adscrita al Ministerio de Industria, Turismo y Comercio, a través de la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información (SETSI), ha puesto en marcha el citado Centro de Referencia con el objetivo marcado de guiar a los distintos Ministerios y Organismos dependientes en su camino hacia la consecución de este fin. Una previsión enmarcada en la futura Ley de Medidas de Impulso de la Sociedad de la Información (LISI) y del Reglamento sobre las condiciones básicas para el acceso de las personas con discapacidad a las tecnologías, que verán la luz próximamente, y en las que se exige dicho cumplimiento, esta vez contemplando un régimen sancionador. Cumplimientos pendientes La contribución del centro De sobra son conocidos los imperativos establecidos por el (1) (2) legislador en la LSSICE y LIONDAU , donde se exige en dos de sus disposiciones el cumplimiento del nivel medio de accesibilidad a fecha 31 de Diciembre de 2005, tomando como referencia las Pautas de Accesibilidad al Contenido Web del W3C (WCAG 1.0). Esta exigencia en la mayoría de los casos no se ha cumplido, unas veces por falta de formación y sensibilización adecuada y otras por falta de un mecanismo que guiara a la AGE a su cumplimiento. Por este motivo INTECO con el objetivo de difundir la accesibilidad Web y de dar a conocer los requisitos que debe cumplir un portal accesible pone a disposición de las personas interesadas, la reciente norma UNE 139803:2004 en su página Web. Asimismo, desde el Centro de Referencia, se está trabajando con los principales Ministerios y Organismos de primer nivel, ofreciendo distintos servicios de auditoria, consultoría y formación, con 300 alumnos inscritos en la plataforma eLearning de INTECO, en sus cursos virtuales de “Accesibilidad y Usabilidad Web”, enfocados tanto a Técnicos como a Gestores que nutren sus portales día a día de contenido. Se están realizando informes de auditoria de los principales sitios públicos con el objetivo definido de colaborar con los responsables de dichas Web en la detección y corrección de las posibles desviaciones que se hayan detectado previamente en sendos informes de auditoría y consultoría. Para ello, se requiere como base y sólido cimiento, la formación mencionada, clave para no solo llegar a alcanzar ese nivel de accesibilidad exigido, sino también para conservarlo en el tiempo. LUIS. M. HIDALGO Fundación CTIC, Centro de Referencia en Accesibilidad y Estándares Web, Instituto Nacional de Tecnologías de la Comunicación-INTECO 1 Ley de servicios de la sociedad de la información y de comercio electrónico. Ley de igualdad de oportunidades, no discriminación y accesibilidad universal de las personas con discapacidad. 2 Aumento de la sensibilización Es gratificante comprobar cómo las personas que se encuentran al frente de dichos sitios están en la mayoría de los casos sensibilizados con el tema que nos ocupa, ofreciendo su máxima colaboración en nuestro trabajo, viéndonos no como auditores, sino como colaboradores en alcanzar un fin impuesto por la normativa vigente, sin olvidar por supuesto, la otra vertiente de compromiso social, que ha de tener la AGE con los diferentes visitantes de sus portales para que nadie, independientemente de sus capacidades o discapacidades, tanto 24 2007 nº 14 físicas como del entorno, deje de acceder a la información contenida en sus sitios, desembocando en un derecho de acceso de todos los ciudadanos a la información pública. Así pues, la conciencia y sensibilización es cada vez mayor, se están destruyendo falsos mitos tales, como que la accesibilidad es sólo para discapacitados (el abanico de destinatarios es mucho mas amplio: personas de edad avanzada, de baja alfabetización, de exclusión social, circunstancias técnicas y del entorno…), o que son minoría los implicados y no merece la pena reconstruir los portales (Vg. La última estadística del Instituto Nacional de Estadística del año 1999, reflejó que un 9 % aproximadamente de la población española eran discapacitados permanentes y un 18 % transitorios). Nuestra labor con la AGE se ve completada con el Observatorio de Accesibilidad como foto de la evolución del estado de la accesibilidad Web de sus portales, pudiendo comparar en el tiempo el grado alcanzado con las acciones de apoyo llevadas a cabo por INTECO. Llegados a este punto no debemos pasar por alto que el sector empresarial deberá tomar buena nota del camino que está tomando la AGE, ya que las exigencias de la futura LISI, también les afectan. INTECO en su afán por conseguir que los 2007 nº 14 portales Web sean de verdad por y para Todos, busca igualmente difundir más allá de los portales públicos esta necesidad, a través de distintas Charlas, Cursos Presenciales y Jornadas de Sensibilización destinadas a empresas y público en general, sin olvidar el Área de I+D+i donde se está investigando sobre diferentes tecnologías inclusivas relacionadas con la accesibilidad Web. Actualmente el Área de I+D+i del Centro de Referencia en Accesibilidad y Estándares Web de INTECO se encuentra investigando acerca de un nuevo modelo de lenguaje y editores que facilitará la construcción de páginas Webs semánticas y accesibles a usuarios sin conocimientos técnicos previos. En torno a estas premisas, desde INTECO seguimos sensibilizando y colaborando con la AGE en alcanzar el nivel de accesibilidad exigido por la normativa española, en aras de construir portales accesibles con todo el abanico de ventajas que ello implica más allá de dicha exigencia; desde incrementar el número potencial de las visitas mejorando la inclusión social y la imagen pública, hasta facilitar futuras implementaciones de mejoras por el hecho de ser un portal accesible como pueden ser la movilidad del portal o la interoperatividad de la e-Administración. 25 Nacional La seguridad, eje primordial de las IV Jornadas de Firma Electrónica de CATCert la finalidad de incentivar el desarrollo y la divulgación de la firma electrónica y facilitar el acceso de los ciudadanos a la sociedad de la información. Por cuarto año consecutivo, el próximo 29 y 30 de octubre de 2007, la Agencia Catalana de Certificación CATCert organiza las Jornadas de Firma Electrónica, bajo el lema “Crecemos en seguridad. Porque la seguridad va contigo”. Conscientes de la importancia de la seguridad en la realización de trámites telemáticos en un mundo en que buena parte de las administraciones y empresas ofrecen sus servicios a través de Internet, la Agencia Catalana de Certificación CATCert, organismo autónomo bajo el amparo del Consorcio Administración Abierta de Cataluña (Consorcio AOC) y como entidad de certificación digital de las administraciones públicas catalanas, organiza anualmente las Jornadas sobre el uso de la Firma Electrónica (JSe) como punto de encuentro y debate de las principales novedades del sector de la firma electrónica y la certificación digital. IV Jornadas de Firma Electrónica Las Jornadas tienen como objetivos principales profundizar en el estudio de la certificación electrónica, dar a conocer las últimas novedades en el sector de la firma electrónica y la identidad digital, explicar proyectos e iniciativas de éxito en el ámbito público y privado y analizar las tendencias de desarrollo de la firma electrónica. En ediciones anteriores, con una asistencia de 700 congresistas, más de 70 ponentes y alrededor de 20 empresas expositoras, las Jornadas se han consolidado como el espacio de debate y reflexión de referencia a nivel español en materia de firma electrónica y certificación digital en el ámbito público. En esta edición, las JSe se abren también al entorno privado, respondiendo de esta manera a la necesaria cooperación entre los dos ámbitos para el impulso de la firma electrónica, aumentando así las utilidades de las firmas electrónicas e identidades digitales para el ciudadano. De este modo, las IV Jornadas de Firma Electrónica se convertirán en el punto de encuentro de directivos de empresa, responsables políticos, usuarios de la firma electrónica tanto del ámbito público como privado y profesionales del sector de las nuevas tecnologías en general y de la firma electrónica en particular, para debatir las principales novedades de este campo con 26 Programa de las IV Jornadas El programa de las Jornadas se centrará básicamente en cuatr o líneas temáticas: la seguridad en la relación entre la administración/empresa y los usuarios/clientes, la seguridad en el documento electrónico, la identidad digital y la firma electrónica en el sector público y la identidad digital y la firma electrónica en el sector privado y, ligados a estas líneas, los asuntos a tratar serán, entre otros, la identidad del ciudadano y el análisis del riesgo; las representaciones; el expediente electrónico: el documento electrónico y las copias; la digitalización y la destrucción de documentos; el archivo de documentos; la firma electrónica en el comercio electrónico. Además, se presentarán y analizarán casos prácticos y experiencias internacionales sobre firma electrónica y trámites en línea llevados a cabo en el ámbito público y privado, respectivamente. La conferencia inaugural versará sobre las obligaciones y oportunidades respecto a la identidad digital y la firma electrónica que conllevarán la nueva Ley para el Acceso Electrónico de los Ciudadanos a los Servicios Públicos (LAECSP) y el proyecto de Ley de Medidas de Impulso de la Sociedad de la Información (LISI), Seguidamente, se expondrá el papel del Consorcio AOC ante las necesidades de la LAECSP. En el web de las Jornadas, www.js-e.net, se puede encontrar información más ampliada y actualizada periódicamente del programa y los ponentes. III Premios CATCert CATCert convoca anualmente los “Premios CATCert de Firma Electrónica” para reconocer el esfuerzo de las organizaciones en la promoción y el uso de la firma electrónica, premiando a aquellos proyectos e iniciativas más destacados en diferentes categorías. La entrega de la tercera edición de estos premios se realizará durante una cena que tendrá lugar el día 30 de octubre por la noche en la Llotja de Mar de Barcelona. 2007 nº 14 Nacional OPINION Dispositivos móviles: un nuevo reto para la seguridad en las empresas JUAN SANTESMASES Director General de Mossec En los últimos años, hemos asistido a una nueva revolución en el campo de las telecomunicaciones. Con la aparición del GSM y los primeros teléfonos móviles la forma de trabajar en las empresas cambió radicalmente permitiendo el estar disponibles en cualquier lugar y en cualquier momento; la aparición de los nuevos dispositivos y las nuevas tecnologías de transmisión de datos (GPRS, UMTS, etc.) han supuesto un nuevo paradigma en la forma de trabajar. Si al principio los terminales móviles sólo permitían establecer y recibir llamadas de voz, así como enviar y recibir mensajes de texto una longitud mínima (tan sólo 160 caracteres) o emplearse como meras agendas electrónicas, los nuevos dispositivos son ya potentes ordenadores en miniatura que aúnan las características de los teléfonos móviles clásicos con la capacidad de procesamiento de los equipos de sobremesa, permitiendo el despliegue de infinidad de nuevas aplicaciones. Tradicionalmente, y pese a que ya desde GSM ha sido posible el desarrollo de aplicaciones de datos sobre estos terminales, han existido una serie de factores que han ralentizado el despliegue de este tipo de soluciones sobre los dispositivos móviles. La primera de ellas ha sido la propia capacidad de procesamiento de los dispositivos, generalmente muy limitada. Otro factor primordial ha sido la propietariedad de los dispositivos; basados en plataformas cerradas y sistemas operativos no estándares y específicos de cada fabricante o de cada terminal, que impedían implantar soluciones de negocio sobre estas plataformas, más allá de las incluidas en el dispositivo (típicamente un cliente de correo electrónico y un navegador). Tampoco hay que olvidar las características intrínsecas de estos dispositivos, que por el hecho de ser dispositivos móviles tienen unas restricciones de diseño muy importantes: tamaño de la pantalla muy reducido, interfaces de usuario (teclado principalmente) muy básicas, autonomía limitada a causa de la duración de las baterías, etc., conectividad reducida, etc. Sin embargo, todas estas barreras han logrado poco a poco superarse, hasta llegar a los terminales que encontramos hoy en día en el mercado. Dos han sido los factores principales: por un lado, las mejoras realizadas en los propios dispositivos; por otro lado, los avances en las propias redes de telecomunicaciones. De esta forma, los nuevos dispositivos disponen de pantallas de mayor tamaño y resolución, dotados de interfaces táctiles y/o teclados QWERTY, baterías de alta duración, capacidades de 28 La seguridad no es sólo un factor tecnológico. En última instancia, es un ser humano (el usuario) el que tiene en sus manos la seguridad del dispositivo. El usuario comete errores, hace cosas que no debe, deja olvidados el dispositivo. procesamiento del orden de cientos de MHz, memorias persistentes de gigabytes de capacidad, y un largo etc. Las redes de telecomunicaciones ofrecen a este tipo de dispositivos conectividad permanente, alcanzando ya anchos de banda de 2 Mb por segundo (con UMTS/WCDMA) y hasta 54 con las nuevas redes HSDPA; y los precios están bajando hasta hacerse asequibles. La velocidad de transmisión de los datos no supone ya ninguna barrera para cualquier tipo de aplicación empresarial. Un último elemento ha sido crucial para permitir el despliegue de soluciones empresariales en los terminales: la aparición de plataformas abiertas basadas sistemas operativos estándar. Gracias a iniciativas como Symbian, Windows Mobile o PalmOS, y a su aceptación por parte de los fabricantes de dispositivos, hoy es posible customizar los terminales añadiendo las aplicaciones de negocio necesarias para transformar estos dispositivos en pequeñas oficinas móviles: clientes de CRM, ERP, aplicaciones de reporting, etc. basadas tanto en clientes pesados cómo en clientes ligeros (navegadores Web y Wap). Ahora que la tecnología está disponible, se plantea un último reto a las organizaciones que deciden implantar este tipo de tecnologías: cómo integrar estos dispositivos dentro del maremagnum de la gestión de su plataforma IT tradicional: servidores, sobremesas, portátiles, etc. Y lo que es más importante, cómo integrarlos dentro de su plan de seguridad. Los terminales móviles presentan características que les hacen completamente diferentes al resto de los sistemas informáticos de la organización. El primero y más evidente, es la propia movilidad en sí. No son terminales que permanezcan físicamente dentro de la organización, sino que acompañan a los empleados donde quiera que estén. 2007 nº 14 Esta característica influye muy negativamente en la seguridad física y lógica de las empresas. Los robos y pérdidas de dispositivos están a la orden del día. Recientemente, un estudio recogía que sólo en los últimos 6 meses se han perdido del orden de 85.000 teléfonos móviles y agendas personales en la ciudad de Chicago. Este hecho debe preocupar seriamente a las organizaciones: la misma información que protegen celosamente en sus servidores con toda la tecnología de seguridad perimetral existente en el mercado (cortafuegos, sistemas de detección de intrusos, etc.) podría estar en cualquiera de los 85.000 dispositivos que se perdieron. Y nunca es posible saber en qué manos va a caer el dispositivo perdido. El espionaje industrial puede haber encontrado aquí un aliado. Y no sólo deben tenerse en cuenta los documentos almacenados, ya que la propia PDA perdida puede convertirse en una puerta de atrás a toda la red de la organización: sesiones VPN que se quedaron abiertas (o con el usuario y la contraseña grabada), una nota con el usuario y la contraseña de la intranet, etc. No descuidemos tampoco la seguridad lógica: al estar los dispositivos en movilidad, no es posible garantizar que la red a la que en ese momento se conecten sea segura. El acceso Wifi del aeropuerto o de la cafetería puede no estar protegido mediante cifrado, y permitir que el correo que se está enviando o recibiendo pueda ser leído. O, ¡que un hacker se conecte remotamente al dispositivo y robe información! Esto último puede parecer ciencia-ficción. Lo mismo ocurría con la idea de que pudiera haber virus en los teléfonos móviles; y hoy ya se conocen más de 220 virus y variantes diferentes, que afectan tanto a terminales Symbian como Windows Mobile. Nombres como “Commwarrior” o “Skulls” han dejado de ser ciencia ficción para convertirse en una realidad cotidiana. Es posible establecer un paralelismo entre el crecimiento del malware en dispositivos móviles y su análogo en Internet fija convencional. Se estima que el estado del arte del malware en dispositivos móviles es equivalente al de Internet hace 6 años: las conexiones de banda ancha y la aparición de sistemas operativos abiertos permiten que los hackers y diseñadores de virus dispongan del caldo de cultivo necesario para que se produzca una explosión similar a la de Internet, que se prevé en los próximos dos años. Pero no es necesario infectarse con un virus móvil para conseguir que el dispositivo móvil deje de estar operativo. Por ejemplo, 2007 nº 14 basta con que el usuario, de manera involuntaria o por instalar un programa inadecuado, desconfigure la conexión GPRS del dispositivo para que el cliente CRM (el motivo por el que se ha asignado el dispositivo al usuario) quede inutilizado. Si se desea garantizar la seguridad y disponibilidad de los dispositivos y los datos y aplicaciones que contienen, no es posible confiar en las herramientas de seguridad que incluyen de serie. El PIN del teléfono puede evitar que hagan llamadas desde el teléfono robado, pero no evita que se accedan a los datos que ya estuvieran descargados en el teléfono; o la contraseña que incorpora la PDA no protege los datos almacenados en la memoria SD externa. Lo primero que llama la atención es que estos dispositivos no están específicamente diseñados para un uso corporativo. Por ejemplo, no disponen de herramientas que permitan implantar de manera centralizada una política de seguridad (control de acceso, protección de la información, control de ejecución de aplicaciones, etc.) como incluyen sus parientes los PCs. No es posible actualizar remotamente el sistema operativo con nuevos parches de seguridad, puesto que está grabado a fuego en ROM, etc. Pese a que los requisitos de seguridad son los mismos que en el resto de la plataforma IT de la organización, los dispositivos móviles per se adolecen de herramientas en el propio sistema operativo que garanticen esa seguridad. Es necesario recurrir a productos de terceros, que deben ser capaces de integrarse con el resto de elementos de seguridad de la organización de manera que se ofrezca al administrador de seguridad una visión única y global de la seguridad de la organización: Los dispositivos móviles no deben tratarse como una excepción, sino dentro de la generalidad de la seguridad corporativa. Por último, y para concluir; tan sólo queda recodar que la seguridad no es sólo un factor tecnológico. En última instancia, es un ser humano (el usuario) el que tiene en sus manos la seguridad del dispositivo. El usuario comete errores, hace cosas que no debe, deja olvidados el dispositivo. El virus Commwarrior se activa porque el usuario acepta un mensaje bluetooth de un usuario que desconoce, o un MMS de un usuario que sí conoce. Si el usuario es consciente del riesgo que asume abriendo un mensaje MMS, es posible neutralizar el virus antes de que se propague. Es necesario concienciar al usuario de los nuevos riesgos existentes en los terminales, mediante una correcta educación e incentivos. 29 Nacional OPINION La criptografía como instrumento de seguridad y confianza en la Banca SEBASTIÁN MUÑOZ NAJARRO Director de Internacional REALSEC La Banca es un sector tradicionalmente muy sensibilizado y comprometido con la seguridad. Garantizar la confidencialidad de sus operaciones de cara a los clientes, así como minimizar los posibles riesgos y fraudes, ha sido una constante en sus políticas de negocio con el fin de evitar la pérdida de imagen y confianza ante el cliente. Esta constante de la Banca en su “modus operandi“, se convierte en algo mucho más acusado a raíz de la aparición de Internet y su incorporación operacional en el entorno bancario. El uso y puesta en marcha de la Banca Electrónica, conlleva una serie de riesgos que es necesario tener en cuenta y que ha obligado a la Banca a adoptar en sus infraestructuras. Muchas de éstas medidas de seguridad son estándares y popularmente conocidas: Firewalls, VPNs, IPS/ IDS, SSL etc. Sin embargo, además de estas medidas, necesarias para la prestación de servicios bancarios a distancia, la Banca lleva muchos años prestando servicios remotos a través de los llamados: Medios de Pago, que por su propia madurez y difusión están evolucionando hacia la criptografía como la tecnología de seguridad más avanzada. Durante varias décadas, se ha desarrollado y extendido el uso de las transacciones dinerarias de Medios de Pago que utilizan como soporte las Tarjetas de Banda Magnética. Esta tecnología ha permitido la expansión y popularización del uso de los servicios de Medios de Pago ofrecidos por la Banca en todo el mundo. Hasta no hace mucho, ésta tecnología, se ha comportado como suficientemente sólida y fiable, sin embargo no debemos de olvidar que ésta, está basada, principalmente, en dos elementos: Una información digital grabada en soporte magnético, totalmente accesible (por tanto copiable) y Un código secreto (código PIN) de reducida dimensión como único elemento de securización para el conjunto del sistema. La socialización de los conocimientos informáticos sumado a la facilidad de adquisición de dispositivos sencillos, como lectores de banda magnética, han facilitado el acceso de organizaciones y mafias delictivas a un manejo fraudulento de éstos servicios. Comunicaciones y Centro autorizador. A lo largo del proceso de ejecución de cualquier transacción y de forma distribuida entre estos diferentes elementos, se combinan técnicas criptográficas de Clave simétrica (DES) y Clave asimétrica (RSA). En la parte visible por el usuario, se protegen tanto los dispositivos de adquisición de transacciones (Cajeros y TPVs) como las propias tarjetas personales en poder de los usuarios. El objetivo de protección de estos terminales no es otro que el impedir cualquier alteración o manipulación de sus componentes físicos con fines fraudulentos. Actualmente, las Entidades Bancarias están procediendo al despliegue y distribución de las nuevas tarjetas basadas en microchip (Smart-Card), estas nuevas tarjetas ejecutan la autenticación frente al Cajero o Terminal al que se presentan. Según la norma EMV, existen dos modalidades distintas de autenticación: Autenticación estática ( SDA ) y Autenticación dinámica ( DDA ). Para cada una de éstas modalidades, se requiere un microchip de distintas características (criptográfico o no criptográfico) que constituyen, como es lógico, diferentes niveles de seguridad y con distintos costes para la Entidad Bancaria emisora de la tarjeta. En ambos casos, el microchip, es el elemento encargado de custodiar una serie de “claves criptográficas“, así como cierta información relativa a los usos y limitaciones para los que se habilita dicha tarjeta. La diferencia principal estriba en el procedimiento de autenticación de la tarjeta frente al Terminal. Cuando hablamos de Autenticación dinámica (DDA), también denominada autenticación robusta y basada en procesos de desafío-respuesta, se utilizan certificados digitales con tecnología de Clave RSA. Esto requiere que el chip tenga funciones propias de cálculo criptográfico, lo que representa por comparación, el método más fiable de ambos. En el caso de Autenticación estática (SDA) el microchip por procedimientos seguros presta información al Terminal a medida que éste se la requiere y valida. El Terminal, haciendo uso de las claves albergadas en las tarjetas, cifra la información crítica relativa a la transacción; y ésta se transporta cifrada hasta el Centro Autorizador. Esta nueva plataforma abrirá, muy pronto, un amplio horizonte de negocio adicional para la Banca: “Utilizar las capacidades de éstos microchip para alojar en ellos otras aplicaciones financieras o no financieras, de manera simultanea”. La criptografía en las nuevas tarjetas EMV Extensión de la tecnología criptográfica Ante esta situación, las Marcas Franquiciadoras ( Visa, MasterCard etc ) se apresuraron hace ya más de una década a redefinir sus arquitecturas y procedimientos de seguridad, apoyados en la única tecnología, probadamente sólida, disponible : La Criptografía. Esta nueva arquitectura de seguridad en los Medios de Pago que ha dado en llamarse EMV (Europay, MasterCard, Visa), dota de componentes y algoritmos criptográficos a todos y cada uno de los elementos que intervienen en el flujo de una transacción: Tarjetas, Terminales de adquisición, 30 El actual esfuerzo en el cual se haya inmersa la Banca para trasladar ésta tecnología a todos sus clientes de Medios de Pago, previsiblemente, evolucionará hacia una ampliación de su uso en las áreas de “Home-Banking “cuyo nivel de actividad es, a día de hoy, bastante incipiente pero que como consecuencia de un mayor fortalecimiento y seguridad, crecerá de forma natural, apoyado en la confiabilidad que éste servicio inspirará los clientes. 2007 nº 14 Nacional OPINION Análisis de riesgos en la implantación de un sistema de Seguridad Biometríca algunas culturas consideran la imagen como algo personal e intransferible. JAVIER RODRÍGUEZ SAETA SeMarket, S.A El número de aplicaciones biométricas ha experimentado un auge espectacular en los últimos años, especialmente a raíz de los acontecimientos del 11-S de 2001. La preocupación por la seguridad se hace cada vez más patente y es en este contexto en donde el reconocimiento automático de personas por algunos de sus rasgos característicos tales como huellas, caras, voz o iris, entre otros, juega un papel preponderante. Cada vez son más los usuarios que demandan este tipo de aplicaciones en un momento en el que la tecnología está ya lo suficientemente madura. Un proceso biométrico consta de dos partes claramente diferenciadas: el entrenamiento y el test. Durante el proceso de entrenamiento, se extraen unas características propias del individuo y se crea un modelo o patrón del mismo. Una vez creado el modelo del usuario, éste puede ser reconocido por el sistema. Una realización o registro de un individuo, se compara con los modelos o patrones de él mismo (verificación, 1:1, dado que el individuo se identifica previamente) o de todos los modelos existentes (identificación, 1:n, ya que el individuo no es conocido), para determinar el grado de similitud o correlación. El resultado es una puntuación que se compara con una medida predeterminada o umbral. La siguiente figura muestra el proceso completo: Características de los productos biométricos En la actualidad, los productos biométricos que gozan de una mayor presencia en el mercado son los de control de acceso y control de presencia. El control de acceso se utiliza en instalaciones, oficinas y recintos en general que requieren efectuar la supervisión de las personas que tienen autorización para acceder. Por otro lado, el control de presencia se utiliza básicamente para confirmar la asistencia de un usuario a su lugar de trabajo, centro de estudios, etc., con el objetivo generalmente de determinar cuánto tiempo ha permanecido en ese lugar. Al mismo tiempo que se busca seguridad, bajo coste y precisión, otros factores relativos a las aplicaciones biométricas comienzan a crecer paralelamente en importancia. El grado de intrusividad es, sin duda, un valor en auge a la hora de decidir qué tecnología biométrica es la más adecuada para la aplicación que se desea llevar a cabo. En este contexto, las tecnologías del reconocimiento de locutor y de caras han elevado su popularidad en un mercado dominado por el reconocimiento de huella dactilar. El reconocimiento de locutor no es ni mucho menos la tecnología más utilizada comercialmente, aunque en el futuro se prevé que su utilización aumente con la incorporación cada más frecuente de portales de voz en Internet. En el caso del reconocimiento de caras, su utilización empieza a ser ya muy común pues la captura de la muestra biométrica es de gran sencillez y escasa intrusividad. Sin embargo, 32 Otro aspecto que parece determinante a la hora de elegir una tecnología u otra es el grado de privacidad que aporta a los usuarios del sistema, es decir, la probabilidad de que sus datos biométricos se vean comprometidos y resulten expuestos a terceras partes. El mayor grado de privacidad se consigue cuando los modelos biométricos se encuentran en posesión del usuario y ello puede lograrse mediante la utilización de tarjetas inteligentes (smartcards). activa. El usuario debe colaborar colocando su dedo en el sensor de huella dactilar, situándose frente a una cámara, firmando sobre una superficie, etc. Si la forma de actuar del usuario frente al dispositivo de captura biométrico no es la correcta, el error global del sistema aumentará y se producirán rechazos erróneos durante el proceso de autenticación. Insatisfacción de las expectativas del usuario. Esto puede darse por varios motivos: posible incomodidad frente al sistema tradicional, aversión a la tecnología, errores en el reconocimiento o sensación de falta de privacidad. Este último punto resulta especialmente preocupante dado que los sistemas biométricos necesitan capturar muestras del usuario y algunos consideran modificaciones de la Ley Orgánica de Protección de Datos (LOPD), es necesario que el sistema los proteja de una forma adecuada (por ejemplo mediante encriptación) garantizando además que estos datos no saldrán en ningún momento del sistema. Una forma de asegurar el cumplimiento de este punto es incluir los datos biométricos del usuario en tarjetas inteligentes, las cuales estarán en todo momento en posesión del usuario que será el portador de sus propios datos biométricos. Exaltación de las ventajas del nuevo sistema. La organización que implanta un sistema biométrico de control de acceso o de presencia debe resaltar a sus empleados las ventajas que conlleva su uso. Por ejemplo, en un sistema de control de presencia Resulta obvio que la intrusividad y la privacidad tienen una estrecha relación. Son factores que influyen en la aceptación de una tecnología por parte del usuario, un aspecto que puede ser clave en el éxito o fracaso de la implantación de un sistema biométrico. Análisis de riesgos En toda implantación de un sistema con elementos biométricos existen riesgos. Keil et al. definieron en su artículo “A Framework for Identifying Software Project Risks“ una serie de riesgos que eran comunes a los directores de proyectos informáticos de países muy distintos como Finlandia, Hong Kong o los Estados Unidos. A continuación se citan algunos de los riesgos que están más relacionados con la utilización de los sistemas biométricos: Inadecuada preparación del personal participante. Tras la implantación de un sistema biométrico es fundamental que el administrador del sistema (responsable de RRHH, administrador de la red, etc.) conozca perfectamente el funcionamiento de la aplicación biométrica y sepa manejarla con suficiente soltura. De esta forma se evitarán una serie de problemas que se podrían achacar, de forma errónea, al funcionamiento de la tecnología. este hecho una invasión de la intimidad. Además, la protección de los modelos biométricos es un aspecto que preocupa generalmente a los usuarios de un sistema de estas características. Algunas de estas sensaciones son heredadas a través de la frecuente asociación biometría - huella dactilar – criminalidad. Posibles soluciones Frente a los riesgos descritos con anterioridad, es posible tomar una serie de medidas que contribuyan a disminuirlos o preferiblemente a eliminarlos, como pueden ser las siguientes: Introducción de nueva tecnología. Cada vez que se introduce un sistema tecnológico innovador, el riesgo de fracaso se hace patente, especialmente si la organización en la que se implanta no suele estar acostumbrada a manejar sistemas tecnológicos. Cualquier novedad puede parecer demasiado complicada o innecesaria. Este caso se agudiza si los usuarios no creen que la nueva tecnología vaya a mejorar el sistema existente. Formación adecuada. La persona responsable de la administración del sistema debe recibir la formación suficiente como para no tener dudas acerca del funcionamiento. Además, también debería conocer cuáles son los principios básicos del funcionamiento de la tecnología biométrica seleccionada. De esta forma, podrá explicar a los usuarios cuál es el uso correcto del sistema, cosa que proporcionará una evidente disminución del número de errores así como una mayor aceptación por parte del usuario de la nueva tecnología. Errores para lograr la implicación de los usuarios. Los sistemas biométricos son normalmente sistemas de seguridad Protección de los datos biométricos. A pesar de que los datos biométricos estarán específicamente protegidos en futuras 2007 nº 14 2007 nº 14 mediante huella dactilar, no es necesario llevar encima constantemente una tarjeta identificativa, con el consiguiente riesgo de olvido, puesto que la persona puede identificarse simplemente colocando su dedo en el sensor. Evitar sensación de mayor control. La biometría no implica una invasión de la privacidad del usuario, sin embargo es conveniente evitar el temido efecto “Gran Hermano”. La sensación de que el usuario está siendo sometido a un control exhaustivo puede evitarse explicando de forma correcta el por qué de la instalación de un sistema de control biométrico, sus ventajas y sus defectos. Este tipo de actuación contribuirá a aumentar el grado de aceptación de la tecnología por parte del usuario. Elección adecuada de la tecnología. El dimensionado de la tecnología es otro aspecto crucial a la hora de implantar un sistema biométrico. Por ejemplo, no tiene sentido instalar un sistema de control multimodal (con varias tecnologías biométricas) para acceder a una oficina convencional. Sin embargo, este tipo de sistema puede ser útil para el acceso a la zona de control de una torre de vigilancia de un aeropuerto, donde la seguridad requerida es mayor. Por otro lado, una interfaz amigable de interacción con el usuario contribuye a aumentar el grado de satisfacción con la tecnología por parte de éste. 33 Nacional tes, internas o externas, proporcionando conectividad automatizada con mas de 40 agencias de crédito Europeas, y obteniendo a través de una única interfaz de usuario, información fiable y actualizada sobre los clientes. Valorar y gestionar el riesgo El pasado 9 de octubre, tuvo lugar en el Palacio Municipal de Congresos de Madrid la VIII Edición del Congreso Nacional de Finanzas 2007, organizado por el Manager Business Forum, una iniciativa de Interban Network. Este Congreso proporciona un foro en el que se difunden las tecnologías, enfoques y casos reales sobre soluciones y sistemas para la gestión y dirección financiera, y reunió a los principales actores de la escena empresarial española de proveedores de soluciones y tecnologías para las entidades financieras y los departamentos de finanzas de las organizaciones. SHS Polar, compañía española especializada en consultoría TI y desarrollo de soluciones para la gestión del riesgo financiero y valoración de clientes, estuvo presente en el Congreso, como patrocinador, con un stand en el que la compañía presentó su nueva imagen corporativa. Asimismo, la compañía participó activamente en la Jornada con la intervención de Juan José Vázquez, D irector de Soluciones de Negocio y Alianzas de SHS Polar, dentro del Panel de Exper tos sobre Soluciones para la Gestión del riesgo crediticio y los impagados. GUARDEAN permite cumplir con los requerimientos del método IRB avanzado de Basilea II, debido a que garantiza la calidad de los datos, asegura un seguimiento de las decisiones tomadas, una fácil recuperación de las reglas aplicadas, y un versionado de las scorecards y políticas de riesgo El caso práctico presentado por Juan José Vázquez, titulado “Claves en los medios de pago: Efi ficciencia Operativa y Satisfacción del Cliente”, está basado en una evaluación de riesgos global, utilizando la solución GUARDEAN de SHS Polar, como infraestructura para unificar las posiciones y decisiones de riesgo en el ámbito de la empresa y su contexto de negocio, aplicada al escenario de emisión y de tarjetas de crédito. GUARDEAN es una plataforma de software dirigida a aquellas organizaciones que requieran gestionar y valorar el riesgo crediticio de sus clientes, así como el valor potencial de los mismos. La solución permite comprobar la capacidad de crédito de los solicitantes de tarjetas de crédito y desde el momento en que es solicitada, a través de cualquier medio físico o electrónico, hasta su emisión final. Según datos del Banco de España, actualmente el contexto de mercado de crédito es positivo, pero la competencia ha aumentado y se ha sofisticado en base a que el negocio de tarjetas de crédito en circulación en España, no ha parado de crecer en esta década a ritmos de crecimiento de doble dígito. Los productos y servicios asociados al negocio de tarjetas se han especializado (personalización, descuentos especiales, fidelización, pagos diferidos, periodos de carencia, etc.). Optimizar, evaluar y decidir El enfriamiento del crédito hipotecario ha reactivado el interés de las entidades financieras por estos productos, avivando la competencia. Por tanto, hay espacio para la inversión destinada a captar nuevos clientes y mantener una posición de ventaja frente a la competencia La solución GUARDEAN, combinada con tecnología BPM, permite mantener una posición de ventaja frente a una competencia cada vez mayor y más especializada, a la hora de captar nuevos clientes, mejorando los procesos de negocio para llegar a más clientes con menos esfuerzo. Optimiza los recursos, focalizando allí donde son necesarios e identificando los cuellos de botella. Permite diversificar la oferta, mediante la sofisticación de los productos y la mejora del “time to market”, controla el riesgo, aumentando 36 Dichos datos son procesados y valorados, en función de la política de riesgo o patrón de valor que la organización haya decidido aplicar, mediante un editor de scorecards, basado en modelos matemáticos avanzados y definidos por las más prestigiosas firmas de consultoría del mundo, así como un motor de reglas de alto rendimiento, que permite la toma de decisiones automatizadas en base a la calificación obtenida. 2007 nº 14 Con su motor de decisiones, GUARDEAN minimiza los costes de comunicación y plazos de respuesta, y permite las configuraciones sencillas de scorecards y árboles de decisión adaptados al negocio, reduciéndose así de manera significativa los tiempos de procesamiento de solicitudes, ya que la mayor parte de los procesos manuales pueden ser automatizados. Juan José Vázquez, Director de Soluciones de Negocio y Alianzas de SHS Polar, el volumen sin por ello, incrementar las tasas de riesgo. Todo ello, aporta mejoras operativas que revierten en una mayor satisfacción del cliente. En este contexto, la solución que ofrece SHS Polar se ha enfocado al desarrollo de mejoras en la productividad, mediante la automatización de procesos de negocio y de la gestión del riesgo proporcionando el camino más corto para introducir nuevos productos al mercado, o para operar productos basados en tarjetas con distintos partners. Inmediatamente después de la entrada de los primeros datos de solicitud, se valora la concordancia de los datos bancarios y direcciones, se comprueban las listas blancas o negras y se valoran las acciones del cliente, mientras que los clientes actuales se reconocen inmediatamente como tales. GUARDEAN permite cumplir con los requerimientos del método IRB avanzado de Basilea II, debido a que garantiza la calidad de los datos, asegura un seguimiento de las decisiones tomadas, una fácil recuperación de las reglas aplicadas, y un versionado de las scorecards y políticas de riesgo. De esta manera, la solución posibilita cerrar el máximo número de ventas posibles con el mínimo riesgo de morosidad. Con la solución basada en GUARDEAN, la entidad financiera puede valorar sus clientes y operaciones de la forma más exacta y rápida posible. GUARDEAN, como herramienta de ayuda a la decisión en tiempo real, permite evaluar el riesgo y valor de un cliente o una operación, midiendo y prediciendo los niveles de solvencia de los clientes actuales o potenciales en pocos segundos. Es decir, permite conocer su comportamiento en materia de pagos o estilo de vida, y así poder tomar una decisión final acertada, por ejemplo, en cuanto al límite de crédito concedido, o al tipo de ofertas que conviene realizar al cliente. Esta decisión viene respaldada por diversas fuentes de datos, gracias al módulo Agency Gateway de GUARDEAN, que permite la obtención de datos de clientes de diversas fuen2007 nº 14 37 Entrevista Isidro Cano La compañía mundialmente reconocida sigue apostando por las nuevas tecnologías y por ello no duda en doblar esfuerzos y ampliar su propuesta para responder de forma precisa a las necesidades y demandas de un mercado tan dinámico como exigente. E.Security tuvo la oportunidad de entrevistar a Isidro Cano HPTC y ASDBusiness Manager de HP, quién nos habla de un sector tan íntimo de HP como es la Supercomputación, y a Rafael Alonso, Director de la unidad de negocio de Portátiles para Empresa de HP España, que nos introduce al nuevo concepto de “Business innovations” con las numerosas ventajas que este puede aportar a los usuarios. HP, visión actual de la Por tabilidad y la Super computación HPTC y ASD-Business Manager de “En HP nos satisface ser líderes del sector de la Supercomputación” ¿E n qué estado se encuentra el proyecto Finisterrae de Supercomputación que tenéis en Galicia? Se trata de un proyecto bastante ambicioso a la vez que bonito. El estado actual es que se están poniendo tabiques en el centro de Supercomputación de Galicia, que es un organismo que ya existe desde el año 1993, y en cuanto la obra civil se termine en el CESGA, empezaremos a instalar máquinas. El objetivo es que antes de que acabe este año, podamos hacer la inauguración. Hay que tener en cuenta que se trata de una máquina muy grande; 2500 procesadores, 10 teras de memoria, 390 teras de disco, con lo cual la instalación, ajuste y chequeo de todo puede llevar entre 3-4 meses de trabajo. Pero, he estado recientemente ahí y todo está en camino para cumplir los objetivos estipulados. ¿Dentro del proyecto pensáis utilizar la tecnología de virtualización? No exactamente; la virtualización es una tecnología que nace para hacer “más con menos”, es decir, intentar sacar a los servidores mayor partido, a la vez que procurar que estos no se queden saturados en picos de trabajo. Es una tecnología que se encuentra en bastantes empresas y que les puede ser bastante útil. Sin embargo, en la Supercomputación, esto no es tan necesario ni prioritario, la encontramos pero de forma muy débil. Existen otras preocupaciones como los entornos Grill o la compartición de cálculos a través de la red, que cobran mayor importancia en la actualidad. 2007 nº 14 ¿Cuál es la situación actual de HP en el mercado de la Supercomputación a nivel mundial? Según la consultora IDC, somos líderes del sector, es decir, los que más facturamos dentro del mercado de la Supercomputación, lo que nos llena de satisfacción. No hay que olvidar que HP es una empresa de ingenieros; detrás de HP y dentro de la sala de fusiones que hay, somos una empresa muy amante de la tecnología, con lo cual, somos los primeros usuarios de la Supercomputación. Esto nos viene muy bien, ya que colaboramos con instituciones oficiales, universidades, centros de investigación, etc. para el desarrollo de productos que luego comercializamos. Además, el estar presentes en ese sector, nos parece interesante porque siempre pensamos que todo lo que la Supercomputación utiliza, al final– y cada vez más en un espacio de tiempo más reducido– acaba utilizándose en el gran mercado informático. Es decir, la Supercomputación es para nosotros como ese laboratorio de pruebas dónde si algo acaba teniendo éxito puede convertirse en un producto que se puede vender a nivel mundial a cualquier empresa. ¿Cuál de los 4 segmentos existentes dentro de la Supercomputación está dando mejores resultados a HP? Nosotros dónde realmente destacamos es en las instalaciones de equipo medio-alto. No estamos demasiado ocupados por estar dentro los 10 ordenadores más grandes del mundo, de hecho, en las listas que circulan por Internet, podrás ver que no hay muchas máquinas de HP, verás alguna, ya que no es realmente nuestra preocupación. Hay que tener en cuenta que muchas de esas instalaciones se hacen con fines puramente comerciales, pero instalaciones que se monten con fines de investigación que sirvan realmente a la comunidad científica son de tipo medio, medio-alto. Dentro de lo que puedan ser las arquitecturas, ahora mismo, lo que se está llevando son sistemas basados principalmente en Linux, que es quién domina el mercado de la Supercomputación. Por debajo de Linux hay dos vertientes: la basada en Clusters; la granja de varios servidores, ya sean Blades o Tradicional, y por otra parte todavía existe un mercado importante para máquinas de muchas 39 Entrevista CPU, estas máquinas están orientadas a ciertas aplicaciones que funcionan mal en un Cluster, porque necesitan mucha memoria y muchas CPU. Ahí tenemos el Superdom, que es una pieza importante de Finisterre. ¿Podrías comentarnos la aceptación que está teniendo vuestra nueva iniciativa de Infraestructura adaptable, y si vais a ofrecerla para el entorno de Supercomputación? Esta iniciativa es el resultado de la filosofía en el uso que nosotros hemos hecho de nuestra propia informática en HP. Es la conclusión que nosotros hicimos a raíz de la fusión en el 2002, dónde teníamos muchos centros de investigación por todo el mundo y que hemos logrado reducir a 6, y esta- mos trabajando en la reducción de aplicaciones, servidores, etc. Lo que no hemos reducido es el presupuesto, simplemente no lo gastamos de la misma manera; ahora hay una parte importante de este, entorno al 23%, que lo dedicamos a la innovación. Antes no gastábamos casi nada en Innovación, sino en mantenimiento, soporte, etc. Esa es la filosofía que intentamos transmitir, ya que a nosotros nos ha ido muy bien, y creemos que puede ser de gran ayuda a las empresas, ya que reduce los costos y mejora la productividad de los sistemas informáticos. En ese sentido, la infraestructura adaptable tiene 3 partes: la primera es que los sistemas tengan el mayor rendimiento posible y que ese rendimiento sea flexible. La segunda parte es la disponibilidad asegurada para que no haya ninguna repercusión negativa para el negocio. Y por último, tenemos la gestión del conjunto de la forma más fácil y flexible posible. En cuanto la posibilidad de utilizarla dentro de la Supercomputación, hay partes que sí se pueden utilizar y otras que no. Por ejemplo, la alta disponibilidad no se aplica exactamente a la Supercomputación, ya que no posee ese carácter crítico como un hospital, la bolsa etc. En cambio, la parte de flexibilidad de los elementos, de los estándares, sí es bastante importante y se aplica. Como conclusión, podemos decir que la infraestructura adaptable sirve para algunos aspectos de la Supercomputación, pero dónde realmente se ve su valor por completo es en la parte de la informática comercial. ¿Nos podrías hablar un poco sobre la virtualización y el nuevo HPUX-11i, las ventajas que ofrece, novedades? El HPUX-11i es la nueva versión del sistema operativo Unix de HP, que nació hace 25 años. Desde entonces hasta ahora, lo que hemos ido haciendo–como es bastante común en este campo– son versiones. La que hemos anunciado recientemente es la 11i, versión 3, ya que hacía 3 años que no sacábamos una versión nueva, y es más o menos el periodo que tomamos para renovarlas. La principal ventaja de esta nueva versión, es que siendo 100% compatible con lo anterior –que siempre ha sido parte de la política de HP desde que nació UX– le da más rapidez. Es decir, una misma máquina con este nuevo sistema operativo funciona de forma más rápida y eficaz. Se ha cambiado toda la estructura que accede a disco, a los ficheros; se han cambiado las cachés del sistema y alguna cosa más que logra incrementar y mejorar el rendimiento, que en promedio, nos está dando entre el 25 y 30 % de más, e incluso en aplicaciones SAP puede llegar hasta 300% más rápido. Además de esta característica fundamental de la rapidez, también cabe destacar la alta disponibilidad, dónde la virtualización cobra mayor protagonismo. Por ejemplo, cuando se realizan particiones en un servidor, ahora, gracias a esta nueva versión, se pueden mover bloques de memoria de una partición a otra, si parar la máquina. También podemos instalar nuevos CPU, procesadores, chips de memoria “en caliente”, es decir, sin tener que detener la máquina, sencillamente introduciendo un comando, logra reconocerlos. 2007 nº 14 El estar presentes en ese sector, nos parece interesante porque siempre pensamos que todo lo que la Supercomputación utiliza, al final– y cada vez más en un espacio de tiempo más reducido– acaba utilizándose en el gran mercado informático. discos es de milisegundos, y a memoria central de nanosegundos, es decir, mil veces más rápido, podemos imaginar hasta qué punto se incrementa el rendimiento. Ese es un trabajo que estamos realizando con fuerza; obtener sistemas de mucha memoria y que sean capaces de almacenar en memoria, el máximo de datos posible. En Supercomputación ya hemos trabajado con 80 núcleos (concretamente con Intel) en un solo chip. Esto comercialmente no creo que se vea hasta la próxima década, porque los microprocesadores son procesos que llevan un mínimo de cinco años; hay que hacer muchas pruebas, ver que las aplicaciones realmente funcionan con ese hardware, etc. ¿Crees que el uso de plataformas de software libre o código libre en Supercomputación es una tendencia que va a aumentar o que va a cambiar? Yo creo que las plataformas de software libre van a coger cada vez más fuerza. Primero el sistema operativo y luego las aplicaciones. La utilización de Linux a nivel mundial dentro de la computación, si no recuerdo mal, ronda el 90%. En lo que respecta a las aplicaciones, sigue habiendo un poco de todo; aplicaciones comerciales, aunque muchas de software libre ya que muchos investigadores se hacen su propio programa. No hay que olvidar que hasta hace relativamente poco, en el mundo de la Supercomputación, no existían demasiados programas comerciales, con lo cuál, se veían un poco obligados a hacerse los suyos y además los compartían, lo que facilitaba el avance. Sin embargo, la competencia entre científicos, por premios como el Nobel, etc., ha hecho que estos ya no compartan tanto sus recursos, aunque es una barrera que poco a poco se va superando. Por otro lado, el otro gran reto está en la utilización de memorias masivas. En la actualidad estamos viendo que muchas aplicaciones van mucho más rápido no tanto por poner mejores procesadores sino por poner grandes bancadas de memoria, y hacer que los datos, en lugar de estar en disco, estén en memoria. Si pensamos que el tiempo que tenemos ahora de acceso a La filosofía del software libre va encaminada en ese sentido, que la propiedad intelectual está bien; el ser pagado por un trabajo realizado, pero que si se comparten los recursos–de forma reglamentada a nivel internacional– en vez de monopolizarlos, se llega a obtener un mayor beneficio para la sociedad en general. ¿Cuál es el siguiente reto para HP dentro del mundo de la Supercomputación? Es una pregunta bastante interesante. El siguiente reto podría estar basado un poco en la Nanotecnología, en la utilización de chips con mayor densidad de potencia de cálculo. Se habla ya de la posibilidad de poder poner muchas unidades de proceso dentro de un mismo chip. Lo máximo que se puede actualmente en la gama Xeon es 4 unidades de proceso, pero se está hablado de llegar hasta 80 unidades de proceso. 2007 nº 14 41 “Seguridad, facilidad de uso y fiabilidad son nuestros tres pilares Para el sector de los portátiles” estrategia es simplificar al máximo las nomenclaturas que rodean este mercado y ofrecer una amplia gama de portátiles desde el más sencillo al más profesional, dentro de nuestro valor añadido que son todo el conjunto de las “professionals innovations” que posee tres pilares: Seguridad, facilidad de uso y fiabilidad. Aquí podríamos destacar, por ejemplo, la tecnología de Centrino Pro, que ofrece la posibilidad de administrar y gestionar remotamente un equipo, aunque esté apagado. Este tipo de ventajas son las que las empresas están valorando cada vez más. En cuanto a Seguridad, nuestros objetivos son básicamente dos: asegurar el dispositivo con sus datos, y asegurar su acceso a la red. El acceso a la red es algo que ya se lleva trabajando desde hace algún tiempo con la aparición de las tecnologías Wifi, Bluetooth, etc. Sin embargo la protección de datos es algo en lo que actualmente se está trabajando mucho. ¿Nos puedes dar más detalles sobre el trabajo de HP en Seguridad para portátiles? Nosotros llevamos desde hace tiempo ofreciendo lo que llamamos “HP Protect Tools” tanto en PC’s como en portátiles, y se trata de un conjunto Director Unidad de negocio de herramientas de protección de software y hardware. En el caso de los portátiles, en lo que resde Portátiles HP España, para Empresa pecta a la Seguridad dentro del dispositivo tenemos herramientas hardware conocidas como son los lectores DVD digitales, lectores biométricos, uál es la situación actual del mercado de los porlos chips TPM de seguridad, que relacionan al usuario con el tátiles y la importancia de los sistemas de seguriequipo, y las “smart card readers” para todo lo relacionado con el dad en estos? DNI electrónico y certificados digitales. Con respecto a los Existe un cambio que ha empezado este año y es el aumento datos, que es dónde se están realizando importantes esfuerzos, de la demanda de portátiles por encima de la de PC’s. El mercapresentamos recientemente la “Drive Encryption Data”, que sin do del ordenador de sobremesa está experimentando estos últininguna intervención del usuario, encripta todos los datos del mos años un crecimiento– relativamente plano– de un 5% condisco duro de forma automática. tra un 30% de crecimiento en el mercado de los portátiles, sobre todo en el segmento de consumo. En HP este crecimiento nos Luego tenemos el Device Acces Manager, que brinda la posibilisitúa en las primeras posiciones del mercado. Sin embargo, esta dad de habilitar o deshabilitar puertos de un equipo, y también, los nueva tendencia va en función de los segmentos del cliente, por filtros de privacidad. Hay que tener en cuenta que existe una preejemplo, en la administración pública, la utilización de portátiocupación creciente en las empresas de lo que pueda ocurrir con les es aún minoritaria. En el área de consumo, no obstante, la los datos corporativos una vez que sus empleados salen con las demanda es total. Nosotros estuvimos recientemente en Shangai PDA, portátiles y móviles. y no sólo a nivel de robos. Entonces, se presentando un portátil de 20 pulgadas para consumo, y parece solicita bastante los filtros de privacidad para proteger, por ejemalgo increíble, porque ya en su día, los portátiles de 15,4 pulgaplo, en un viaje a una presentación de un nuevo producto, su das parecían demasiado grandes. visualización por parte de terceros no autorizados, etc. Rafael Alonso ¿C Así que de forma general, el mercado de portátiles está experimentando un crecimiento muy significativo. Por ello, nuestra 42 Luego está la implementación de estas tecnologías. Esto va a depender del tipo de empresa en el que nos situemos. Si hablamos 2007 nº 14 Entrevista de las Pymes –empresas de hasta 100 empleados, lo que sería en España la gran mayoría de empresas– que tengan departamento de IT encargados de gestionar todas esas políticas de seguridad, evidentemente se hace más fácil implementar las nuevas tecnologías y aplicar las políticas necesarias. Lo que ocurre es que cuando la Pyme no tiene departamento de IT, es más difícil transmitir e implementar estas nuevas tecnologías, así que lo que se suele hacer es simplemente un backup de los datos, ahora, en cuanto a protección de red y dispositivos ya es otra historia, aunque con Windows Vista se haya intentado mejorar bastantes estos aspectos. En definitiva, el crecimiento de portátiles y dispositivos móviles inteligentes junto con la preocupación por la seguridad de los mismos, hace que los fabricantes como nosotros intentemos ampliar nuestros esfuerzos para proponer una oferta más completa y especializada en función de las necesidades de cada empresa y de las nuevas tecnologías. ¿Qué está haciendo HP para responder a la llegada del DNI En cuanto a Seguridad, nuestros objetivos son básicamente dos: asegurar el dispositivo con sus datos, y asegurar su acceso a la red. electrónico y de forma general, los certificados digitales? La lectura del DNI electrónico no es algo totalmente novedoso, en el fondo consta de una tarjeta que se puede leer con las “smart card readers”. Es decir que a nivel de hardware no es demasiado complicado. Lo que ocurre, es que al hardware le debe acompañar un aplicativo software, que por el momento HP no ofrece pero sí la industria auxiliar, es decir, los desarrolladores. La certificación digital es un área de crecimiento y se está demandando cada vez más ya que ofrece soluciones más seguras a los problemas surgidos entre las nuevas tecnologías, Wíreles, Bluetooth y la evolución de los ataques. Así que es una zona sin duda de interés tanto para el sector público como el privado, y HP no dudará en incrementar sus esfuerzos para ofrecer la mejor respuesta a sus clientes. ¿Cuáles son vuestros objetivos para este año con relación a esta nueva gama de portátiles que habéis presentado? Si hablamos en términos de mercado, de las tres familias que hemos presentado: la familia del Ultraligero, la familia de “Balance Mobility” y la familia de Altas Prestaciones, siempre hay una que tiene más parte de mercado que otras ya que están dirigidas para distintos tipos de necesidades. La familia del Ultraligero, por el momento, es un segmento que en cuanto a volumen de mercado no es muy grande. La familia de Altas Prestaciones en cambio es un área de negocio mucho más vertical. Sin embargo, dónde está el gran volumen de mercado es en “Balance Mobility” o Movilidad Balanceada, y allí, evidentemente, depende del tipo de cuenta al que nos dirijamos; a la parte baja de la Pyme o a la parte alta de la Gran Corporación. Si hablamos de producto, la Serie 6700 es la que más vendemos por ser, sin duda, un producto promocional. En las corporaciones sería la Serie 6910. En general la Serie 6000 y la 2000 de ultraligeros son las que más estamos vendiendo en corporación. Si tuviéramos que hablar de producto estrella en la actualidad, en nuestro País, sería sin duda la Serie 6700 incluso con procesador AMD, y en gran empresa, la Serie 6900 y la Serie 2500. A nivel de expectativas, aunque el volumen no es igual, queremos potenciar el segmento de Tablet PC, ya que hemos sacado un concepto innovador del Tablet PC, con un diseño avanzado, el uso de nuevos materiales, mejores prestaciones, con, por ejemplo, 3G integrado. Todo ello hace que nuestro Tablet PC lo consideremos nuestro producto estrella, aunque, a nivel de ventas no sea comparable con los que he mencionado anteriormente. Nuestro objetivo con nuestra propuesta, para este año es, sobre todo, transmitir que no todo es cuestión simplemente de precio, memoria ram y un disco duro más grande con un procesador “Cuore Duo”, que son los escasos criterios que se suelen emplear a la hora de elegir un portátil. Queremos, de alguna forma, ayudar a nuestros clientes a valorar las características como la fiabilidad, facilidad de uso, seguridad, etc. mostrándoles los beneficios que se obtienen sabiendo definir las necesidades y escogiendo el portátil en función de esas necesidades. Si tenemos en cuenta, por ejemplo, que más del 60% de los fallos de un portátil vienen provocados por el disco duro y alrededor del 90% de estos casos es por un mal uso del disco duro, nos daríamos cuenta de la importancia del cómo esté anclado el disco duro al portátil. En HP ponemos el disco duro en un chasis que disminuye considerablemente las vibraciones, o ponemos acelerómetros para detener el uso del disco cuando detecta movimientos bruscos. Estos pequeños detalles o tecnologías –que no existen en consumo– son lo que marca bastante la diferencia, las que proporcionan un valor añadido al cliente, pero que a menudo se desconocen y, por ello, no se tienen en cuenta a la hora de elegir. 43 Viene de la página 10 C onforme a las definiciones recopiladas, diferentes aplicaciones o incluso diversos sistemas operativos pueden ejecutarse simultáneamente en el mismo servidor, mediante la partición de los recursos en varias máquinas virtuales. Es decir, cada una de ellas actúa como un servidor individual e independiente, pero que realmente funciona bajo el control de uno virtualizado. Esto hace posible que, a medida que se aumenta la carga de trabajo, se puedan crear máquinas virtuales adicionales que cubran la demanda sin necesidad de añadir servidores físicos. Sin embargo, conviene matizar que si bien hasta hace poco los escenarios de virtualización se centraban únicamente en la consolidación de servidores, actualmente existen diversos entornos en los que se aplica esta práctica, como el aprovisionamiento de hardware, la continuidad de negocio y el almacenamiento o la virtualización del puesto de trabajo. Un cúmulo de ventajas Entendida como la consolidación de equipos en una sola unidad física, la virtualización se está convirtiendo en la gran apuesta de las organizaciones para conseguir reducir los costes y maximizar los recursos, al permitir optimizar el volumen de trabajo y aumentar la fiabilidad de negocio. Ante tal oferta de oportunidades, las pymes están luchando por llevar hacia ellas una estrategia hasta ahora limitada a las grandes corporaciones. Y es que, independientemente del tamaño de la empresa, la virtualización promete convertirse en una auténtica revolución para los próximos años. CELIA VILLARRUBIA 44 2007 nº 14 Sea cual sea el tipo de infraestructura virtual que una empresa adopte, son muchas las oportunidades que se abren para ella. Esta tendencia permite, ante todo, la maximización de los recursos de hardware y la reducción de la proliferación de servidores físicos, lo que a su vez lleva asociado todo un conjunto de ventajas adicionales. “Si en una estructura tradicional se utilizaban, por ejemplo, cuatro servidores a medio rendimiento, la virtualización permite crear cuatro máquinas virtuales en un único servidor que aprovecha del 75% al 90% de su capacidad”, explica Mercedes Sáiz, Product Manager de Servidores de Dell España y Portugal. Así, este tipo de tecnologías proporciona mayor flexibilidad a las empresas y la posibilidad de mejorar la administración de sus sistemas, “puesto que una de las principales ventajas que ofrece es un único punto de administración central, funcionalidad crítica para la automatización de los procesos”, tal como afirma Adriano Galano, Senior Program Manager de Dynamic Data Center Solutions & High-End Servers de Fujitsu Siemens Computer. La optimización del uso de los recursos redunda inevitablemente en una reducción de los costes a todos los niveles, tanto en el hardware como en los gastos operacionales de gestión y mantenimiento. Este hecho es especialmente importante si se tiene en cuenta que, según IDC, en los próximos tres años el coste de gestión de la infraes2007 nº 14 tructura tecnológica se habrá multiplicado por cuatro, “lo que repercutirá en los departamentos de tecnología, que tienen que decidirse por soluciones económicas que permitan una fácil integración de las complejas estructuras de TI. Es ahí donde la virtualización cuenta con una gran oportunidad de desarrollo”, indica Juan Repiso, Director de System X en IBM España. La solución, por tanto, consiste en recurrir a infraestructuras virtuales que satisfagan las demandas del usuario, porque “los clientes buscan la mejor relación entre capacidad de procesamiento e inversión”, según opina Frederico Carvalho, Director de Mercado Empresarial de Intel Corporation Iberia. “Las organizaciones de TI se están aproximando a la virtualización como una medida para ahorrar costes, y realmente lo es”, indica Andrew Butler, Vicepresidente de Gartner Research. Sin embargo, el portavoz de la compañía matiza que “las empresas que cuentan con tecnologías de virtualización maduras están impulsando mucho más que la reducción de costes: desarrollos más rápidos, tiempo de caída de red más reducido, recuperación de desastres, retorno de la inversión o mayores capacidades de predicción, entre otras posibilidades”. Así, junto a la reducción de los costes, el ahorro energético, de espacio y de tiempo de aprovisionamiento es otra de las claves que pueden hacer a una empresa decantarse por la virtualización, un proceso que aporta también otras ventajas como la consecución de infraestructuras de TI más flexibles, la reducción de los puntos de fallo de los centros de procesos de datos, la consolidación del volumen de trabajo o la adaptación a las necesidades de la compañía, de los usuarios y de los clientes. “Muchos analistas y público en general están empezando a considerar la virtualización como algo más aparte de los ahorros de costes por licencias de hardware y software, fijando la atención en la potencial recompensa del desarrollo de servicios, sistemas y aplicaciones compuestas fiables en un entorno virtual”, en palabras de Donald S. Adams, Director de Tecnología de TIBCO Software. Aunque la virtualización no se aplica exclusivamente al escenario de los servidores, es en este segmento donde más esfuerzos se han dedicado hasta el momento. Según Emilio Paz, Product Manager de Windows Server en Microsoft Ibérica, “en virtualización debemos distinguir dos áreas de desarrollo: la primera es el software que nos permite crear servidores virtuales, y la segunda es la aplicación que facilita la gestión de esas máquinas virtuales”. Ello conlleva, sin lugar a dudas, a que sea este escenario el que acumule los mayo- 45 Reportaje res beneficios, ventajas que la compañía SWsoft sintetiza en tres categorías. La primera se refiere a la consolidación del servidor, puesto que las empresas pueden servirse de esta tecnología para ejecutar hasta cien entornos virtuales en una única máquina física. “Esto significa un ahorro de gastos en hardware, una considerable reducción de mantenimiento y una optimización del espacio en los centros de datos, además de tratarse de un proceso ecológico porque necesita sólo una parte de la energía consumida habitualmente en los CPD tradicionales”, indica Soeren von Varchim, Director de Operaciones para Europa y Asia de SWsoft. El segundo beneficio de la virtualización de servidores hace referencia a los servicios y aplicaciones de hosting interno y comercial, que han ido ganando popularidad en los últimos años y que gracias a las infraestructuras virtuales mantienen los costes a niveles razonables. Por último, este proceso ayuda también a los centros de desarrollo y análisis, resolviendo la necesidad de implementar servidores de forma rápida y más eficiente. “La virtualización es un enfoque de TI a través del cual, por un lado, aprovechamos los recursos del servidor y, por el otro, damos mayor rentabilidad al negocio”, explica Isidro Cano, Director de Desarrollo de Negocio de Sistemas Críticos de HP España. Así, entre otras ventajas, el responsable de Hewlett-Packard señala la rentabilidad de las inversiones en TI, la mayor agilidad empresarial, el aumento de la calidad de servicios y la reducción del riesgo como principales ventajas que estas infraestructuras pueden proporcionar al negocio. No obstante, la adopción de la tecnología de virtualización no es siempre tarea fácil. Para lograr una puesta en marcha eficaz y rentable, las empresas deben superar una serie de problemas que Isidro Cano concreta en cuatro: “la dificultad de implantación de nuevas soluciones, la carencia de recursos técnicos y humanos, la dificultad de uso y de gestión, y la falta de flexibilidad para responder a las nuevas órdenes de la dirección”. En estas mismas dificultades hace hincapié Frederico Carvalho, de Intel Corporation Iberia, que señala la reducción de costes y los límites físicos y energéticos como dos de los grandes retos a los que se enfrentan actualmente las empresas. “Los centros de datos tienen un espacio, una alimentación energética y una capacidad de disipación de calor limitados para poder crecer y los cambios suponen una gran inversión. Una de las soluciones para responder a dichos retos es la virtualización, que permite dedicar de forma dinámica la capacidad de procesamiento de un conjunto de servidores a un grupo de aplicaciones”, detalla. Claro que implementar este tipo de infraestructuras no supone hacerlo sin ningún tipo de control. Gartner ya ha advertido de los inconvenientes de aplicar la virtualización sin recurrir a las mejores prácticas de seguridad. De hecho, esta tecnología utiliza una capa de software que, si resulta comprometida, pone en riesgo toda la carga de trabajo, incrementa los costes y reduce la agilidad. Según señala la consultora, debido a la precipitación en la adopción de la virtualización, muchos elementos de seguridad están desbordados, no se aplican las mejores prácticas y, en algunos Consideraciones para la elección de la virtualización El segmento de la virtualización se ha convertido actualmente en un sector activo que obliga a las compañías a lanzar soluciones mejoradas a precios competitivos. Con el objetivo de aumentar el retorno de las inversiones, obtener altos niveles de servicio, disminuir la complejidad de gestión e incrementar la flexibilidad y el tiempo de respuesta, son cada vez más las empresas que invierten en este tipo de infraestructuras. No obstante, el gran reto aquí consiste en poder distinguir y elegir la solución que mejor se adapte a las necesidades. Por ello, SWsoft ha establecido diez consideraciones básicas para la selección de una tecnología de virtualización de servidores: Aunque las ventajas de las infraestructuras virtuales superan en mucho los inconvenientes que llevan asociados, la asunción de este proceso es todavía muy desigual en las organizaciones. Así lo explica Andrew Butler, de Gartner Research, quien asegura que actualmente no todas las tecnologías de virtualización se encuentran en el mismo estado de madurez y de aceptación. “Continuamos en los inicios de una tendencia tecnológica que cambiará radicalmente la forma en que la estrategia de TI es gestionada”, comenta. Pero pese a que su adopción se encuentra aún en una etapa inicial, la evolución en los últimos años ha sido imparable y las compañías prevén que dicho crecimiento se manifestará también en el futuro. “Entre 2003 y 2004 se produjo una fase de activación, en la que ya se incluían soluciones para simplificar operaciones. Desde entonces, ha tenido lugar una segunda etapa en la que las aplicaciones y tecnologías han ido logrando una mayor integración por medio de la incorporación de estándares”, comenta Mercedes Sáiz, de Dell Spain & Portugal. “Ahora hemos entrado en una fase que seguirá en el futuro, y que consiste en el perfeccionamiento mediante soluciones basadas en estándares de la industria y tecnologías de análisis concretos de los proyectos de virtualización de cada empresa”, añade. samiento alto. Herramientas de gestión: El proceso de migrar un servidor físico a uno virtual puede ser desalentador, y por ello la mayoría de prove2 edores ofrecen herramientas para facilitar la tarea, incluso para migraciones entre entornos virtuales o de virtuales a físicos. Soporte: Las tecnologías de virtualización de sistema operativo se construyen sobre los estándares más elevados y soportan automáti3 camente todo el hardware del SO, por lo que resultan más fáciles de desplegar con menos problemas. Migraciones: Es necesario determinar la importancia de la migración y cómo se va a utilizar para saber qué tecnología se adapta mejor 4 a sus necesidades. Una solución high-end es muy costosa y requiere una arquitectura SAN, mientras que otras aplicaciones ofrecen tiempos muertos casi a cero como parte del paquete de software básico. Gestión de recursos: La virtualización de hardware y la paravirtualización tienen niveles de flexibilidad variables para la asignación y el 5 cambio de recursos, y asignan una máquina virtual de hardware a un virtual server, que puede tener limitaciones. La virtualización de sistema operativo, por otro lado, permite una gestión de recursos más flexible. Aislamiento y seguridad: Ambos son factores críticos para el servidor. Cada máquina virtual debe estar aislada de modo que los pro6 cesos, DLLs y las aplicaciones no afecten a otros componentes. Al cambiar por puntos de acceso, los ataques informáticos no son un gran problema para los servidores virtuales. Utilización del servidor: Incrementar el índice de utilización puede reducir el coste total de la propiedad de recursos de los centros de 7 datos. Es preciso determinar primero si existen limitaciones en el número de servidores virtualizados permitidos en un único servidor físico. Incremento de eficiencia: Cada solución de virtualización tiene niveles diferentes en la capacidad de suministro, de forma que algunas 8 soluciones proporcionan herramientas adaptables para disminuir los tiempos. Que esta tecnología se está convirtiendo en una tendencia cada vez más fuerte entre las empresas europeas lo afirma también IDC en uno de los últimos estudios que ha llevado a cabo. Según la consultora, la tasa de adopción de estas infraestructuras es cada vez más rápida, y su implementación más extensa y profunda. De hecho, el número de servidores virtualizados crecerá a un ritmo anual del 55% hasta los 1,1 millones de ventas en 2011, lo que repre- de virtualización previstas: Las tres instalaciones principales de la virtualización son prueba y desarrollo, consolidación 9 delInstalaciones servidor, y recuperación de desastre. En función del tipo de instalación, será conveniente recurrir a la virtualización de hardware, la paravirtualización o la virtualización de sistema operativo. Comparativa de capacidades y rentabilidad: Es necesario tener en cuenta estos rasgos, puesto que algunas soluciones tienen com10 pensaciones dentro de su tecnología. 2007 nº 14 La solución ante una perspectiva tan poco halagüeña se halla, tal como indica la consultora, en asegurar las máquinas virtuales antes de que sean implementadas e incluso antes de que los vendedores y los productos sean seleccionados. Las organizaciones necesitan presionar a los fabricantes de virtualización y seguridad para eliminar los principales peligros, según indica Gartner, que vaticina que aún llevará bastantes años que las herramientas y vendedores evolucionen, así como que las organizaciones puedan madurar sus procesos y las habilidades de sus plantillas. Pero la respuesta a estas dificultades, además, no se encuentra únicamente en manos de las empresas que adoptan esta tecnología. También los proveedores de software tienen mucho que decir en esta cuestión, y “deberán volverse mucho más flexibles si quieren ser realmente competitivos dentro de esta nueva etapa”, según José Manuel Enríquez, Director General de Novell España y Portugal. El auge de la virtualización El tiempo de procesamiento afecta directamente al rendimiento de la aplicación y a la satisfacción del usuario final. Por 1 ello,Rendimiento: sólo las aplicaciones no productivas o las no críticas deberían cargarse en una infraestructura de virtualización con tiempos de proce- 46 casos, las herramientas y tecnologías para proporcionar protección son poco maduras o inexistentes. Los efectos que tal situación puede desencadenar resultan muy dañinos para la empresa, puesto que para 2009 Gartner calcula que el 60% de las máquinas virtuales serán menos seguras que sus equivalentes físicos. 2007 nº 14 47 Reportaje sentará el 52% de la previsión de 2.197.000 de servidores ven- didos para ese periodo. Asimismo, los ingresos del cliente derivados de estas máquinas en Europa Occidental pasarán de los 948 millones de dólares en 2006 a los 5.500 millones en 2011, lo que implica un crecimiento del 41% durante este periodo. Las previsiones para 2007 también demuestran un gran interés por parte de las corporaciones en la adopción de esta tecnología. Tal como revela un informe de la firma Natick, entre el 20% y el 38% de las empresas planea desplegar tecnología de virtualización de servidores a lo largo de este año. Los motivos para asumir esta tendencia, no obstante, son variados. Un 84% de las organizaciones se adentra en esta práctica para incrementar la eficiencia y la utilización de sus servidores, un 72% para reducir los costes de su centro de datos, y sólo un 28% para disponer de mayor capacidad de computación. Acorde con estos datos, es posible afirmar que “la virtualización de servidores está actualmente en pleno avance”, como establece Soeren von Varchim, de SWsoft, quien añade que “hace tan sólo algunos años era conocida y utilizada exclusivamente por grandes compañías y no muchos proveedores de hosting, pero ahora cada vez más empresas, independientemente de su tamaño, recurren y exploran las ventajas de servidores virtuales”. El motivo de este desarrollo es, ante todo, el hecho de que las organizaciones son cada vez más conscientes de los beneficios que aporta en la consecución de sus objetivos de negocio. A ello contribuye también la introduc- ción de “nuevas funcionalidades que reducen el coste y la complejidad asociada tradicionalmente a este tipo de tecnologías”, señala Emilio Paz, de Microsoft Ibérica. De este modo, la virtualización se constituye en muchas ocasiones en una especie de necesidad derivada de entornos empresariales que generan cada vez una mayor cantidad de datos. “La demanda de sistemas de almacenamiento se ha disparado, lo que ha supuesto que las infraestructuras hasta ahora existentes tengan que evolucionar y adecuarse a nuevos retos”, explica Ángel Fernández, Director General de Hitachi Data Systems España. Y es que también en este segmento del mercado la virtualización tiene mucho que aportar: “Esta tecnología está creciendo porque simplifica la gestión del almacenamiento, centrándose en salvar las dificultades debidas a la heterogeneidad de los entornos, en unificar las herramientas, en evitar la infrautilización de los discos y en sacar el máximo partido de los equipos a la hora de gestionar el ciclo de vida del dato”, añade. Independientemente del ámbito en el que se apliquen estas herramientas, lo cierto es que la virtualización se perfila como una tendencia inevitable a la que las organizaciones deben acudir cuando genere valor para su negocio. “Éste es un mercado rápidamente cambiante que implica un importante retorno de la inversión. Ello demuestra que los líderes de hoy no tienen por qué ser necesariamente los líderes de mañana”, indica el Vicepresidente de Gartner. Las etapas de la virtualización Para entender con mayor profundidad el concepto de virtualización, IDC ha elaborado un modelo evolutivo que detalla el camino que ha seguido esta tecnología hasta el momento y las previsiones sobre su futuro. Éstas son las principales fases: Etapa previa o IT simplification: A raíz de la crisis del año 2000, los responsables de sistemas de las empresas reconocieron la necesidad de una consolidación física de los servidores en el centro de datos y la estandarización de software. Virtualization 0.25: En esta etapa comenzaron los procesos de rehosting de ambientes operativos discontinuados, para obtener los beneficios de las nuevas configuraciones de hardware disponibles en el mercado. Virtualization 0.5: Alrededor de 2003 surge un periodo en el que la tecnología comienza a ser utilizada con un foco específico. Cerca del 70% de las instalaciones de virtualización durante ese año estuvieron vinculadas a entornos de desarrollo y prueba de software. Virtualization 1.0: En esta etapa, que comienza en 2005, se observa un traspaso del gasto desde entornos de desarrollo y prueba a la consolidación de aplicaciones en producción dentro de la infraestructura de TI. Así se incrementa la tasa de utilización de los equipos y se reduce el coste de energía y enfriamiento. Esto impacta en el mercado mediante un fenómeno llamado “efecto virtualización”. Virtualization 2.0: Si 2006 fue el año caracterizado por la consolidación del entorno de producción, en 2007 surgen otros motivadores como las migraciones planeadas, donde se toma ventaja de productos ya existentes en el mercado. Esta etapa se centra en los beneficios que brinda la movilidad a las infraestructuras, que garantiza la continuidad de las aplicaciones ante una caída. Virtualization 3.0: El futuro traerá consigo mayor diversificación de los conceptos y las razones para instalar entornos de virtualización. Los próximos pasos avanzarán sobre las caídas no planeadas y en los niveles de alta disponibilidad para las diversas aplicaciones de negocios y de misión crítica. 48 2007 nº 14 Una oportunidad para la pyme Precisamente por esta velocidad con que se producen los cambios, las ventajas de las infraestructuras virtuales han dejado de estar limitadas a un conjunto de organizaciones concretas para expandirse cada vez a más sectores del mercado. Aunque no existe un perfil concreto del tipo de usuario que recurre a esta estrategia, “son aquellos clientes con infraestructuras complejas, múltiples plataformas y entornos heterogéneos los que más demandan una solución de virtualización que les permita unificar y simplificar procesos reduciendo riesgos, dificultades y, por tanto, costes”, según Victoria Alonso, Directora de Desarrollo de Negocio de EMC Computer Systems España. Esto conduce a que generalmente sean “las organizaciones con mayor volumen y complejidad las que primero estén demandando y demanden en el futuro una solución de virtualización”, matiza. No obstante, las pequeñas y medianas empresas no han querido quedar al margen de todo lo que esta tecnología puede ofrecer, y comienzan a subirse al carro de la virtualización para hacer sus negocios más eficientes y rentables. En concreto, hay quien considera que el reducido tamaño y los recursos limitados de estas entidades se convierten en razones de peso para invertir en este tipo de infraestructuras. “Una de las ventajas de esta tecnología es la reducción de costes, por lo que es lógico que aquellos clientes que tienen menos presupuesto disponible muestren una atención especial”, considera el Director de System X en IBM España, Juan Repiso. Así, la disminución del gasto y la agilidad de negocio que brinda una estructura de TI están haciendo que sea la pyme uno de los grupos que más rápidamente está adoptando esta tendencia. “A medida que se incrementa la infraestructura desplegada en clientes sin limitaciones de ancho de banda, la virtualización de servicios permite crear entornos fiables de manera que miles de pymes puedan acceder a los mismos tipos de recursos técnicos, aplicaciones compuestas y datos que las grandes corporaciones”, considera Donald S. Adams, de TIBCO Software. En este proceso, según el Director de Tecnología de esta compañía, la relación de la virtualización con las arquitecturas orientadas a servicios es fundamental: 2007 nº 14 “La confianza en los entornos de virtualización creados sobre SOA e implementados de forma global mejorará fundamentalmente la potencia creativa de las pymes”, añade. Si bien es cierto que las organizaciones de menor tamaño pueden beneficiarse de las mismas ventajas que las grandes compañías al aplicar infraestructuras virtuales, “a la hora de implantar esta tecnología es necesario tener en cuenta los requerimientos de los usuarios con el fin de diseñar la estrategia que mejor resuelva sus necesidades”, explica Adriano Galano, de Fujitsu Siemens Computers. “La virtualización se ve, en ocasiones, como un remedio para aquellos usuarios que tienen infraestructuras de TI poco estructuradas y que han experimentado grandes crecimientos”, considera. Precisamente, esta orientación hacia el cliente se está convirtiendo en un objetivo básico en la mayoría de empresas que, cada vez con mayor frecuencia, están desarrollando sistemas y productos adaptados a las pymes. Hitachi Data Systems, por ejemplo, “pone a disposición de la pequeña empresa las mismas funcionalidades de las que suelen beneficiarse las grandes corporaciones, pero adaptadas a sus necesidades y a un precio más asequible”, informa su Director general, Ángel Fernández. En el caso de HP, la compañía ha puesto en marcha desde 2005 un programa de virtualización que persigue trasladar las características y capacidades propias de los servidores críticos de alta gama a las pymes españolas. “Lo que se pretende es que mediante una gestión más sencilla se reduzcan los costes de las infraestructuras de TI con una inversión de hardware más baja”, indica Isidro Cano, Director de Desarrollo de Negocio de Sistemas Críticos de la organización. Microsoft, por su parte, se propone “ofrecer los beneficios de la virtualización a compañías de todos los tamaños de una forma asequible y fácilmente accesible, para que puedan gestionar mejor la complejidad asociada a los entornos de TI y obtener una mayor agilidad”, indica Emilio Paz, Product Manager de Windows Server. De hecho, acercar los beneficios de la virtualización a la pequeña y mediana empresa se está convirtiendo en una auténtica tendencia en los últimos años. “La adopción por el 49 Reportaje segmento pyme ha sido lenta, mientras el coste se ha man- tenido demasiado elevado. Pero nuevos competidores, como Microsoft y Xen, están ejerciendo una presión sobre los precios del mercado, al mismo tiempo que el coste de la tecnología hypervisor empieza a ser más competitivo”, estima el Vicepresidente de Gartner. Lo que esto significa, en resumidas cuentas, es que la implantación de infraestructuras virtuales ha dejado de ser una opción reservada a los más grandes, para convertirse en una oportunidad de crecimiento sostenible también para la pyme. La evolución esperada Todo ello apunta a que, tal como afirma José Manuel Enríquez, de Novell, esta tecnología constituirá a medio plazo “una auténtica revolución”. La compañía HP incide igualmente en este camino evolutivo, considerando la virtualización como “el futuro de la gestión de sistemas” gracias a los avances en software y microprocesadores, una tendencia que se encamina a corto plazo hacia costes variables para lograr la optimización de los recursos. No obstante, la evolución de esta práctica estará marcada por toda una serie de tendencias tecnológicas en función de los campos a los que se aplique y de las arquitecturas que la complementen. Son varias las empresas que consideran la virtualización del sistema operativo como la corriente dominante a corto plazo. “En el futuro veremos cómo la mayoría de las empresas utilizarán diferentes opciones de virtualización en el mismo centro de datos. De acuerdo con ello, la gestión independiente de plataformas de distintos servidores virtuales procedentes de diversos proveedores será un progreso clave”, indica Soeren von Varchim, de SWsoft. Otras compañías, por su parte, optan por aplicar esta infraestructura al almacenamiento en red: “Para EMC la virtualización es una pieza más de una estrategia de Gestión Global del Ciclo de Vida de la Información”, señala Victoria Alonso, Directora de Desarrollo de Negocio para España. Ante todo, el desarrollo de esta estrategia está siendo dirigido por las distintas necesidades de gestión de los departamentos de tecnología, y especialmente por la urgencia de proporcionar a los procesos de negocio una infraestructura flexible y simplificada. “Por ello, no sólo es necesario aportar capacidades de virtualización de recursos dentro de la propia empresa, sino que hay que tener en cuenta un nuevo nivel fuera de ella”, según Juan Repiso, de IBM. El camino de Microsoft, por otro lado, es enfocar su actividad hacia la virtualización entendida como el software que permite creer máquinas virtuales. Tal como afirma Emilio Paz, “una de las tendencias que actualmente se observa en las tecnologías y que constituye un factor de crecimiento en el mercado es la creación de infraestructuras dinámicas”. 50 Pero para comprender hacia dónde se dirige la virtualización, no es posible obviar la confluencia de esta corriente con otras tecnologías igualmente relevantes en el panorama actual, como puede ser SOA. “Existen numerosas interpretaciones, implementaciones y categorías dentro del término virtualización. Hay quien, incluso, habla de la correlación entre la arquitectura orientada a servicios (SOA) y la orientada a la virtualización (VOA)”, explica Donald S. Adams, de TIBCO Software, que predice que “la evolución lógica dará lugar a sistemas hardware, software y datos integrados mediante SOA que constituyan miles de servicios virtuales”. La evolución para Fujitsu Siemens Computers pasa por la arquitectura PAN o red de área de procesamiento, que “abstrae los recursos de los servidores y de la red de la misma manera que el sistema SAN virtualiza los recursos de almacenamiento”, explica el responsable de FSC, Adriano Galano. Lo que permite esta arquitectura PAN es, según la compañía, hacer de la informática un “servicio público”. Las posibilidades de evolución de las infraestructuras virtuales son, por tanto, muy numerosas, aunque para liderar este proceso Gartner ya ha dado a conocer a sus favoritos. Según la consultora, existen tres elecciones principales para máquinas virtuales Windows y otras basadas en x86: Microsoft Virtual Server 2005, VMWare ESX Server y diversos ejemplos de código abierto de Xen. “La gestión y la automatización serán la clave para realizar la selección, pero tanto la seguridad como el soporte de sistemas operativos heterogéneos crecerán en importancia a lo largo de 2010”, afirma Andrew Butler, Vicepresidente de la firma. Y aunque el cumplimiento de tales pronósticos aún está por ver, hay una cuestión clara, como afirman desde Dell: “La virtualización ha pasado de ser una tecnología desconocida y a la que se miraba con escepticismo, a implantarse en el corazón del negocio de compañías que son todo un referente en el mercado”. 2007 nº 14 Entrevista “El valor añadido de Afina, una respuesta activa a las necesidades de los clientes” lución en muchos campos de las TI, y pensamos que va a representar un negocio de más de un tercio de la compañía. La verdad es que estamos muy contentos con el conjunto de las nuevas iniciativas, que hasta el momento han superado de forma clara nuestras expectativas. ¿Qué valor ofrece la virtualización a vuestros clientes, cuáles son sus principales ventajas? Uno de los puntos más destacados de la virtualización es la reducción de gastos, ya que permite un aprovechamiento mucho más grande de las infraestructuras ya existentes, con lo cual no se habla de adquirir nuevos sistemas sino de sacar el máximo partido al ya existente. Después tenemos otro aspecto muy relevante de la virtualización, y es la mejora de la infraestructura dando mayor capacidad de almacenamiento, backup, consolidación, es decir que hace que la infraestructura sea mucho más fiable, lo que repercute en la seguridad, aunque esta venga más tarde, en una segunda etapa; primero logramos virtualizar la infraestructura y luego se mirará, en un futuro cercano –ya que es un aspecto aún poco desarrollado– el cómo securizarla de la mejor manera. ¿Conoce el usuario esta tecnología o hace falta un periodo de formación? Claramente esta nueva tecnología implica un proceso de educación y formación del mercado. Primero se empezaría con el canal, y luego se pasaría al usuario, gran cuenta, mediana cuenta, etc. Ahí está nuestra aportación y el trabajo inicial, educar al canal y al mercado para que asimile el concepto. ¿Cómo va a funcionar el plan de certificación para esta área? Yo pienso que el sistema seguirá el modelo de informática centralizada, entonces muy similar a lo que ya se conoce. Puede haber algún cambio en función del fabricante, pero grosso modo va a seguir las mismas pautas. Pedro Galatas CEO de Afina Sistemas Las exigencias del mercado se hacen sentir cada vez más y por ello, si una compañía quiere ofrecer respuestas adecuadas, es muy importante que sepa avanzar y adaptarse a la demanda de sus clientes. Es el caso de Afina, que está realizando una labor de ampliación de servicios y mejora de su estructura para así responder a las necesidades específicas de cada cliente de la mejor forma posible. Sobre esta labor e.Security pudo entrevistar a Pedro Galatas, Ceo de Afina Sistemas y a Fernándo Ayllón, Director del Departamento de Servicios y Proyectos de Afina, para obtener más detalles de los últimos cambios de la compañía. 52 2007 nº 14 ¿Qué alcance tienen estos acuerdos, va a tratarse de algo a nivel nacional o internacional? Nosotros ya llevamos más de un año trabajando con VMware en Latinoamérica en países como pueden ser México, Venezuela, Colombia y Chile. El acuerdo que acabamos de firmar es nuevo y se centra en España. LA V I R T UA L I Z AC I Ó N AFINA DIVISIÓN DE DE ¿Qué nos puedes decir de la nueva división de virtualización que estáis creando? Como lo hemos comentado, el acuerdo con VMware es uno de los más importantes que hemos hecho estos últimos 10 años. El núcleo de la división va a ser lógicamente VMware, ya que se trata de una compañía líder del sector. Nosotros creemos que el sector de la virtualización va a ser uno de los más importantes de los próximos años, ya que se trata de una revo2007 nº 14 ¿Qué respuesta ha tenido esta división en Latinoamérica? VMware está entre los tres fabricantes más importantes de Latinoamérica, y a nivel de educación, es el fabricante que tenemos con más educación dentro del sector de la virtualización. ¿Qué otros complementos pensáis añadir a la oferta que estáis lanzando a día de hoy? Para complementar la oferta que tenemos actualmente, miraremos fabricantes en el área de la gestión de los Data Center, se trata de un área muy importante que está cambiando a nivel de concepto, funcionando como un “modelo fábrica”, y que representa un reto para el futuro. Luego, también nos interesa la parte de la virtualización de los puestos de trabajo, que sin duda también es de gran relevancia para las empresas. 53 Entrevista LA N U E VA E S T R AT E G I A S E M AT E R I A L I Z A E N L A C R E AC I Ó N D E U N Ú N I C O D E PA R TA M E N TO El departamento de Servicios y Proyectos que engloba las áreas de valor añadido de Afina aparece como un área crítica para la estrategia presente y futura de la empresa. ¿Nos podrías explicar porqué? Tras analizar las necesidades actuales de nuestros clientes, decidimos reestructurar todas nuestras áreas de valor añadido para ceñirnos mejor a lo que nos pedían y ofrecerles un mejor servicio, con mayor calidad técnica y más optimizado si cabe. Como es lógico, prácticamente ninguna organización sigue funcionando igual que hace cinco o diez años, en parte debido a los avances tecnológicos y también motivado por la competencia y la apertura a nuevos mercados. Por ello, para seguir manteniendo intacta nuestra capacidad de competitividad, hemos considerado oportuno llegar a cabo algunos ajustes, que nos ayuden a seguir ayudando a nuestros clientes a prosperar en sus negocios. Con este cambio, pretendemos agilizar y simplificar todo el proceso de atención a nuestros socios de canal, generando asimismo una cantidad cada vez mayor de sinergias entre las áreas de valor añadido y las de producto de Afina, en línea con la interacción entre ambas divisiones que ya de facto se venía produciendo. El objetivo final es evolucionar constantemente hacia la sencillez en la gestión de dichos servicios, tanto a nivel técnico como humano. En consecuencia, quien confíe en nosotros tan sólo debe preocuparse de lo que quiere conseguir, y nunca en la forma para conseguirlo. Con este cambio potenciamos la eficacia, agilidad, flexibilidad y rapidez de respuesta en toda nuestra prestación de servicios y soporte. ¿Qué engloba esta nueva estrategia? Esta nueva estrategia se materializa en la creación de un único departamento, el Departamento de Servicios y Proyectos, que engloba las áreas de valor añadido de Afina: formación, servicios profesionales, soporte y proyectos. Atendiendo a nuestros clientes desde una perspectiva global, pero del mismo modo personalizada y minuciosa, nos adaptamos a las nuevas demandas del mercado, que por su propia naturaleza exige la prestación de un valor añadido cada vez más cualificado. ¿Qué nuevos servicios vais a ofrecer? A corto plazo, ampliaremos nuestro catálogo de formación y no sólo con nuevas certificaciones, sino con cursos acerca de áreas tecnológicas concretas, que analicen diversas tendencias y problemáticas. Además, trabajamos constantemente en nuevas modalidades de soporte, servicios profesionales y proyectos globales, bajo las premisas de ofrecer la máxima calidad y el mejor servicio. ¿Está iniciativa, tiene carácter local o será trasladada a las distintas sedes de Afina? Por el momento, la hemos puesto en marcha en España, ya 54 Fernando Ayllón, Director del Departamento de Servicios y Proyectos de Afina que es aquí, por la propia dinámica del mercado, donde por ahora tiene más sentido evolucionar en esta dirección, no obstante estudiamos atentamente la situación del resto de países donde operamos y estamos analizando la conveniencia de poner en marcha este tipo de reestructuración. ¿Qué objetivo os habéis marcado a medio plazo? A medio plazo pretendemos que esta área, ya por derecho propio una de las más valiosas para Afina, experimente un crecimiento exponencial, en parte motivado por el incremento de nuestra capacidad de atender a más clientes y, por otro lado, gracias a contar con un mayor número de tecnologías y modalidades de servicio. En un principio, esperamos una evolución lógica de los buenos resultados que hemos venido obteniendo recientemente, manteniendo la tendencia al alza de los últimos años para, en un plazo de tiempo medio (2008-2009), aumentar a un ritmo mayor la cuota de crecimiento. ¿Qué importancia tiene a día de hoy la formación para Afina? Desde nuestros comienzos, la formación ha sido uno de los pilares en el valor añadido de Afina, ya que consideramos que debido al tipo de soluciones que comercializamos, es necesario ofrecer al canal de distribución la formación necesaria para ser expertos en las soluciones que comercializan. Sabemos que, ante un mercado en el que los conocimientos tecnológicos y la correcta utilización y aprovechamiento de las herramientas informáticas puede resultar determinante, sólo contando con técnicos correctamente formados y certificados podemos asegurar una ventaja competitiva, de forma que cumplimos uno de nuestros principales objetivos: ayudar a nuestros socios de negocio a ofrecer a sus clientes las mejores soluciones y servicio. 2007 nº 14 Reportaje El eDNI y la efactura, grandes revulsivos para la certificación digital LUIS MILLAS En un mundo cada vez más global, donde las transacciones electrónicas están ampliamente generalizadas, los certificados digitales vienen a aportar la confianza que reclama esta modalidad transaccional, equiparándola a la tradicional “cara a cara”. Su validez se basa en que una Autoridad de Certificación de reconocido prestigio actúa como tercera parte de confianza que verifica la identidad de una de las partes y da certeza a la segunda sobre tal información. certeza de la identidad del servidor ante cualquier tipo de transacción comercial–. En opinión de Carlos de Vicente, Product Manager de Realsec, “los procesos de e-Administración, de Contratación o Compra por vía telemática, de acceso a la información privada, etc., no son concebibles sin el uso de un medio tecnológico que permita la correcta identificación, con valor jurídico, de las partes que intervienen. Es, por tanto, un elemento imprescindible en el desarrollo de la Sociedad de la Información”. Claves de un Certificado Digital Los certificados digitales aportan, a grandes rasgos, seguridad en materia de cifrado de datos, garantía de su plena integridad y cifrado de las comunicaciones. Así, esta aportación de seguridad y confianza viene a asegurarnos que las personas o entidades con los que operamos son realmente quienes dicen ser. Aparte de que el certificado digital ofrece también una verificación de mensajes o documentos, que certifica la integridad de los mismos, asegurando su no manipulación y garantizando al tiempo que son originarios del emisor identificado. En esencia, vienen a ser, además, el elemento fundamental de lo que conocemos como firma electrónica. La firma electrónica entra en juego aquí porque los casos más habituales en los que se recurre a certificados digitales son los de firma electrónica y encriptación de documentos o mensajes, así como la verificación y certificación de la identidad de los servidores web –lo que se realiza con el fin de tener 56 2007 nº 14 Pero antes de avanzar y adentrarnos en la situación actual de esta tecnología en nuestro país, hagamos un repaso a las principales claves de esta propuesta. Como veíamos, un certificado digital es un documento digital mediante el cual un tercero confiable (lo que ha venido en denominarse una autoridad de certificación) da fe de que existe una relación directa entre la identidad de un sujeto o entidad y su clave pública. Recordemos que ésta última consiste en un método criptográfico al que se recurre para el envío de mensajes y que está basado en la utilización de un par de claves, ambas pertenecientes 2007 nº 14 a la misma persona (una clave pública, que puede entregarse a cualquier persona; y otra privada, de uso exclusivo para el usuario). El proceso es sencillo: el remitente usa la clave pública del destinatario para cifrar el mensaje, que únicamente podrá ser descifrado por el destinatario haciendo uso de su clave privada. Aunque son varios los formatos de certificados digitales, los más usuales son los que se rigen por el estándar UIT-T X.509. Llegados a este punto, hemos de tener en cuenta que un certificado emitido por una entidad de certificación autorizada, además de incluir la firma digital de ésta última y un número serial, debe contener también la siguiente información: nombre, dirección y domicilio del suscriptor; nombre, dirección y emplazamiento donde realiza actividades la entidad de certificación; una copia de la clave pública del titular del certificado (utilizada para la verificación de su firma digital); la metodología para verificar la firma digital del suscriptor hallada en el mensaje de datos; y la fecha de emisión y expiración del mismo certificado. En lo que respecta a la emisión de certificados, no existe 57 Reportaje limitación ninguna en cuanto a quién puede generarlos, aunque es fundamental que este emisor esté reconocido por quienes interactúan con el propietario del certificado. Por eso, los emisores, la mayor parte de ellos para fines comerciales, deben acreditarse para así ser reconocidos por otras personas, comunidades, empresas o países y que su firma tenga validez. Normativa más efectiva En este contexto, los prestadores de servicios de certificación acreditados en nuestro país lo están de acuerdo a la Ley 59/2003 de Firma Electrónica, que ha derogado el Real Decreto Ley 14/1999, de 17 de septiembre, sobre firma electrónica, haciendo más efectiva la actividad de certificación en España. A tal efecto, el Ministerio de Industria, Turismo y sión de datos personales. Igualmente, permiten ahorrar en medios físicos, identifican con certeza los sitios web, al validar su identidad y garantizan que nuestro interlocultor es quien dice ser. En realidad, se trata de dotar al mundo virtual de las mismas características de reconocimiento e identificación de las que goza el mundo real”. Comercio publica un listado de los Prestadores de servicios de certificación basados en certificados reconocidos, donde se encuentran los siguientes prestadores: AC Abogacía, ANCERT-Agencia Notarial de Certificación, ANF AC, Autoritat de Certificació de la Comunitat ValencianaACCV, Banesto CA, CAmerfirma, CatCert, CERES Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda (FNMT-RCM), CICCP, Dirección General de la Policía, FIR Maprofesional e Izenpe. Sistema de implementación en España En nuestro país, las implementaciones de certificados digitales responden generalmente a la práctica de despliegues internos a una compañía, que lo utiliza para uso propio. En lo que respecta a las grandes empresas, se suele crear toda la infraestructura internamente, aunque cada vez es más común el hecho de utilizar certificados emitidos por una autoridad de certificación externa y/o externalizar el servicio completo. Nuestra normativa sigue la estela de la Directiva Europea 93/1999, que ha establecido un marco común aplicable a todos los países de la Unión Europea por el que el nivel de exigencia que supone la normativa firma electrónica implica que “los prestadores de servicios de certificación que emiten certificados cualificados son merecedores de confianza por cualquier tercero que confía y sus certificados otorgan a la firma electrónica avanzada a la que acompañan el mismo valor que tiene la firma manuscrita o firma ológrafa”. PRINCIPALES VENTAJAS DE LA CERTIFICACIÓN DIGITAL En cuanto al uso por parte tanto del ámbito privado como del empresarial, lo más destacable, aparte de la seguridad que los certificados digitales ofrecen, es la comodidad y la agilidad de las interacciones electrónicas. Partiendo de la cobertura de necesidades ya expuesta, es fácil deducir que el principal beneficio del uso de certificados digitales se encuentra en la agilización de los trámites burocráticos y administrativos. “La principal ventaja es la de equiparar estas transacciones con las tradicionales, con una garantía de confidencialidad, integridad, auten- tificación y no repudio. A ello puede añadirse la opción de fechado seguro”, matiza Javier Jarava, Ingeniero de Sistemas de RSA. “Hemos de considerar que una firma digital ofrece garantías más amplias que una firma manuscrita, y ello en tres vertientes. En primer lugar, mayor facilidad de verificación: los procedimientos numéricos están al alcance de cualquiera, y no se requieren conocimientos de peritación grafológica, siempre susceptibles de controversias; en segundo lugar, lleva implícita la temporalidad de la certificación, especialmente importante en el caso en que el certificado avale una condición, rol, o privilegio; y en tercer término, el proceso de firma/verificación digital garantiza la total integridad y no alteración del documento firmado”, añade Carlos de Vicente, Product Manager de Realsec. “Los certificados confieren a las comunicaciones electrónicas sencillez, rapidez y seguridad. Su validez se basa en que una Autoridad de Certificación de reconocido prestigio actúa como tercera parte de confianza que verifica la identidad de una de las partes y da certeza a la segunda sobre tal información”, comenta Rodolfo Lomascolo, Director General de ipsCA. Algunas desventajas Como suele ser habitual, en una tecnología de aplicación emergente, la principal desventaja reside en el desconocimiento o conocimiento parcial. En este contexto, es importante utilizar el sentido común y la cautela para utilizar un certificado digital, que en el fondo son mucho más que unas claves avaladas o reconocidas por un tercero. Así, se aconseja que antes de aceptar un documento firmado digitalmente, nos hagamos preguntas del tipo: ¿quién certifica?, ¿qué certifica?, ¿tiene realmente el emisor la autoridad necesaria para avalar el objeto del certificado?, ¿son fiables los protocolos seguidos para la emisión del certificado?. En el aspecto estrictamente tecnológico, pueden observarse algunas “lagunas” en las especificaciones técnicas de los pliegos para concursos de PKI que se vienen publicando. Por ejemplo: existe gran preocupación por la longitud de las claves a emplear, cuando este riesgo técnico es mucho menor que el de la aleatoriedad o el de garantía de los componentes de la clave o, incluso, el exponente utilizado. Los posibles “ataques matemáticos” a las claves son mucho más peligrosos que los de “fuerza bruta”. “Más que desventajas debe hablarse de una necesidad de infraestructura tecnológica: tarjeta/lector o token. Además, hay que establecer una autoridad de certificación (PKI) y emitir certificados”, sostiene Javier Jarava, Ingeniero de Sistemas de RSA. “Posiblemente, la única molestia sea la necesidad de tener que custodiar las claves; en definitiva, nada a lo que no estemos ya acos- tumbrados en nuestro día a día, en el que tenemos que ocuparnos de tener a buen recaudo desde nuestras tarjetas de crédito hasta las llaves de nuestro hogar”, opina Rodofo Lomascolo, Director General de ipsCA. “Más que a desventajas, debemos referirnos a riesgos de uso incorrecto. La tecnología de Certificación y Firma Digital es operativa y suficientemente segura; los posibles problemas pueden surgir de una explotación inadecuada o de un desconocimiento de los conceptos base en los que ésta se apoya”, sentencia Carlos de Vicente, Product Manager de Realsec. 58 2007 nº 14 Por otro lado, hemos de tener en cuenta que el artículo 11 de esta Directiva establece que los países miembros notificarán a la Comisión y a los otros estados miembros lo siguiente: a) información sobre esquemas voluntarios de acreditación nacionales, incluyendo eventuales requisitos adicionales; nombres y direcciones de los organismos nacionales responsables de la acreditación y supervisión, así como de los organismos consignados en el articulado de la Directiva; y nombres y direcciones de todos los prestadores de servicios de certificación nacionales acreditados. El No Repudio En este contexto, y tal y como apunta Javier Jarav a, In g e n i e r o d e S i s t e m a s d e R S A – d i v i s i ó n d e s e g u r i d a d d e EMC – “un punto importante de los certificados digitales es su efectividad para el no repudio en las transacciones de identificación de interlocutores a través de medios electrónicos, eliminando a su vez los soportes físicos, con el ahorro que ello conlleva. Se consigue así garantizar que, efectivamente, la otra parte ha originado dicho mensaje o documento. A todo ello hay que añadir el principio de confidencialidad, por el que sólo las personas autorizadas pueden acceder a dichos mensajes o documentos”. Y es que ya a nadie se le escapa que los certificados digitales vienen a cubrir las necesidades de identificación, seguridad y no repudio planteadas en los nuevos escenarios de relaciones telemáticas; tanto en las interacciones ciudadano-administración, cliente-empresa, o empresaempresa. Por su parte, Rodolfo Lomascolo, D irector G eneral de ipsCA apunta que las principales aportaciones de los certificados digitales “son tan dispares como las suscripciones –altas y contratación de servicios online–, o el poder llevar a cabo todo tipo de trámites con seguridad a través de medios electrónicos, así como reforzar la privacidad en la transmi2007 nº 14 Según Rodolfo Lomascolo, “el sistema de implementación más popular en España es el empleado para la Declaración de la Renta, de CERES, pero en breve, con la implantación masiva del DNI electrónico, todos tendremos a nuestra disposición y en nuestro propio bolsillo un certificado, utilizado por cada ciudadano en una gran diversidad de situaciones”. Al escenario que planta el nuevo DNI digital – el nuevo documento de identidad nacional, que incluye certificados personales de firma y cifrado–, Carlos de Vicente añade otro pilar básico por el que, en su opinión, pasa la implementación del uso de estas soluciones: la factura electrónica. “Entre ambos, se cubre el espectro de las personas físicas (DNI) y de las personas jurídicas (facturación empresarial). El impulso político de la legislación provocará la disponibilidad de los certificados, y ésta llevará, de forma natural a su utilización masiva”, argumenta. Problemas para el despliegue masivo No obstante, aún tenemos que ocuparnos de cuál es la problemática que está acompañando a la lenta adopción de esta tecnología. Para muchos, uno de los principales problemas para el despliegue masivo de los certificados digitales es el desconocimiento o la falta de confianza en los estándares. Y aquí se apunta que es necesario que los usuarios finales, tanto empresas como consumidores, lleguen a ser conscientes de que existe la tecnología, “de que está desarrollada completamente, y de que aporta innumerables ventajas”, apostillan los expertos. Y es que, “la adopción de mecanismos y estándares de emisión y gestión de certificados más amigables para el consumidor facilitarían mucho esa transición”, comenta al respecto Javier Jarava, de RSA. En España, no obstante, es cierto que a raíz de la adopción del DNI electrónico, se ha experimentado un creciente interés por esta tecnología en despegue, aunque posiblemente el mercado está esperando a que se definan con más acierto qué aplicaciones se pueden construir 59 Reportaje sobre la base del e-DNI, y cuáles requerirán de una PKI propia. Aunque lo que sí es obvio es que el software futuro podrá aprovechar la mayor familiarización de la población con la tecnología. “Los problemas ha sido fundamentalmente dos, ambos con origen en las carencias del propio planteamiento del mercado –aclara el Director General de ipsCA–, en primer lugar, el ‘evangelizar’ explicando a todo el mundo el funcionamiento de una tecnología que en sí misma es muy compleja. Si buscamos un paralelismo, sería como si para usar un medio de transporte público, el viajero tuviese que conocer previamente todos los detalles de ingeniería de fabricación y funcionamiento del vehículo en cuestión. La tecnología ha sido probada con éxito y de hecho se está ya utilizando con la fiabilidad necesaria para su uso a gran escala, algo que parece que a algunos les cuesta asumir sin renunciar al discurso de claves y algoritmos”. “El segundo problema –continúa el directivo– tiene que ver con la asociación de esta tecnología con los productos tradicionales de seguridad, queriendo venderlos como si fuesen lo mismo. Que esta tecnología se base inherentemente en planteamientos de seguridad no hace que ese sea su mercado natural, sino más bien al contrario; el mercado de los certificados añade a las virtudes de la seguridad tradicional el ahorro derivado de la supresión de medios físicos, responsable directo de su despegue definitivo. Una vez que las empresas comprueben por sí mismas las enormes ventajas que trae consigo su utilización, su implantación será imparable, como ya viene sucediendo en el ámbito de la Administración Pública”. Previsiones de integración masiva Teniendo en cuenta que estamos ante un mercado en auge, debido al empuje imparable de las transacciones electrónicas y la preocupación creciente por la seguridad de la información, cada vez surgen más tecnologías que usan internamente certificados digitales para su funcionamiento, por lo que la mayoría de los expertos consideran que nos dirigimos a un entorno donde se consolidarán como un componente más de soluciones más complejas. Además, junto al caso ya citado del Listado de prestadores de servicios de certificación reconocidos 60 AC Abogacía ANCERT-Agencia Notarial de Certificación ANF AC Autoritat de Certificació de la Comunitat Valenciana-ACCV Banesto CA CAMERFIRMA CatCert CERES Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda (FNMT-RCM) CICCP Dirección General de la Policía FIR Maprofesional Izenpe DNI electrónico, el fuerte impulso que la Administración Pública viene efectuando también actuará como revulsivo. Cada vez es más habitual que en las relaciones entre el ciudadano y la Administración el cauce favorito sea Internet, con lo que la utilización de certificados se torna en indispensable. “Cuando un medio, soporte o herramienta adquiere una difusión amplia, la industria, el comercio y las finanzas inmediatamente lo aprovechan. La total expansión de la posesión de un certificado ‘normalizará’ su utilización en múltiples aplicaciones en los próximos años. Se plantean, por tanto, grandes posibilidades para las empresas informáticas de atender a esa demanda que, en definitiva, puede significar un importante cambio en la normal actividad de nuestro comportamiento social”, espeta Carlos de Vicente, de Realsec. Así las cosas, se vislumbran importantes oportunidades de negocio en el mundo empresarial, dado que el que para muchos es el principal factor de implantación de este tipo de tecnología, el DNI electrónico, tendrá una gran influencia en el desarrollo de las comunicaciones online y en el uso de documentos electrónicos. Hablamos de influencia, exclusivamente, puesto que nadie puede olvidar que el DNI electrónico no está pensado para cubrir actividades corporativas y empresariales, ya que su cometido es únicamente actuar como certificado personal. Es por ello que el mercado está adoptando al mismo tiempo mecanismos para el correcto y seguro uso de este tipo de tecnologías. Para compañías como ipsCA estas sólo son buenas noticias, tal y como señala su Director General: “la provisión de certificados y mecanismos asociados para su uso en empresas y corporaciones es nuestro core business, así como la fabricación de herramientas de software que permitan utilizar esta tecnología con la mayor fiabilidad y de manera sencilla para el usuario. Actualmente nos encontramos ante un momento repleto de oportunidades, con grandes aportaciones a los mecanismos de comunicación empresarial en el que todavía queda mucho por hacer, y que a la postre definirá un escenario nuevo para el uso de los medios electrónicos con fiabilidad y seguridad”. Para muchos, la lectura del movimiento de este mercado se centra en unos orígenes donde proliferaron los emisores de certificados, y donde faltaba una auténtica autoridad (con capacidad y fiable) que los emitiese. Ahora, sin embargo, “se puede vislumbrar un futuro ‘por construir’ apoyándose en las dos grandes iniciativas políticas antes mencionadas: el DNI electrónico y la facturación electrónica”, concluye Carlos de Vicente, Product Manager de Realsec. 2007 nº 14 Entrevista “Un plan director se justifica porque la Seguridad Tecnológica es una disciplina compleja” Javier Serrano Director de seguridad informática del Banco Sabadell diciendo “es que mi otro banco no me pone tantos problemas”. Esta es una gran ayuda que las administraciones públicas pueden llevar a cabo en cada país: “forzar” a que los ciudadanos acepten estas medidas y vean que no es algo impuesto por una determinada entidad financiera, sino algo impuesto por el Estado. con los paraísos fiscales, veremos paraísos del delito tecnológico. Nos seguiremos encontrando con las mismas situaciones que nos encontramos dentro de otros ámbitos. ¿Cuál es la situación actual en el sector financiero respecto de las nuevas tendencias de malware, particularmente a la hora de enfrentarse a problemas como el phishing? Desde el sector, intentamos atacar el problema desde varios frentes. En primer lugar, existe colaboración entre las propias entidades financieras, algo que a veces no es del todo visible. Las entidades financieras trabajamos conjuntamente para determinar las mejores prácticas, compartir experiencias, y luchar conjuntamente contra el malware. Como todos los grandes problemas, el malware debe ser atacado con medidas y soluciones múltiples. Una de estas medidas consiste en mejorar los sistemas de autenticación. Confiamos, en este sentido, en el uso del DNI electrónico, aunque sabemos que no es la única solución. Igualmente, estamos empezando a adoptar el uso de otros certificados digitales. Disponemos además de otros mecanismos como pueden ser la educación del usuario, mecanismos de detección de anomalías en el acceso a la banca electrónica (como por ejemplo envío de parámetros diferentes a los que espera la aplicación) y finalmente mecanismos de detección y prevención del fraude por anomalía en los comportamientos. Estas son las principales medidas. ¿Que relación existe entre el riesgo operacional y la seguridad tecnológica? La seguridad tecnológica es parte intrínseca del riesgo operacional. Todas las entidades financieras estamos sometidas a la regulación de Basilea II, que entre otras cosas pretende regular y medir el riesgo operacional de las entidades financieras; dentro del riesgo operacional, el riesgo asociado a la seguridad tecnológica forma parte de este que llamamos “riesgo operacional”. En nuestro caso, estamos coordinados con nuestra dirección de riesgo operacional 62 para incluir todos los controles y análisis de riesgos de seguridad tecnológica dentro de los riesgos y los cálculos a los que nos obliga Basilea II para la medición del riesgo operacional. ¿Cómo pueden contribuir la regulación y la colaboración a la reducción del riesgo y el fraude? En el momento actual, hay países que sí disponen de regulaciones relativas a la obligación de utilizar determinados mecanismos de seguridad y muy concretamente en el ámbito de las entidades financieras, como EEUU o algún país asiático. Es cierto que la falta de homogeneización de las regulaciones de los diferentes países no deja de ser una ventaja para las organizaciones criminales. Pero hemos de tener en cuenta que esto ocurre también con otro tipo de delitos más convencionales, como por ejemplo el tráfico de armas, de drogas, etc. Aún así, se observa una tendencia para ir solucionando estos problemas. En Europa contamos desde hace algunos años con la Agencia de Seguridad Europea. A nivel nacional, se acaba de formar la figura del fiscal dedicado a la persecución de los delitos en el mundo electrónico, reconociendo justamente las dificultades que emanan del hecho de que internet sea un medio transfronterizo y la existencia de diferentes regulaciones. Confiamos en que este tipo de medidas vaya evolucionando. No obstante, actualmente debemos confiar en la iniciativa de empresas privadas globales que nos proveen de mecanismos para hacer frente a este tipo de delitos. Podríamos decir que la iniciativa privada va por delante de la iniciativa pública, porque coordinar a todos los países para que todos actúen en un frente común contra este tipo de delitos va a ser poco menos que imposible. Por mucho que poco a poco determinados países vayan añadiendo este tipo de soporte legal y organizativo, continuarán existiendo países pequeños donde, al igual que ocurre 2007 nº 14 Aparte de la educación del usuario, ¿qué otros aspectos cabe mejorar? ¿Cómo se puede tratar de involucrar a la administración pública, que además de regular lograse también mantener un cierto control? Soy un poco pesimista en cuanto a que las entidades financieras esperamos que las diferentes administraciones públicas nos solucionen el problema. Creo que somos las propias entidades financieras las que debemos solucionar el problemas por nosotras mismas. Después, cuantas mayores iniciativas existan por parte de la administración pública, ya sean nuevos organismos que persigan estos crimines o nuevas regulaciones y legislaciones, bienvenidas serán. Las estrategias son fundamentalmente dos: por un lado, se debe mejorar los mecanismos de autenticación y pasar a mecanismos de autenticación fuerte, porque está claro que los mecanismos de autenticación actuales no son suficientes; al mismo tiempo, debemos complementar estos mecanismos de autenticación fuerte con sistemas de detección y prevención del fraude. En este sentido la ayuda que podría proporcionar la administración pública consiste en redactar regulaciones que “obliguen” a los clientes y usuarios a adoptar determinados mecanismos de seguridad: el ciudadano debería ver que estos mecanismos son impuestos por la administración más que por las administraciones financieras, ya que esto último a veces puede provocar un rechazo. De esta forma, la ayuda de estas administraciones consiste por un lado unificar los sistemas y obligar a las entidades financieras a no tener que pensar cuál debe ser el mecanismo que deben utilizar, y al mismo tiempo a que todas las entidades lo hagan de manera coordinada. De lo contrario, se puede producir el efecto que hemos venido observando: a veces, cuando hemos activado una medida de seguridad más avanzada, el cliente la ha rechazado 2007 nº 14 ¿Es necesario realmente traspasar al cliente la responsabilidad y carga sobre la Seguridad para el uso de estos servicios con las nuevas tecnologías? Es paradójico: el que ha perdido el dinero está por supuesto a favor de este tipo de medidas, pero la gran mayoría de los usuarios que aún no lo han sufrido en sus carnes quieren cosas sencillas. Sigue habiendo una falta de cultura general. En Europa, los clientes de banca electrónica de muchos países ya están acostumbrados desde hace años a utilizar este tipo de mecanismos de autenticación fuerte y no les es extraño que su entidad financiera les dé un token, mecanismos que aquí en España, por tener una cultura diferente, el cliente ve como un engorro, como un problema que le entidad financiera quiere trasladar al cliente. Ocurre algo similar a las medidas impopulares de los aeropuertos, pero en este caso como al final ha venido regulado por un ente superior, todos lo aceptamos. Hay dos formas de educar: a través de consejos y formación, o una culturización drástica a través de decretos o leyes, como en este último caso. ¿Qué motivos existen para la realización de un plan director y qué beneficios se pueden obtener? Desde nuestro punto de vista, la realización de un plan director se justifica porque la seguridad tecnológica es una disciplina compleja que se basa en la identificación de múltiples riesgos; muchas veces las empresas tienen soluciones de seguridad incompletas. La realización de un plan director implica que la empresa que lo realiza va a pasar a disponer de una seguridad de 360 grados, que le permitirá utilizar las mejores prácticas y estándares internacionales, y por tanto va a tener que implantar toda una serie de controles que hasta ahora se habían pasado por alto. El plan director tiene otros beneficios añadidos: es un camino que permite llegar a la certificación de nuestro sistema de gestión de la seguridad más fácilmente, ya que incrementa la madurez de nuestro sistema de gestión. Es posible llegar a tener una certificación facilidad, un aspecto que los clientes saben valorar. Nosotros, como clientes, estamos obligando a nuestros proveedores a que se certifiquen sus sistemas de seguridad de la información. El plan director abre un camino por el que de manera natural las empresas se van acercando a esa certificación. Además, un plan director marca toda una serie de proyectos y la hoja de ruta para los próximos años, con lo cual la forma de desplegar la seguridad es mucho más planificada: existe una cartera de proyectos distribuida a lo largo de tres o cuatro años que permite tener claro lo que se quiere hacer. 63 Entrevista ¿Qué beneficios puede tener en un plan director un cuadro de mando con indicadores? Desde mi punto de vista, un cuadro de mando es fundamental. Yo no concibo un plan director que no disponga de unos indicadores que vayan midiendo la evolución de ese plan en periodos previamente fijados, preferiblemente cada tres meses. Y no hablo de medir el avance de los proyectos, sino la consecución de los objetivos de los controles de seguridad relacionados con cada uno de esos proyectos que nos permitirán medir la eficacia de ese plan director. Es decir: medir si realmente está llegando a esos objetivos o no. De lo contrario, el plan director carece de sentido: habremos invertido un dinero para un plan que se nos quedará obsoleto. No basta tampoco con un cuadro de mando. Añadiría, también, la necesidad de contar con una metodología para la gestión de ese sistema de seguridad y para el marco de seguridad. Carecer de una metodología que nos indique qué hacer cuando cambian los sistemas y aparecen nuevos riesgos o cuando externalizamos una parte de nuestros sistemas de información (para los que había determinados unos controles y objetivos de seguridad que ahora están en manos de un proveedor externo) es un sinsentido: sin esa metodología y ese marco de referencia de seguridad, nuestro plan director se quedará obsoleto. ¿Cuáles son los factores claves para el uso de estas metodologías? En mi opinión, el factor fundamental es que la metodología de análisis de riesgo sea sencilla de aplicar, dentro de la complejidad que implica aplicar una metodología de análisis de riesgo: sencilla y, sobre todo, que se logre mantener. He visto casos de proyectos de análisis de riesgos en los que tanto por el número de activos como por la falta de rigor en la metodología, el proyecto se podía mantener durante un periodo de tiempo muy corto. Es perentorio ver con claridad cómo vamos a mantener ese sistema en el tiempo. ¿Qué beneficios puede aportar la Seguridad para el negocio, es decir, cómo aportar valor y negocio mediante la Seguridad, sobre todo en el sector de la banca? Al menos en nuestro sector, resulta cada vez más sencillo justificar la seguridad y aportar valor. Tenemos claros ejemplos de servicios y productos que únicamente con seguridad pueden ser librados a los clientes. Aquí la legislación y la regulación juegan un papel clave. Consideremos ciertos aspectos, como la firma electrónica, los contratos electrónicos, la facturación electrónica, etc. todos ellos, intrínsecamente, son mecanismos de seguridad aplicados. La mayor parte de estos servicios no pueden entregarse al cliente si no existe una garantía de seguridad. Aquí es donde claramente la Seguridad aporta un valor al negocio: nos dotamos de seguridad para poder dar servicios que de otra manera no podríamos ofrecer y diferenciarnos así de la competencia. Otra forma de crear valor es que si justificamos delante de nuestros clientes que disponemos de ciertas medidas de seguridad, tendremos más oportunidades de que estos clientes confíen en nosotros para realizar una serie de operaciones. Estamos hablando de grandes clientes, que en muchas ocasiones son clientes que en el caso de una entidad financiera exigen saber qué sistemas de seguridad existen, qué auditorías ha pasado, con qué resultados, etc. Eso puede ser la diferencia entre seleccionar una entidad financiera u otra. 64 ¿Cómo podemos medir el retorno de las inversiones en seguridad? La valoración del retorno de la inversión en planes o controles de seguridad debe abordarse igual que se calcula el valor de una empresa es decir: no se trata más que de medir los flujos de caja, los beneficios que se van a obtener en el futuro. Para medir el retorno de la inversión en seguridad podemos utilizar los algoritmos de cálculo que ya se utilizan en el cálculo de riesgo operacional que nos viene impuesto con Basilea II. En el fondo, no se trata más que prever, por el hecho de implantar unos determinados controles de seguridad, cómo van a disminuir nuestros riesgos y cómo va a disminuir el impacto económico de los mismos. Para medirlo, debemos formular la hipótesis de qué pérdidas vamos a tener antes de implantar un control de seguridad en caso de desastre, qué impacto económico va a significar, y posteriormente realizar el mismo cálculo una vez implantado el control de seguridad. Esa periodificación y suma de las pérdidas con y sin seguridad nos dirá cuánto vamos a ahorrar implantando ese control de seguridad: lo sumamos, lo comparamos con la inversión realizada en seguridad, y a partir de ahí podemos obtener una cifra de cálculo del retorno de la inversión. Es decir: se puede calcular en términos financieros, que es como las empresas están acostumbradas a realizar los cálculos de retornos de inversión. A esto habría que añadir factores imponderables como la imagen pública, que no se puede valorar como un impacto económico. Se trata de utilizar formulas económicas, de utilizar el mismo lenguaje que utiliza la empresa para cálculos de inversión. ¿Podría hablarnos de la seguridad en Web 2.0? La seguridad en Web 2.0 es algo que debe ser tenido muy en cuenta por las entidades afectadas. Web 2.0 implica que los contenidos son puestos en los servidores de internet por parte de los propios internautas y eso tiene unas connotaciones de seguridad importantes. Todos los contenidos deben ser filtrados para evitar que las aportaciones de los usuarios puedan contener código malicioso; deben imponerse filtros para que los contenidos no contengan imágenes protegidas por la propiedad intelectual o cuando menos disponer de las cláusulas necesarias para evitar responsabilidades; debemos incluso tener en cuenta los contenidos difamatorios que pudiesen incluir estos usuarios dentro de las aportaciones que se hacen en páginas Web 2.0. Hasta ahora teníamos una serie de riesgos. Con la aparición de la Web 2.0, existen nuevos riesgos que exigirán el filtrado y análisis de los contenidos para evitar riesgos de seguridad. Web 2.0 significa, de golpe, la inclusión de nuevos riesgos en el mundo de internet. 2007 nº 14 Entrevista “Nos especializamos en los problemas en TC más serios, creando soluciones especificas” Por lo tanto Sonicwall potenciará considerablemente el mercado de la venta al por menor, lo que significa que podremos ofrecer: aplicaciones para gobierno, aplicaciones de seguridad, aplicaciones móviles, aplicaciones de recuperación de desastres, etc. Hoy por hoy comenzamos a tener en una serie de nuevas oportunidades tanto para nosotros como para nuestros socios de negocio. Desde el año pasado, ampliamos nuestra oferta con los productos de seguridad además de nuestros dispositivos VPN tradicionales. Hemos introducido e integrado por completo la adquisición de Mail Frontier, que es una línea completa de seguridad para el correo, con firewalls para eliminar el spam, y este producto nos abre nuevas oportunidades de negocio para diferentes tipos de clientes que no teníamos en el pasado, Además, tenemos el Continuous Data Backup, nuestra tercera línea de productos, que se está expandiendo muy rápidamente. ¿Qué puedes decirme sobre el nuevo acceso seguro para toda la red inalámbrica? Creo que la clave de este producto es el hecho de que nuestros clientes más grandes tienen 50% de sus redes en SL y 50% no pueden obtener el SL o usan alguna conexión satélite, lo cual resulta muy costoso. Ahora, con esta tecnología, somos capaces de ofrecer a nuestros clientes que usan 3G, una solución sencilla, flexible y fiable; ya que está construida sobre la misma base del teléfono móvil, siendo, a la vez que intuitiva muy estable. Así, pensamos que a lo largo 2007, muchas de las empresas adoptarán este tipo de soluciones para al menos alguno de sus negocios, sobre todo cuando precisen aplicaciones de negocios que requieran un importante nivel de confidencialidad. De esta manera, un HSTP especializado llegará a ser más utilizado en Europa, y se verá un incremento en la demanda de estas soluciones en clientes que busquen una conexión más confiable para la pequeña empresa. John Gordineer Product Manager Sonicwall La compañía fundada en 1991, especializada en diseñar, desarrollar y fabricar soluciones de gestión y directivas, seguridad para redes, acceso remoto seguro, seguridad de correo electrónico y Web y protección de datos continua. La completa gama de soluciones de SonicWALL, que incluye productos basados en dispositivos y servicios de suscripción de valor añadido, proporciona soluciones para protección de datos e Internet de calidad empresarial sin comprometer el rendimiento de redes. Para saber un poco más de la actualidad de la compañía e.Security pudo entrevistar a uno de sus principales responsables. 66 2007 nº 14 ¿Cuál es la situación actual de Sonicwall y qué está preparando para los próximos meses? Sonicwall tradicionalmente ha tenido mucha fuerza en el Mercado a través de los distribuidores; por ejemplo, a una compañía con 500 tiendas SonicWall le proporciona la seguridad para la conexión y la VPN de manera remota, pero que es completamente manejable utilizando un software de administración global. Por lo tanto es una muy buena solución para el Mercado de la venta a través de distribuidores. Tenemos grandes dispositivos de firewalls y toda una concentración por detrás de la VPN hacia el lado central, así que se genera en una red de venta al por menor. Nuestros clientes más grandes son de este tipo y la mejor área de conocimiento de SonicWall se encuentra en la más pequeña red de menos de 1000 personas en un solo lugar. Estas redes son utilizadas por grandes compañías que tienen muchas redes pequeñas, de esta manera se convierte en un área de negocio tradicional para SonicWall. De manera que el producto que estamos anunciando nos permite expandir el mercado de venta al por menor de forma importante, porque si piensas en esos clientes, más de la mitad de ellos usan la red de 3G que les permite conectarse a todas sus tiendas, y eso es algo que no podían hacer en el pasado. 2007 nº 14 ¿Qué Ventajas aporta este dispositivo? Considero que lo más importante para Sonicwall es especializarse en los problemas en TC más serios y por ello, creamos soluciones que están enfocadas a las oficinas remotas o a los pequeños negocios, intentado facilitarles la tarea y automatizando de la mejor manera posible todos esos procesos como las actualizaciones de los nuevos virus, spyware, las firmas IPS, etc. Nuestra intención es que se necesite conectar una vez y después se mantenga protegida la red sin demasiadas preocupaciones. Una de las razones por las que nos hemos convertido en líderes en el mercado es porque hemos distribuido más unidades que cualquiera exceptuando a Cisco, en esta área en todo el mundo ¿Cuál es el nivel de seguridad que este dispositivo alcanza? Este dispositivo tiene un paquete completamente integral que proporciona la máxima seguridad a sus usuarios. Por ejemplo, puede ofrecer un control completo de las aplicaciones y de esta manera permitir el acceso a Yahoo Instant Messenger, pero no a eDonkey o cualquier otro. Además todos los paquetes han sido inspeccionados por completo de firmas, por lo que la complejidad es mayor y podemos encontrar más fácilmente amena zas y defender mejor el tráfico de información. 67 Entrevista Actualmente soportamos 5000 firmas de virus, 2000 firmas IPS, más de 500 firmas de spyware que incluyen las amenazas más peligrosas que se conocen. ¿Cómo trabajará esta herramienta en el futuro con las amenazas que no se conocen? Una de las cosas que hicimos en el pasado fue asociarnos con McAfee para proveer un dispositivo de administración de virus durante muchos años, por lo que hemos aprendido de cómo trabaja el mundo de los virus a través de ese partnership. Lo que hemos observado es que hay una serie de virus que han sido reportados, y en el primer periodo de 24 horas la gente comenzaba a reportar virus. Los creadores de soluciones se dieron cuenta del problema y entonces McAfee, Symantec y Microsoft desarrollaron las firmas y después de un periodo de tiempo de 24 horas crearon un parche, lo probaron en todos los sistemas operativos, en muchas versiones de Windows, en dispositivos Mac, etc. y finalmente lanzaron el parche y llegado ese punto el número de reportes ya había disminuido porque el software del escritorio se actualizaba con el último software automáticamente. Con esto queremos decir, que nosotros encontramos la solución al mismo tiempo que ellos, porque todos los fabricantes ante el problema, comenzaron a juntar diferentes firmas y aumentar el número de clientes. Pero Sonicwall pudo hacerlo porque tiene solo una plataforma, un sistema operativo y de esta manera podemos lanzar nuestros archivos más pronto que los grandes fabricantes, porque nosotros tenemos un grupo de ingenieros que trabajan en esta comunidad para conocer sobre esos problemas así que podemos responder ante ello mucho más rápidamente, por lo tanto, tenemos un servicio de actualización continua, así que en el momento en el que lanzamos las firmas las manda al firewall. Creo que la protección de día cero es una cuestión muy engañosa, por eso lo que nosotros ofrecemos es una protección rápida y eficaz a nuestros clientes. ¿Cómo ves el futuro de la seguridad, será una seguridad administrada remotamente o la manejarán directamente los clientes? Estamos viendo en EE.UU. y el resto del mundo que se está siguiendo el modelo de tener a integradores de sistemas certificados de Sonicwall, para así, ajustarse a las necesidades de negocio de los clientes. Es decir, ellos quieren tener a un experto en seguridad dentro del personal de IT que instale los productos de Sonicwall y que trabaje en la misma línea. Esta es la manera en la que observamos que va el futuro. Normalmente hay un distribuidor que vende el producto y desaparece, esa no es la manera en la que se debe de trabajar; el modelo del futuro es un integrador de sistemas o un proveedor de soluciones que además de vender los productos ofrezca los servicios de suscripción, la instalación y se convierta en un apoyo de confianza para el cliente que sea consultado para cualquier asunto referente a la seguridad de sus redes. Al respecto, hemos visto que nuestros partners han sido muy exitosos al día de hoy porque han sido capaces de construir ese valor añadido en su labor para el cliente. Si lo piensas, los líderes del mercado, especialmente para las Pymes son Sonicwall, Cisco y Juniper, y creo 68 “El modelo del futuro es un integrador de sistemas o un proveedor de soluciones que además de vender los productos ofrezca los servicios de suscripción, la instalación y se convierta en un apoyo de confianza para el cliente que sea consultado para cualquier asunto referente a la seguridad de sus redes” que parte de ese éxito está en la relación tan estrecha que mantenemos con nuestros socios de negocio. ¿Incrementareis el número de distribuidores para vender estás nuevas herramientas? Una de las ventajas que tenemos en las adquisiciones que hemos hecho es que hemos añadido una nueva línea de seguridad para el correo electrónico y será distribuida por el mismo equipo de canales que tenemos para brindarles la oportunidad de que en lugar de que vendan 2,000 dólares, ahora pueden tener ingresos por 5,000 dólares o 10,000 si añadimos los servicios. De esta manera les damos la oportunidad de incrementar sus negocios. Además buscaremos nuevos canales que sean expertos en seguridad del correo electrónico y los convertiremos en distribuidores de seguridad en redes. ¿Cuál es la situación de Sonicwall en Latinoamérica? En Latinoamérica tenemos varios equipos, uno en México, otro en Brasil, de hecho estos países representan el mayor crecimiento en la región para nosotros, pero Brasil es el más importante en términos de ingresos, este mercado maneja dinámicas más parecidas a las europeas. En estos dos países se encuentran nuestros más grandes clientes en Latinoamérica. En Brasil tenemos más clientes en el gobierno, por ejemplo hemos implementado un proyecto en múltiples unidades del sistema escolar de Brasil. Realmente en este mercado ha habido una muy buena aceptación del sistema de administración de Sonicwall para proteger la información. 2007 nº 14 Entrevista “Nuestro objetivo es situarnos como uno de los proveedores referentes del mercado de la Seguridad” la Seguridad, y después de España, es claramente la zona dónde voy a dirigir gran parte de nuestros esfuerzos. ¿A nivel de productos existe una verdadera integración de las soluciones de RSA en EMC? ¿Qué aspectos se están aprovechando de la estructura que tenía RSA? En lo que respecta a la integración, sí se puede hablar de una integración completa, ya que RSA es la división de Seguridad de EMC. En cuanto a sinergias, es una tarea que estamos realizando en la actualidad. EMC aprovecha toda la parte del Branding, que es una marca muy poderosa, además, de conservar todo el I+D, el soporte y también la comercialización desde el punto de vista especialista. Lo que ocurre es que la estructura comercial de EMC ya tiene responsabilidad con cuota efectiva de forma individual y por países y llegando hasta el nivel comercial en el área de Seguridad, con lo cual, lo que estamos haciendo es un gran despliegue de esta propuesta de valor dentro de los clientes de EMC, lo que nos da una permeabilidad en el mercado enorme, aunque todo ello será cuestión de tiempo, pero vamos por buen camino. ¿Cómo veis el nivel de preparación del usuario en España en el área de la Seguridad? El usuario a nivel empresarial está absolutamente preparado, de hecho, la demanda por su parte es enorme, aunque nosotros nos dedicamos básicamente a 4 ámbitos: proteger la información y datos empresariales, autenticación fuerte, servicios antifraude dentro de las transacciones electrónicas y por último, la gestión de ¿Cuál es la situación actual de RSA después de haber sido adquirida por EMC, cuál ha sido su estrategia pasada y cuál va ha ser su estrategia a partir de ahora? Si hablamos de Emea, fuera del ámbito ibérico e italiano, nuestra estrategia actual es claramente la creación de una estructura que acompañe la estructura que ya tiene desarrollada EMC y que corresponda al actual crecimiento de la compañía, con el respectivo soporte y apoyo en esas zonas dónde la economía en desarrollo permite grandes oportunidades. E.security quiso conocer más en detalle los cambios tras la adquisición y no desperdició la ocasión de entrevistar a Roberto Llop, el Director General de RSA EMEA, quién de forma clara y abierta respondió a nuestras preguntas ¿Cuál crees que va a ser el país, dentro de la zona de la que diriges, que va a dar mejores resultados y en el que estáis haciendo más fuerza? El país que tiene mayor potencial por su situación y economía en este mercado de la Seguridad es sin duda España. Existen otros países como Italia con buenas posibilidades pero dónde ya tenemos una posición bastante firme y eso implica quizás menos potencial de desarrollo. También la zona de Dubai, dentro de los Emiratos Árabes, ofrece un enorme potencial dentro del mercado de 70 En cuanto al resto de normativas, al no existir una gran claridad como en el caso de Estados Unidos, lo que vemos es que hay es una demanda de soluciones a nivel puntual para ser aplicables, por ejemplo, en las empresas reguladas por SOX (Sarbanes Oxley), están contemplando el cifrado de backup, que va ser una normativa que se va a tener que cumplir de forma obligatoria a muy corto plazo. Por otro lado, intentamos asistir al máximo de foros internacionales posibles, sobre todo de cara a la administración pública, para contribuir en cuanto a armonizar normativas que se puedan aplicar de la forma más general posible. La manera en que vamos a llegar a todos los puntos a los que queremos llegar se basa en la misma estrategia que llevamos haciendo desde hace ya algún tiempo, es decir por el mundo del partner (canal y mayoristas), como son por ejemplo Afina e ITway, de forma a apoyarles al máximo en lo que podamos. Esta línea nos parece buena y vamos a continuar desarrollándola. En lo que respecta al mercado italiano nuestra posición es bastante más sólida y consolidada, ya que estamos allí desde el año 2000. En cuanto al mercado ibérico, realmente RSA ha visto una mejora desde la compra por parte de EMC. Ahora lo que estamos haciendo es la creación de un equipo conjunto y trabajando para que se nos distinga dentro del mercado de la Seguridad. 2007 nº 14 ¿Cómo ves, en términos de regulación legislativa, las distintas zonas de las que te encargas? En términos de regulación, la zona que yo llevo concretamente, hay una disparidad de criterios enorme. Hay alguna normativa en la que estamos trabajando de forma armonizada como por ejemplo la iniciativa de la Comunidad Europea en cuanto a la retención de datos para los operadores de telecomunicaciones, dónde si bien la normativa todavía no se está aplicando, si que existen unos plazos que cumplir, y por ello, estamos abordando una solución que pueda aplicarse de forma global y no sólo en algunos países. ¿Cuál es actualmente vuestro principal objetivo, qué servicios pensáis proponer? Una vez tomada la decisión firme de invertir en el mercado español, y formar el equipo para poder prestar los servicios estipulados, nuestro objetivo prioritario, es el dar a conocer nuestra apuesta efectiva y decidida en dicho mercado, lo que se traduce en que los clientes están percibiendo nuestra presencia de forma mucho más consistente y activa. Queremos que el mercado se acostumbre a nuestra presencia y que se cuente con RSA como uno de los proveedores referentes dentro de la Seguridad en los cuatro ámbitos que he citado anteriormente y que son los que cubrimos actualmente. Roberto LLop, Director General de RSA España, Portugal África, Oriente Medio, Italia (EMEA) RSA adquirida recientemente por EMC se ha convertido en la División de Seguridad de la compañía, y es el principal proveedor de soluciones de seguridad para la aceleración de los negocios. RSA ofrece soluciones especializadas en seguridad de identidades y control de acceso, cifrado y gestión de claves, cumplimiento y gestión segura de la información así como en protección frente al fraude. Todas sus soluciones protegen millones de identidades de usuarios, transacciones realizadas y datos generados. eventos de Log y el cumplimiento regulatorio. En todas estas áreas, la demanda es muy grande y el usuario está muy concienciado de la importancia y necesidad de la Seguridad, tanto a nivel corporativo como de la administración pública. En cuanto a nuevas áreas de servicios, por el momento no pensamos ampliarlas. Si hablamos, por ejemplo, del área de servicios gestionados, para nosotros se trata de un área sumamente importante, ya que nos da acceso a mercados que de una manera directa no podríamos cubrir. De hecho ya tenemos un área de servicios gestionados a través de telefónica que es un gran partner nuestro y del que estamos muy satisfechos. Con lo cuál por el momento no queremos entrar en esos mercados, sino al contrario, ofrecer todo nuestro apoyo para que nuestros partners puedan seguir creciendo. 2007 nº 14 71 Formación Programa de cursos para Octubre Stonesoft, presenta su calendario de cursos de formación para el mes de octubre. Con esta iniciativa pretende facilitar el conocimiento detallado de su solución, StoneGate, así como las funciones básicas y avanzadas de sus distintas configuraciones. Así, la compañía tiene previsto impartir en sus oficinas de Madrid los cursos: Fundamentos e Implementación de StoneGate FW/VPN v 4.0 (15-16 de octubre), para instalar y administrar el firewall de StoneGate, contemplando aspectos tales como traducción de direcciones, autenticación, encriptación y monitorización, sin olvidar la elaboración de informes sobre la actividad del firewall y la creación de túneles VPN. Implementación Avanzada de StoneGate FW/VPN v 4.0 (17-19 de octubre), para llevar a cabo una gestión avanzada de múltiples sistemas cortafuegos, donde aspectos como el clustering y el balanceo de carga juegan un importante papel. La gestión de múltiples ISPs, la aplicación de políticas de calidad de servicio o la creación de túneles VPN clusterizados mediante la tecnología Multi-Link son otros de los objetivos que persigue el curso. Fundamentos e Implementación de StoneGate IPS v 4.0 (29-31 de octubre) Se analizarán los aspectos básicos referentes a ataques a redes y detección y prevención de intrusiones, además de conocer el por qué de la utilización de sensores y analizadores de redes, proporcionando una visión general sobre las características principales de StoneGate IPS. El curso se divide en dos unidades temáticas que comprenden la presentación de una parcela concreta y un ejercicio de laboratorio con el fin de trasladar a la práctica los conocimientos adquiridos. La propuesta de Magirus Plan de formación de Afina Magirus, proveedor especializado en soluciones e infraestruturas TI, virtualización, seguridad y networking, sigue firme en su apuesta de ofrecer al canal una amplia formación en las tecnologías más solicitadas del mercado. El distribuidor de valor añadido especializado en soluciones y servicios globales para Internet/Intranet, presenta su completo plan de formación en últimas tecnologías para el mes de octubre. Así, Afina ofrece la posibilidad de recibir formación oficial de de Check Point con la celebración del nuevo curso Check Point Security Administration NGX III del 22 al 26 de octubre en Madrid. Para ello, de la mano de sus principales partners, el mayorista acaba de anunciar una completa agenda durante el mes de octubre. De Check Point, el curso Firewall I Management II (CCSE) -los próximos 24 y 25 de octubre en Madrid. Con el apoyo de Juniper Networks se celebrarán los siguientes cursos: el NetScreen Advanced VPN Implementation (NAVI) el 22 y 23 de octubre en madrid, y Configuring NetScreen Secure Access (NSA) el 29 y 30 de octubre en la misma ciudad. De la mano de VMware será el protagonista de los cursos de formación Virtual Infraestructure 3: Install & Configure, que se celebrará en Madrid del 23 al 26 del mismo mes; VMware Infraestructure 3: Deploy, Secure & Analyze –del 16 al 19 de octubre en Madrid- y VMware Infraestructure 3: What’s new –los días 30 y 31 de octubre, también en Madrid. 72 Igualmente, se ofrece la posibilidad de obtener la formación oficial de F5 a través de tres cursos. El curso Fire Pass v6.x permite instalar y configurar un FirePass, así como obtener acceso seguro a las distintas aplicaciones, y administrar, monitorizar y mantener un servidor de este tipo. Este curso tendrá lugar en Barcelona, del 16 al 18 de octubre, y el curso de Certificación Big IP F5, que incluye los cursos Big IP Administration and Installation y Big IP Advanced, del 15 al 19 de octubre en la capital. También destaca este mes la formación oficial de Packeteer con la celebración del curso Packeteer Advanced Traffic Analysis & Troubleshooting v8.x, del 16 al 19 de octubre en Madrid. Dentro de formación VMware, ofrecerá el curso Infraestructure 3 Install & Configure, que tendrá lugar del 23 al 26 de octubre en Madrid y mediante el cual el alumno podrá conocer en profundidad y de forma eminentemente práctica la tecnología VMware, obteniendo a su finalización la acreditación VCP (VMware Certified Professional). 2007 nº 14 Soluciones y Servicios Una solución de seguridad para entornos ofimáticos y Pymes Nace CryptoAppliance@zitralia fruto de la colaboración entre Sun Microsystems y la española Zitralia, una solución de bajo coste que reduce el TCO (Coste total de la propiedad) al tratarse de un appliance que integra una solución de almacenamiento con otra de seguridad. Se trata de una solución eficaz frente a accesos ilegítimos que conlleven robo de información. Ofrece protección frente accesos fraudulentos de usuarios administradores y contempla la posibilidad de realizar clasificación departamental de información confidencial, de realizar backups cifrados y, sobre todo, facilita cumplir con la LOPD automáticamente. Es un producto integrado en la factoría de Sun Microsystems en Linlithgow (Escocia) que ofrece en un único part-number: Un servidor Sun X2100M2 con procesador AMD Opteron de doble núcleo, 1GB de RAM y 2 discos duros Serial ATA de 500GB –configurados en espejo-, junto con el sistema operativo LIME Server de Zitralia –Linux fortificado con tecnologías propias de protección del kernel o núcleo del sistema operativo-, incluyendo el blindaje del núcleo y la tecnología de cifrado físico de los discos duros y de cifrado lógico de la información proporcionadas por LIME CryptoFiles. El producto está enfocado para su implantación en entornos ofimáticos departamentales y en pymes, quienes necesitan por un lado, cumplir las leyes de protección de datos –que exigen cifrado de la información personal sensible, como nóminas, currículums vitae de candidatos, información personal de los empleados (números de cuenta, domicilio, etc.)- y por otro, impedir robos de información: espionaje industrial, propiedad intelectual, filtraciones, etc., incluso del propio administrador del sistema (root), y así proteger de manera real, sencilla y efectiva el activo más valioso para cualquier negocio: su información. Los datos de departamentos de Recursos Humanos, Financiero, e incluso de I+D, resultan bajo este enfoque, candidatos más que razonables para recibir el nivel de protección ofertado por CryptoAppliance@zitralia X2100 M2. Las situaciones anteriormente descritas aumentan cada día y la protección se hacen incluso más necesaria cuando las compañías externalizan –dado el enormes ahorro de costes- sus sistemas de información y/o la administración de los mismos. Combinando diferentes tecnologías de cifrado La tecnología de Cifrado Físico, cifra cada sector de los discos duros de la máquina, resultando 100% transparente tanto para el sistema operativo como para las aplicaciones, amén de tener un impacto despreciable en el rendimiento del sistema. Mediante esta tecnología estaremos protegidos de ataques físicos, tales como el robo de la propia máquina o de los discos duros. El cifrado Físico protege también incluso de situaciones tan habituales como la sustitución de un disco duro por avería, 74 en las que un técnico de hardware se lleva el disco estropeado –pero que aún contiene toda la información- y lo sustituye por uno nuevo. Dispone de un módulo de autenticación previa al arranque (PBA o Pre Boot Authentication) que asegura al servidor de ser usado por personas no autorizadas. Por otra parte, la segunda tecnología de cifrado que ofrece CryptoAppliance@Zitralia es la que llamamos Cifrado Lógico, ofrece un nivel de protección a nivel de directorios o archivos una vez que la máquina está en producción. El Cifrado Lógico añade una segunda capa de seguridad en el sistema operativo, requiriendo una segunda contraseña –independiente de la del sistema y necesaria no para acceder sino para cifrar y descifrar datos- a los usuarios (incluido el súper usuario o root). El Cifrado Lógico introduce de una manera real el concepto de separación de tareas entre usuario Administrador de Sistemas (root) y usuario Administrador de Seguridad (kadmin), uno de los sueños de los especialistas en seguridad informática. ¿Cómo se logra esta separación? – Por un lado, el administrador del sistema (root) puede personarse como cualquier usuario pero sólo si conoce la contraseña de seguridad del usuario podrá acceder a sus datos. Por otra parte, el administrador de seguridad (kadmin) no puede personarse como cualquier usuario, aunque sí que puede cambiar la contraseña de seguridad de cualquier usuario. Así, se hace necesaria e imprescindible la colaboración de los dos administradores para romper el sistema de seguridad lógico. El producto ofrece a los usuarios, una carpeta personal y otra en la que pueden compartir información cifrada con otros usuarios mediante claves de grupo. Se deben instalar en los PC’s con Windows o Linux un cliente ad-hoc proporcionado por Zitralia que realiza este segundo nivel de autenticación adicional añadido por el Cifrado Lógico ya que no está implementado por defecto en el sistema operativo cliente. Toda la administración de la máquina y el producto se realiza mediante un interfaz Web, y las copias de seguridad de la información se pueden hacer mediante el software habitual, dado que existe un recurso compartido especial que da la posibilidad de leer y escribir –al administrador de backups- los archivos cifrados. Es de destacar, que la información en los backups sigue permaneciendo cifrada. 2007 nº 14 Soluciones y Servicios Llega el servicio pionero de Cajero Móvil de la mano de Banco Sabadell > La entidad financiera lanzará Cajero Móvil un servicio que convierte el teléfono móvil en un “cajero automático” de bolsillo La movilidad en las comunicaciones es una realidad cada vez más evidente. Si a esto añadimos la facilidad –contemplando la Seguridad necesaria– de los servicios que se ofrecen a través de estas tecnologías nos encontramos con propuestas que pueden suscitar un gran interés. Esto es aún más cierto si se trata de una entidad financiera quién tome la iniciativa de ofrecer un servicio pionero y que ayude a sus clientes a obtener la información que necesitan de la forma más cómoda y segura utilizando una de las herramientas, hoy por hoy, más comunes como puede ser el teléfono móvil. De esta forma, el Banco Sabadell, ha desarrollado un nuevo sistema, pionero en España, que permitirá a sus clientes acceder a la información de sus cuentas y tarjetas a través de su teléfono móvil como si de un “cajero automático” se tratara. Con Cajero Móvil cualquier cliente que disponga de un teléfono 3G podrá consultar sus cuentas, tarjetas de créditos e incluso realizar una videoconferencia con un agente telefónico, obteniendo una experiencia visual similar a la que ofrecen los “cajeros automáticos”. Cajero Móvil, cuyo lanzamiento masivo está previsto para el último trimestre de este año, se encuentra actualmente en su última fase de desarrollo, completando la prueba piloto final con un grupo de clientes. El lanzamiento de este nuevo producto tecnológico se enmarca dentro del programa de innovación de servicios Instant Banking y en la estrategia de Banco Sabadell de ofrecer a sus clientes un fácil acceso a las nuevas tecnologías con el fin de mejorar su experiencia como usuarios e incrementar así la utilización de los servicios bancarios con una importante componente tecnológica. Para Pol Navarro, Director de Innovación del grupo Banco Sabadell, “Los bancos buscamos nuevas maneras de mejorar la experiencia de nuestros clientes facilitándoles el acceso a sus productos y servicios a través de nuevos canales y Cajero Móvil es uno de ellos”. Banco Sabadell hará todo lo posible para que los operadores de telefonía móvil contribuyan a el proyecto brindando unas tarifas de acceso al servicio Cajero Móvil que faciliten su uso de forma habitual. El desarrollo de Cajero Móvil se ha llevado a cabo bajo una patente internacional de Nilutesa, sociedad cuyo accionista de referencia es Nicolás Luca de Tena, Presidente de Multiasistencia, y ha contado con la colaboración de Cestel como ingeniería especializada en sistemas interactivos de video contenidos y video llamadas. Banco Sabadell ha dispuesto una dirección en Internet, de libre acceso, http://labs.bancosabadell.com en la que el área de innovación ya está compartiendo información sobre sus más destacadas actividades. 76 2007 nº 14 L a b o r a t o r i o Producto: ISA Ser ver 2006 Compañía: MICR OSOFT CORP. Contacto: WWW.MICR OSOFT.COM El objetivo de este laboratorio es el análisis y evaluación de Microsoft Internet Security and Acceleration (ISA) Server 2006. La solución de seguridad de red integral de Microsoft proporciona funcionalidades de firewall frontera y perimetral de alto nivel, servidor VPN (Virtual Private Network) de acceso remoto, pasarela (gateway) VPN para conexión de sucursales (site to site), funciones de proxy-caché y publicación web, Outlook Web Access (OWA) y SharePoint, en un único producto. Su arquitectura modular permite que se configuren todas sus prestaciones o sólo un subconjunto de ellas, proporcionando una solución de red flexible para todo tipo de negocios. La consola de administración se compone de asistentes que facilitan el proceso de configuración y administración del sistema y convierten la publicación de servicios en un proceso casi inmediato. E l producto evaluado se integra dentro del línea de soluciones para la protección y control de la seguridad corporativa que Microsoft ha denominado Forefront .ISA Server 2006 proporciona acceso seguro y controlado entre redes y funcionalidad proxy caché garantizando capacidades de descarga y respuesta web de alto rendimiento, así como publicación segura para accesos remotos. La implantación de ISA Server 2006 puede hacerse bien instalando el software sobre un servidor independiente o bien se puede adquirir un dispositivo ISA Server 2006 de un proveedor hardware (appliances). Esta última opción combina la solución software ISA Server 2006 con sistema operativo (una versión “securizada” de Windows Server 2003) y hardware optimizado para el mismo. El producto analizado y evaluado en este laboratorio tiene como núcleo un firewall de alto nivel, también conocido como firewall de aplicación. Este tipo de firewalls actúan dentro de la pila de protocolos TCP/IP desde los niveles inferiores hasta el nivel más alto o nivel de aplicación. Esto le confiere la capacidad para tomar decisiones en base al contenido de los datos del paquete aumentando la complejidad de los filtros que son capaces de utilizar y, en consecuencia, aumentando también su eficacia en la detección de intrusiones. ISA Server 2006 inspecciona el paquete de datos antes de que sea procesado por el protocolo de red, gracias a su arquitectura por capas, lo que mejora su estabilidad y rendimiento. Además, esta función se ejecuta en modo kernel lo que aumenta también la seguridad del producto. Figura 1. Funcionalidades ISA Server 2006 78 del contenido de los datos de los paquetes para realizar decisiones inteligentes en base a ellos. Esta función unida al seguimiento del estado de las conexiones de los paquetes que pasan a través del firewall (stateful packet inspection) permite distinguir las conexiones legítimas de las que no lo son. En la parte superior del Servicio Firewall, se encuentran los filtros de aplicación. Por una parte se proporcionan filtros de los protocolos de aplicación más comunes (SMTP Filter, RPC Filter, DNS Filter, etc.) que permiten inspeccionar el contenido de los paquetes provenientes de dichos protocolos y tomar decisiones en base a estos. Por otra parte están los filtros configurables de aplicación (Application Filter API) que tienen como finalidad permitir a los desarrolladores incluir filtros adicionales para adaptarse a nuevas aplicaciones. Por último, destacar que, a diferencia de ISA Server 2000, el Proxy web no es un servicio independiente sino que forma parte de la arquitectura del firewall. Esto permite que pueda beneficiarse de los servicios de seguridad del servicio Firewall así como mejorar su rendimiento. ESPECIFICACIONES FUNCIONALES Figura 2. Componentes de ISA Server 2006 Tal como muestra la Figura 1, al núcleo del firewall se le han añadido otras funcionalidades como el soporte a redes privadas virtuales (VPNs, Virtual Private Networks) tanto conexiones a cliente, como conexiones entre sucursales (Branch Offices o site to site), la función de proxy-caché para la mejora del acceso a Internet y la posibilidad de publicar contenido web a través de un sencillo asistente. ARQUITECTURA Y COMPONENTES En el producto evaluado el modelo de seguridad se ha desarrollado alrededor del núcleo del firewall. La Figura 2 muestra una vista conceptual del kernel de ISA Server 2006, donde pueden distinguirse los componentes que se ejecutan en modo usuario y las relaciones entre los distintos componentes. Los dos componentes que forman el núcleo del ISA Server 2006 son el motor del firewall (Firewall Engine) y el servicio de Firewall (Firewall Service). El motor de políticas o Policy Engine es el componente que decide si se deniega o permite el paquete en curso en base a las reglas almacenadas o Policy Store. El motor de firewall, así como los componentes de red de Windows, se ejecutan en modo kernel. También el motor del firewall accede en este modo al motor de políticas. El procesamiento de estas operaciones en el modo kernel, más seguro y más rápido, permite mejorar el rendimiento, la estabilidad y la seguridad. El analizar los paquetes en etapas tempranas del procesamiento de los mismos posibilita el descarte rápido (sólo analiza cabeceras) sin la sobrecarga de distribuir los paquetes a otra capa para su procesamiento. En este nivel el motor del firewall realiza también detección de intrusiones y de suplantación de IP. Los datos que pasan este primer análisis, siguen subiendo por la pila de red de Windows de forma que el servicio de Firewall (Firewall service) pueda analizar su contenido, en caso de que así se haya definido la política de seguridad. El servicio firewall combina dos funciones: Proxy o filtros a nivel de aplicación (full application inspection) e inspección de paquetes con estado (stateful packet inspection). Los filtros a nivel de aplicación permiten inspeccionar parte 2007 nº 14 En la fase de análisis del producto se han identificado y valorado positivamente las siguientes funcionalidades: Filtrado de datos a nivel de aplicación con inspección de paquetes con estado. Servidor VPN Publicación de servidores Publicación de sitios web, Outlook Web Access (OWA), SharePoint Proxy-caché Facilidades para la mejora del acceso a recursos centralizado para oficinas remotas (Branch office). Servicios de autenticación En relación al filtrado de datos, se ha verificado que el producto evaluado es capaz de detectar ataques a nivel de aplicación y mediante seguimiento del estado de los paquetes. El filtrado de paquetes se puede configurar para cualquier número de redes y facilita la configuración de dos modos: a través de asistentes y permitiendo la configuración de políticas por redes. Además, incluye escenarios de configuración a través de plantillas de red y redes preconfiguradas lo que acelera el proceso de puesta en marcha del software y reduce el número de errores por configuración manual. Los tipos de reglas disponibles son: reglas de acceso, reglas de publicación de servidores y reglas de publicación web. Además, la política de seguridad se puede priorizar y se pueden aplicar a determinados usuarios o grupos de usuarios al integrarse con el directorio activo de Microsoft. En la versión Enterprise se añade a las funcionalidades de firewall, VPN y proxy-caché, la alta disponibilidad, la tolerancia a fallos y la escalabilidad a través de las matrices o arrays de servidores. Una matriz es una colección de servidores con idéntica configuración que permiten, no sólo mantener una alta disponibilidad, sino también realizar balanceo de carga y caché distribuido. Además, las matrices posibilitan la administración de la granja de firewalls como una única entidad, facilitando así su gestión. Para ello, se dispone de un servidor (Configuration Storage Server) en el que se almacena la configuración de los servidores firewalls del array. En la Figura 6 se puede visualizar una configuración con dos servidores en el array. En relación al servidor VPN (Virtual Private Network), la integración con ISA Server 2006, como una red más a gestionar, le permite beneficiarse tanto de las políticas de seguridad como de la administración centralizada del servicio incluyendo, por ejemplo, la monitorización de las sesiones. Las conexiones de VPN se ponen en cuarentena (red predefinida) hasta que se verifica que cumplen la política de seguridad definida. Para permitir acceder a la red a un cliente VPN antes se verifica que es un cliente seguro (antivirus actualizado, firewall personal activado o actualizaciones al día, por ejemplo); en caso contrario sólo se permite que acceda a los recursos necesarios 2007 nº 14 MEJORAS EN ISA SERVER 2006 Administración: Mejora de los asistentes. Mejoras en la gestión de certificados. Mejoras en la propagación de directivas. Publicación de servidores: Asistente publicación OWA mejorado. Nuevo asistente de publicación de SPPS. Soporte para Exchange 2007. Mejoras en la traducción de enlaces. Caché de bits. Balanceo de carga para publicación web. Calidad de servicio mediante filtro web Diffserv. Autentificación: Autentificación LDAP. Single Sign-On. Autentificación basada en formularios para sitios web. Mejoras de control de sesión. Soporte Firewall: Mejorados los asistentes de creación de reglas. Resistencia a ataques por saturación. Mejoras en la recuperación en caso de ataque. para hacerlo seguro (servidor antivirus, por ejemplo). El servidor VPN puede configurarse en los dos escenarios posibles: acceso remoto de clientes a la red corporativa y acceso entre diferentes ubicaciones de la empresa (site to site). Otras de las funcionalidades que incluye el producto evaluado es la publicación de servidores. ISA Server 2007 incluye reglas de publicación de servidor a través de un asistente para permitir el acceso a servicios en redes “protegidas”. También permite la publicación de sitios web en modo seguro (mediante Proxy inverso o reverse proxy) incluido el soporte a la publicación de OWA y SharePoint. La publicación web de ISA Server 2006 incluye las siguientes características: Proporciona acceso vía Proxy a sitio web protegidos por ISA. Realiza una inspección a nivel de aplicación de las conexiones a los sitios web publicados. Redirección de dirección web (URL). Pre-autenticación de las conexiones a los sitios web publicados (Forward Basic authentication credentials) Delegación de credenciales de usuario. Caché inverso de web (Reverse Caching) Publicación de múltiples web con una sola IP. Traducción de enlaces. Soporte a autenticación LDAP, SecurID y RADIUS Posibilidad de planificación de las horas en las que se permitirá acceso a los sitios web. Redirección por puerto y por protocolo. Una de las principales ventajas de publicar los contenidos web a través de ISA Server 2006 es que se realiza una inspección en profundidad de todas las 79 L a b o r a t o r i o peticiones dirigidas a los mismos previniendo que los intrusos los alcancen. ISA Server 2006 permite autenticar a los usuarios antes de que éstos alcancen los servidores web. Esto es especialmente útil en el caso de la publicación de OWA ya que las peticiones no autorizadas quedan bloqueadas antes de que puedan alcanzar el servidor de Exchange. El firewall, además, puede inspeccionar el tráfico para verificar si las peticiones son o no de contenido OWA y bloquearlas en caso necesario. Para el cifrado SSL ISA Server 2006 hace de puente entre el cliente y el servidor OWA. De esa forma, puede descifrar las comunicaciones (SSL), con el fin de inspeccionar el contenido y rechazar ataques, y volverlo a cifrar para enviarlo al servidor OWA en caso de ser peticiones legítimas. De esa forma, ISA Server 2006 puede verificar la conformidad de los comandos SMTP con los estándares, bloquear comandos o mensajes (por tipo, contenido destinatario o remitente) no permitidos o bloquear el tráfico no SMTP. Otra de las funciones que proporciona el producto analizado es la de Proxy-caché. El firewall ISA puede almacenar las respuestas de los sitios web publicados. Cuando un usuario realice una petición de contenido de uno de estos sitios web, ese contenido puede almacenarse en el firewall ISA. Cuando otros usuarios pidan el mismo contenido, éste podrá devolverse desde el propio firewall reduciendo así la carga sobre los servidores web y el tráfico de red interno aumentando el rendimiento global de los recursos corporativos. El proxy-caché de ISA Server 2006 permite tanto almacenar la información desde los servidores web de Internet (forwarding cache) como desde servidores web internos (reverse cache). La integración de esta función con la de firewall, además de proporcionar una interfaz de administración integrada y reducir el tráfico de red, no afecta a la escalabilidad. Esto es debido al uso del protocolo CARP (Cache Array Routing Protocol) que permite balancear las peticiones HTTP entre múltiples servidores proxy caché (RFC 3040). ISA Server 2006 proporciona también facilidades para la gestión centralizada de oficinas remotas (Branch office) proporcionando seguridad en los clientes web proxy, centralizando la administración de políticas de acceso y controlando el acceso seguro a los recursos internos en la oficina central a través de VPN. Entre las funcionalidades disponibles para oficinas remotas cabe destacar: Almacenamiento en caché de las actualizaciones de software para las oficinas remotas (BITS caching) con el fin de reducir el impacto en el ancho de banda consumido por la descarga de las mismas. Compresión del contenido para acelerar la navegación web. Establecimiento de prioridad del tráfico de aplicación a través del uso de Diffserv para controlar el uso del ancho de banda y mejorar los tiempos de respuesta. 80 Por último, el producto evaluado dispone de herramientas eficaces de monitorización y administración integrada que permiten: Centro de control centralizado. Monitorización en tiempo real. Identificación de problemas a través de las alertas. Generación de informes personalizados con gráficos que reflejan diversos aspectos de la utilización del producto y permiten su publicación y notificación por correo electrónico. Almacenamiento de datos históricos en diferentes plataformas (archivo o base de datos). SEGURIDAD Ancho de banda de Internet Hasta 7.5 Mbps Hasta 25 Mbps Hasta 45 Mbps Hasta 90 Mbps Procesadores/núcleos 1 Tipo de procesador Pentium III 750 MHz o superior 1 2 Pentium 4 3.0–4.0 GHz Xeon 3.0–4.0 GHz Memoria Espacio en disco Adaptadores de red Conexiones concurrentes de acceso remoto (VPN) 512 MB 150 MB 10/100 Mbps 512 MB 2.5 GB 10/100 Mbps Xeon Dual Core AMD Dual Core 2.0–3.0 GHz 1 GB 2 GB 5 GB 10 GB 100/1000 Mbps 100/1000 Mbps 150 700 850 2/2 2000 Tabla 1. Especificaciones hardware para una implementación típica. Al igual que sus predecesores (ISA Server 2000 y 2004) la versión 2006 está finalizando1 el proceso de evaluación de seguridad según el estándar establecido por el Common Criteria para el nivel más alto otorgado a este tipo de productos: EAL 4+ (está aprobado a falta de publicar el informe final). Destacar que aún no se ha descubierto ninguna vulnerabilidad a ISA Server 2006 lo que, unido a la certificación de seguridad EAL 4+, lo convierte en un producto altamente seguro. Entre las funcionalidades relacionadas con la seguridad que incluye el producto cabe destacar las siguientes: Incluye documentación sobre los pasos requeridos para la configuración segura tanto del sistema operativo como del producto software. Incluye herramienta de verificación de configuración segura del software. Asistente de configuración segura de Windows 2003. Determina la configuración mínima requerida y deshabilita las funcionalidades del sistema no requeridas. Microsoft Baseline Security Analyzer (MBSA). Permite analizar la seguridad del sistema periódicamente. Proporciona diferentes roles que facilitan para definición de los permisos mínimos requeridos para realizar una tarea. Permite el uso de conexiones cifradas entre clientes y servidores ISA Server. Permite mantener la conectividad de la red cuando se produce una intrusión en la red reaccionando al mismo tiempo para bloquearla (modo lockdown). En lo que autenticación se refiere, ISA Server 2006 permite los siguientes tipos: RSA SecurID. Autenticación fuerte o de 2 factores (Two-factor authentication). Autenticación basada en formularios Delegación de autenticación (NTLM o Kerberos). Certificados digitales. Soporte al directorio activo usando el protocolo LDAP (Lightweight Directory Access Protocol), Soporte a contraseñas de un sólo uso (One-time password) para RADIUS. Además proporciona soporte al inicio de sesión único (SSO, Single sign on). El motor del firewall incluye un conjunto de filtros para reconocer y proteger la infraestructura contra distintos tipos de ataques: Envenenamiento de caché a través de la traducción de enlaces. Ataques por inundación. Ataques basados en opciones IP. Ataques de suplantación IP. Ataques basados en SYN. Ataques OOB (Out-Of-Band). Ataques tipo Land. Ataques IP half scan. Ping de la muerte. Bombas UDP. Escaneo de puertos. Estas funciones se complementan a través del Servicio firewall que, además de aplicar la política definida, actúa como Proxy web, aplica los filtros de aplicación y realiza registro de todos los eventos ocurridos. En relación a la auditoria de seguridad, el producto evaluado almacena los 2007 nº 14 datos en registros de eventos (logs) y proporciona, tanto monitorización en tiempo real de los eventos sucedidos en el sistema como lectura de históricos. Hay dos tipos de registros: a) el registro del firewall con los eventos del motor y del servicio de firewall, b) el registro del Proxy web con la actividad procesada por el filtro de aplicación proxy web. Los registros se pueden almacenar tanto en formato de fichero (formato de log extendido de World Wide Web Consortium, W3C) como en formato de base de datos (Microsoft SQL Server Desktop Engine o una base de datos SQL). FIABILIDAD El software es altamente estable, ya que hasta el momento no se ha descubierto ningún fallo ni vulnerabilidad (no existen actualizaciones software para ISA Server 2006 hasta el momento). En relación a los mecanismos de tolerancia a fallos disponibles, la posibilidad de instalar granjas de servidores con balanceo de carga NLB (Network Load Balance) mejorado permite continuar el funcionamiento de la totalidad de las funciones aunque algunos de los nodos fallen. Por otra parte, la arquitectura modular del software permite que si hay un fallo en el componente Servicio Firewall el motor del firewall siga en funcionamiento ejecutando las funciones principales del producto. En cuanto a la capacidad de recuperación tras un fallo, se proporcionan procedimientos detallados con los pasos a seguir en caso de desastre. Si se configuró NLB para alta disponibilidad, el tiempo de recuperación no influirá en la disponibilidad del sistema, siempre y cuando no fallen la totalidad de los nodos. Por último, el sistema dispone de funcionalidad de copia y recuperación de la configuración a un fichero en formato estándar (XML). EFICIENCIA Y PRESTACIONES La métrica que más influye en la planificación de la capacidad es el ancho de banda. En la tabla 1 se muestran las configuraciones hardware mínimas para una implementación predeterminada típica (incluye el filtrado web y de aplicación predeterminado y el registro MSDE). En relación a la utilización de los recursos del sistema, ISA Server 2006 permite controlar los recursos disponibles de forma que su funcionamiento no cause errores graves o caídas del sistema operativo que lo aloja. Por ejemplo, es posible limitar el tamaño de los registros de eventos (logs) de forma que cuando alcancen un límite se detenga el registro de los mismos o se escriba sobre registros antiguos. También mantiene el consumo de memoria rechazando nuevas conexiones hasta que termine de servir las existentes. En cuanto al procesador, limita el número de peticiones DNS pendientes cuando el 80 % de los procesos del sistema están en uso. De nuevo el balanceo de carga proporcionado por NLB hace altamente escalable la solución al permitir cualquier número de nodos en el array del firewall. Esto permite manejar un creciente número de peticiones de forma sencilla. 2007 nº 14 Es importante resaltar que se proporciona documentación sobre prácticas recomendadas para determinar la capacidad hardware de los servidores ISA Server 2006, así como, para su implementación con el mejor rendimiento posible. CONCLUSIONES ISA Server 2006 es una solución integral de seguridad de protección de red a través de firewall que proporciona funciones adicionales de conexión remota a través de VPN, proxy-caché, publicación de servicios y contenidos totalmente adaptable a los requisitos de seguridad actuales. Los resultados obtenidos, tras someter el producto a las pruebas de evaluación según la metodología de evaluación de calidad de productos software de seguridad informática, demuestran que el producto tiene una alta calidad. Esta se basa tanto en la completa funcionalidad de que dispone como en su estabilidad y seguridad demostrada a través de la certificación de seguridad internacional más importante en la actualidad. También cabe destacar su eficiencia y cuidada consola de administración que convierte la creación de reglas, la publicación de servicios y contenidos y la integración con OWA o SharePoint en procesos realmente sencillos. La clave son los asistentes que permiten acelerar la puesta en marcha y minimizar el número de errores por configuración manual. Además, la monitorización de eventos, tan importante en este tipo de productos, se ha integrado en un panel de supervisión centralizado que permite inspeccionar el estado de la infraestructura en una única pantalla. EQUIPOS USADOS EN LA EVALUACIÓN SA SERVER 2006. WINDOWS 2003 SP 2 BUILD 3790. INTEL PENTIUM III 700 MHZ CON 500 MB DE RAM Y PENTIUM 4 2800 MHZ CON 1.8 GB DE RAM. REDES LOCALES ETHERNET 100BASET Y EQUIPOS DE COMUNICACIONES CISCO (CATALIST 2950 Y ROUTERS 2800). ANALIZADOR DE PROTOCOLOS PARA LA MONITORIZACIÓN DE LAS COMUNICACIONES. APLICACIÓN DE PRUEBAS PARA LA MEDICIÓN DE LAS PRESTACIONES. APLICACIÓN DE SIMULACIÓN DE ATAQUES DE INTRUSIÓN Y ESCÁNER DE SEGURIDAD. MICROSOFT E Q UIPO DE E VALUA CIÓN Profesor: Maite Villalba de Benito Profesor: Dr. Luis Fernández Sanz Grupo de Investigación: DPRIS (Programación e Ingeniería del Software). UNIVERSIDAD EUROPEA DE MADRID 81 Novedades Las soluciones Pointsec Check Point Software Technologies especialista en seguridad en Internet, ofrece las soluciones de seguridad de datos de Pointsec que proporcionan una efectiva protección para ordenadores, portátiles y dispositivos móviles, a través de una encriptación completa del disco, gestión de puertos, y codificación de medios extraíbles. Estas soluciones, muy fáciles de utilizar, se pueden aplicar sobre redes de cualquier tamaño, con un efecto mínimo sobre las pautas de trabajo del usuario final. Además su política de gestión centralizada permite una eficacia administrativa que se basa en “instalarlo y olvidarse”. Por otra parte, estas soluciones de seguridad de datos proporcionan a las empresas el TCO (Coste Total de Propiedad) más bajo, debido en gran medida a su arquitectura de gran calidad. Al mismo tiempo sus costes anuales recurrentes orientados a la seguridad se recortan en un 90% o incluso más. La oferta de seguridad de datos de Check Point se basa en cuatro productos: Pointsec PC: provee de una solución de encriptación fuerte y completa del disco con control de acceso para Pc´s con Windows o Linux. Pointsec Protector: ofrece la gestión completa del puerto y Nuevos discos duros más rápidos y seguros Iomega, presenta una nueva familia de discos duros de sobremesa, el Iomega UltraMax Pro Desktop Hard Drive, una familia de dispositivos de almacenamiento robustos, innovadores y poderosos, diseñados especialmente para los profesionales de la creatividad y usuarios de Mac. Dotada con interface eSata, la unidad de disco duro Iomega UltraMax Pro Desktop Hard Drive ofrece una velocidad de transferencia de datos de hasta 3.000 Mbits/segundo (cuando está conectada al puerto eSata), añadiendo gran capacidad de almacenamiento al sistema informático. Además, la versión del Iomega UltraMax Pro Desktop Hard Drive con triple interface añade mayor seguridad y posibilidades de conectividad con un diseño moderno. Dentro de sus características técnicas del Iomega UltraMax Desktop Hard Drive cabe destacar: Dual Interface 1.5TB eSATA 3 Gbits/USB 2.0 interface para la máxima velocidad de transferencia 82 ALMACENAMIENTO del dispositivo de almacenamiento, evitando las copias desautorizadas de la información delicada de los ordenadores y portátiles de las empresas a través del control del puerto, filtrado de contenido y encriptación opcional de dispositivos. Pointsec Mobile: asegura totalmente los datos en los sistemas operativos de Symbian, Pocket PC, Windows Mobile Smartphone, y Palm cifrando archivos tanto en los dispositivos como en sus correspondientes tarjetas de memoria. SmartCenter para Pointsec: gestión central para todos los productos de Pointsec El 12 de Febrero, Check Point anunció que la compañía había obtenido más del 98 % de las acciones de Protect Data AB, terminando de ese modo su adquisición de la casa matriz que cotiza en la Bolsa de Estocolmo. Para Check Point, esta adquisición supuso un gran paso en la ampliación de su negocio en el campo de seguridad de datos. Hasta entonces, Pointsec había disfrutado de un escalonado incremento en su facturación mientras se establecía como líder mundial en el sector de la protección de los datos. Ahora, gracias la amplia red de partners de Check Point, las soluciones de Pointsec estarán disponibles para un mayor número de usuarios finales. CHECK POINT www.CheckPoint.com Velocidad de transferencia de hasta 480 Mbits/segundo si está conectado a un puerto USB 2.0; y hasta los 3000 Mbits/segundo si esta conectado al puerto e-SATA Hardware RAID y discos cambiables en caliente RAID 0 (pre-configurado), 1, SAFE33, SAFE50, JBOD y non-RAID Triple Interface 1.5TB Hub con 3 puertos USB, dos puertos FireWire 800 y un puerto FireWire 400 para mayor capacidad de conexión Velocidad de transferencia de hasta 800Mbits/segundo Hardware RAID discos cambiables en caliente RAID 0 (pre-configurado), RAID 1, JBOD/Spanning y nonRAID IOMEGA www.iomega.com 2007 nº 14 Novedades Soluciones avanzadas para sucursales y filiales Nueva gama de seguridad de Tren Micro Kaspersky renueva sus soluciones Diseñadas para facilitar la interoperatividad, Cisco da a conocer sus nuevas soluciones que mejoran la situación general de las sucursales o filiales, al reducir las barreras que existían ante la adopción amplia de los servicios y al rebajar el coste total de las operaciones. La oferta actual de “Oficina Remota de Nueva Generación” de Cisco incluye: Router de servicios integrados Cisco 1861 (ISR). Solución "todo-en-uno” que integra altas prestaciones de comunicaciones unificadas y seguridad. Se trata de una plataforma de enrutamiento que permite el acceso en todo momento y desde cualquier punto a la información clave para la empresa. Conmutadores Cisco Catalyst 2960 con software LAN Lite Cisco IOS. Reduce el coste total de adquisición de la red, al simplificar la migración de hubs no inteligentes y conmutadores sin gestión a conmutadores gestionables, con seguridad, calidad del servicio (QoS) y alta disponibilidad. Módulo de integración avanzada del sistema de prevención de intrusiones (IPS AIM). Amplía las prestaciones de seguridad y prevención de amenazas, ayudando a las sucursales a defender sus procesos vitales contra ataques e interrupciones, protegiendo la confidencialidad y favoreciendo el cumplimiento de directivas y regulaciones. Enrutamiento de altas prestaciones IOS de Cisco y Módulo de red de gama alta para los Servicios de Aceleración de Aplicaciones Cisco (WAAS). Acelera las aplicaciones vitales para la empresa y minimiza el consumo de banda ancha de la WAN con enrutamiento dependiente de las aplicaciones y optimización del tráfico de la WAN. Compatibilidad con el controlador LAN inalámbrico con IEEE 802.11n. Garantiza el avance progresivo hacia las nuevas tecnologías y servicios inalámbricos, mientras se preserva la inversión existente. Pasarela de mensajería unificada Cisco. Amplía de una forma rentable los servicios de mensajería de voz Unity y Unity Express de Cisco en organizaciones de gran tamaño. La compañía lanza las versiones 2008 de sus productos de seguridad para consumidores. Dos de ellas son actualizaciones de las versiones 2007 existentes: Trend Micro AntiVirus plus AntiSpyware 2008 y Trend Micro Internet Security 2008. Por su parte, Trend Micro Internet Security Pro es una novedad para este año. Los productos de seguridad 2008 de Trend Micro ofrecen a los consumidores una eficaz protección frente a los delincuentes cibernéticos gracias a la protección de múltiples puntos de ataque: desde el sistema operativo hasta los exploradores, pasando por el teclado. Llega la nueva generación de soluciones de seguridad 7.0 del Anti-virus y de la suite de seguridad Kaspersky Internet Security de Kaspersky. El producto ofrece algunas novedades respecto a la versión anterior como los tres puntos de detección contra programas maliciosos conocidos y nuevos: la verificación en las bases de datos de firmas, el analizador heurístico y el bloqueo de comportamiento. Las aplicaciones integradas de estas tecnologías aseguran al usuario una protección fiable de su ordenador gracias al control de privacidad para prevenir el robo de datos, el control parental en función de quien utiliza el ordenador (niño, adolescente o adulto) seguido de una aplicación de autodefensa mejorada para bloquear aquellos programas maliciosos que intentan desactivar las soluciones de antivirus, además de las protecciones mejoradas contra rootkits, keyloggers, y protecciones contra virus al utilizar el servicio de mensajería instantánea iCQ (“I seek you”) u otros clientes de este tipo de servicios. CISCO www.cisco.com Nueva versión con interfaz ASP Detección de ataques mejorada Mossec lanza su nueva versión 2.4, que ofrece un nuevo entorno de gestión y permite, como principal novedad, la comercialización del servicio en formato ASP (proveedor de servicios) con acceso remoto por Internet a la capa de gestión. El administrador puede configurar diferentes subredes con las que atender a diferentes clientes o filiales de una misma organización. Cada subdominio tiene un acceso personalizado y controla únicamente sus dispositivos. El servidor Push es ahora un servidor de notificaciones, de mayores funcionalidades y que permite el envío de comandos multicanal a los dispositivos y la ejecución de órdenes desde el servidor. Estos comandos pueden ser generales, individuales o afectar únicamente a grupos de dispositivos. Adicionalmente, se ha rediseñado el interfaz de la consola de gestión, permitiendo una gestión mucho más sencilla e intuitiva. El cliente del terminal móvil, ofrece como principal novedad el control por firma digital de paquetes de instalación, adicional al control de ejecutables. El sistema controlará al conjunto de programas del paquete como a un único ejecutable sobre el que se pueden definir las políticas de seguridad. Finalmente, el sistema permitirá la protección completa del terminal al cifrar automáticamente los ficheros, correos electrónicos y SMS. Esta versión constituye un hito importante en el proyecto Mossec, puesto que es la primera versión con interfaz ASP y ha sido específicamente diseñada para entornos Carrier y de gran cuenta. Stonesoft, presenta una tecnología que ha desarrollado con objeto de detectar ataques y amenazas contra vulnerabilidades previamente desconocidas. Habitualmente, los sistemas IDS/IPS basados en rastreos detectan los ataques contra los sistemas de “buffer overflow” identificando el código de los ataques conocidos directamente desde el tráfico de la red. Además, el importante número de diferentes ataques contra vulnerabilidades genera una cantidad ingente de falsos positivos. Stonesoft ha patentado un método para alcanzar el reconocimiento de positivos empleando una cantidad mucho menor de información –tan sólo una parte del indicador presente en el código de los ataques de “buffer overflow”-. Teniendo en cuenta el contexto del positivo combinado, es posible identificar este tipo de ataques de una forma fiable. La nueva tecnología de Stonesoft proporciona principalmente dos grandes ventajas: MOSSEC www.mossec.com 84 En estas últimas versiones, Trend Micro se ha centrado en las necesidades básicas de los consumidores, tales como una protección mejorada frente a los últimos casos de malware, una exploración manual un 30% más rápida que los productos de la competencia, una sencilla función de creación de informes y una administración más práctica que incluye una atractiva y simplificada interfaz de usuario. Así están optimizados en materia de rendimiento y comodidad mejorando la experiencia del usuario, aumentando la velocidad del producto y reduciendo el consumo de recursos informáticos. El consumo de memoria se ha disminuido aproximadamente un 50% con respecto a los productos del año pasado. Además, está pensado con una sencilla rutina de instalación y configuración, que ahora sólo requiere tres pasos para completar la instalación. TREND MICRO www.trendmicro.com Entre sus nuevas aplicaciones destacan la selección del tipo de instalación, una nueva interfaz de usuario y su compatibilidad con Vista. KASPERSKY www.kaspersky.es Sistemas de optimización de WAN Citrix WANScaler Citrix Systems, presenta en el mercado EMEA, WANScaler Client, que proporciona un rendimiento de aplicaciones tipo LAN a los empleados, a través de redes WAN , sin importar la ubicación de la sucursal. Citrix WANScaler es un elemento fundamental de las mejoras de Citrix en el suministro de aplicaciones, lo que permite a los clientes enviar cualquier aplicación a un usuario, sin importar dónde esté, con el mayor rendimiento, seguridad y ahorro posible y, a su vez, ayuda a mejorar el entramado de empresa global. Los sistemas de optimización de WAN Citrix WANScaler, permiten a las empresas mejorar la productividad, y reducir el tiempo de espera de los usuarios al ejecutar las aplicaciones y procesar los datos. Las organizaciones pueden alcanzar un cumplimiento normativo mejorado al centralizar los datos y reducir los costes de propiedad, mientras que maximiza la devolución de las inversiones al aplazar las actualizaciones de banda ancha y hardware y reemplazar los costosos circuitos de datos por una conexión a Internet VPN. Citrix WANScaler ofrece tres funciones principales que optimizan los vínculos de WAN: Permite un rendimiento mejorado del funcionamiento de la red gracias a la reducción significativa del número de positivos que han de ser analizados procedentes del tráfico de red. Facilita la habilidad de detectar nuevos ataques y amenazas contra vulnerabilidades previamente desconocidas sin necesidad de conocer el código exacto de la incidencia. STONESOFT www.Stonesoft.com 1) Optimiza la banda ancha disponible al usar mecanismos de control de flujo TCP adaptativos que hacen que la banda ancha sea mucho más eficiente. 2) Usa compresión de datos de varios niveles que comprime la información que viaja por la WAN. 3) Reduce la latencia de los protocolos ineficientes a través de aceleradores de protocolos específicos. CITRIX SYSTEMS www.citrix.com 2007 nº 14 2007 nº 14 85 Nacional Seguridad Web avanzada Protección del Correo electrónico Secure Computing presenta una nueva versión de su solución de seguridad Webwasher. la única solución de seguridad Web gateway que integra caching y seguridad para proporcionar ahorros de ancho de banda y reducir la latencia sin comprometer la seguridad. La nueva versión de Webwasher incluye las siguientes características: NETASQ ofrece la gama de productos NETASQ MFILTRO, una respuesta eficaz á todos los problemas ocasionados por el spam. Una solución que protege el servidor de e-mail corporativo además de ser totalmente transparente para los empleados, ofreciendo, del mismo modo, la posibilidad de medir la economía en recursos y tiempo de la empresa. SecureCache, Integra caching y seguridad para proporcionar ahorros de ancho de banda y reducir la latencia, sin comprometer la seguridad. NETASQ reúne las mejores tecnologías en una gama completa de appliances exclusivamente dedicados a la seguridad del correo electrónico. Combinando la tecnología anti spam con la lucha anti spyware y el robo de información causado por el phishing, ofrece a sus empleados una seguridad avanzada y una alta productividad, convirtiendo así el correo electrónico en la herramienta de comunicación eficaz que siempre había sido. Asociado a todas estas tecnologías, la compañía ha escogido el antivirus de kaspersky para garantizar a las empresas una protección elevada contra los virus. Además, ofrece la posibilidad a cada empleado de acceder y controlar su cuarentena de mensajes. Motor Anti-Malware, para ataques del Web; escudriña el tráfico, analiza sus intenciones o predice su comportamiento. protegiendo proactivamente contra spyware, amenazas combinadas día-cero y ataques dirigidos. Filtrado Basado en Reputación que puede identificar y asignar reputaciones a los nuevos dominios y a URLs que todavía no tienen contenido, y por lo tanto no pueden ser catalogados. TrustedSource asigna proactivamente una puntuación de reputación intento-malicioso basada en factores incluyendo la localización del servidor, la relación con otras IPs y el comportamiento de servidores relacionados. Esto permite a sus clientes proteger sus redes por la reputación del web antes de que se lance un ataque. Administración Segura para cumplir la Auditoria y Requisitos de Conformidad. Los appliances Webwasher ahora se envían con SafeWord, autenticación de dos-factores firmemente integrada para proporcionar el acceso seguro, proof-positive para la administración de la entrada al Web. Los clientes pueden ampliar su despliegue de SafeWord a los usuarios remotos o a la organización entera con la compra de Tokens adicionales SafeWord. Webwasher SSL Scanner que niega el acceso a la red de: hackers, virus, contenido malévolo oculto en el tráfico de acceso SSL-cifrado. Escaneando (scanning) el tráfico SSL (HTTPS) y las actualizaciones de certificados, Webwasher habilita a las empresas a aplicar todos los filtros avanzados de su protección, junto con sus políticas existentes de seguridad y del uso del Internet a todo el tráfico cifrado. Protección contra Fuga de Datos protege a las organizaciones contra amenazas de salida tales como fuga de información confidencial, a través de todos los protocolos clave del Web. Webwasher provee esto realizando un escaneo único de contenido para prevenir pérdidas de propiedad intelectual, cumpliendo con requerimientos regulatorios y entregando reportes, así como reportes forenses en el caso de fuga. Para requerimientos avanzados DLP, Webwasher se integra con motores de terceros.. SECURE COMPUTING www.SecureComputing.com 86 Un panel de control completo permite medir el retorno de inversión en tiempo real. Así se puede medir cada día el beneficio en productividad de cada empleado. La instalación se realiza de forma rápida y sencilla gracias a la guía de instalación. Así uno de los aspectos fundamentales de los dispositivos MFILTRO es la simplicidad y sencillez, dentro de una seguridad robusta, logrando una protección eficaz para la infraestructura empresarial. NETASQ www.netasq.com Línea de seguridad Networking SonicWALL, anuncia un conjunto de soluciones E¬Class, una línea de seguridad de networking con rendimiento Premium, email security y acceso remoto, creada para reducir el coste y la complejidad de desplegar una infraestructura segura. Junto con esta iniciativa, la compañía anuncia una nueva categoría de firewalls con procesador multi¬core que combina protección de clase empresarial y rendimiento en un único dispositivo: el NSA E7500, eI NSA E6500 y el NSA E5500. La serie NSA de SonicWALL representa una novedad en la industria: dispositivos UTM multi-core que proporcionan inspección exhaustiva de paquetes sin impactar en la tasa de transferencia de red. Combinando un firewall de inspección exhaustiva de paquetes en tiempo real y sin fisuras con tecnología de protección de múltiples capas y una suite de características de gran disponibilidad, los dispositivos de la serie NSA están diseñados para despliegues empresariales entre los que se incluyen entornos distribuidos, redes de campus y centros de datos. SONICWALL www.sonicwall.com 2007 nº 14 Bibliografía Agenda TECNOLOGÍAS BIOMÉTRICAS APLICADAS A LA SEGURIDAD ENISE Coordinadores: Marino Tapiador Mateos, Juan A. Sigüenza Pizarro Editorial: Ra-Ma Año: 2005 - 456 páginas ISBNM: 8478976280 Web: www.ra-ma.es / www.ra-ma.com Fechas: 21-22-23/10-2007 Organiza: INTECO XX Congreso Nacional y VI Congreso Internacional de Informática y Computación Lugar: Hostal San Marcos, León Sitio: https://1enise.inteco.es Fechas: 24-26/10-2007 Lugar: Chihuahua, México Organiza: ANIEI Sitio: http://aniei.org.mx XXXIII Conferencia Latinoamericana de Informática Black hat USA 2007 En el lapso de unos pocos años, con el atentado del 11-S contra las torres gemelas como uno de sus puntos de inflexión, el interés de la sociedad por utilizar patrones biométricos para identificar o verificar la autenticidad de las personas ha sufrido un aumento drástico, que se refleja no solamente en novelas, películas y series de TV, sino también en la aparición de diversas aplicaciones prácticas. Ya no nos es extraño oír hablar de pasaportes y carnés de identidad que incluyan características biométricas, si bien es cierto que siempre habían incluido dos de ellas: la foto del rostro y la huella dactilar. También comienza a ser frecuente la existencia de sistemas de acceso a instalaciones, ordenadores y teléfonos móviles mediante huella dactilar, a cajeros automáticos mediante iris, la utilización forense del reconocimiento de la escritura, voz y firma, etc. En este libro un grupo representativo de investigadores especializados en este campo, todos ellos profesores de universidades españolas, han acometido la tarea de presentar al lector interesado, al estudiante y al investigador de otras áreas afines, el estado del arte de la biometría y sus aplicaciones a la seguridad. Se efectúa un interesante recorrido sobre las técnicas biométricas más utilizadas en la actualidad, tanto en su vertiente estática como dinámica. Los autores desean mediante esta primera obra en lengua española sobre Biometría compartir sus experiencias con los poten88 “ Este libro representa el esfuerzo colectivo de un grupo de profesores de diversas universidades españolas, en el área de las tecnologías biométricas, la mayoría pertenecientes a ABIE “ ciales lectores y acercarles a un mundo fascinante y en expansión permanente, como demuestra el auge de congresos y publicaciones internacionales sobre la materia que han tenido lugar en los últimos años. La biometría informática está viviendo uno de los momentos más importantes en lo que respecta a su investigación, desarrollo e implantación, y aunque es una tecnología que todavía no ha alcanzado su plena madurez, son múltiples las aplicaciones que ofrece desde un punto de vista industrial. Gran parte de este desarrollo, se ha visto favorecido en los últimos tiempos por la toma de conciencia de gobiernos y corporaciones sobre la necesidad de contar con herramientas más poderosas que favorezcan la seguridad tanto en el acceso a sistemas informáticos como en el control físico de personas en su acceso a instalaciones. Desde el punto de vista organizativo, el libro se divide en cuatro partes: Primera, denominada Aspectos generales de la biometría, incluye tres capítulos dedicados a efectuar una Introducción general a la Biometría, un análisis de lo que representa en esta área el Reconocimiento de patrones y por último un repaso de la importancia en esta tecnología de la Evaluación de los sistemas biométricos. Segunda se encarga de estudiar tres de las denominadas Biometrías estadísticas más importantes: la huella dactilar, el estudio del iris y la retina y por último la geometría de la mano. Tercera da al lector una visión sobre las denominadas Biometrías dinámicas centrándose en el reconocimiento de locutor, de la firma escrita, de la escritura manuscrita y de la dinámica de tecleo. La última efectúa un recorrido por algunas aplicaciones biométricas de interés, entre ellas: la fusión de datos, las tarjetas de identificación, la biometría forense, los estándares biométricos, y finaliza con un resumen sobre conceptos de seguridad informática y PKI. 2007 nº 14 Fechas: 08-09/11-2007 Lugar: San José, Costa Rica Organiza: CLEI Sitio: www.clei2007.org Fechas: 23-26/10-2007 Lugar: Tokio, Japan Organiza: Black hat Sitio: www.blackhat.com/html/bh-japan-07 4ª Convención sobre TI y Servicios Telemáticos Expo Comm Argentina Fechas: 08-09/11-2007 Lugar: La habana, Cuba Organiza: CITMANTEL Sitio: www.citmatel.cu Fechas: 09-12/10- 2007 Lugar: Buenos Aires, Argentina Organiza: Reed Exhibitions, EJK, ACOMRA Sitio: www.expocomm.com.ar Créditos INDICE DE ANUNCIANTES EMPRESA PÁGINA EDITA Abbakan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21 www.abbakan.es Black Hat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23 www.blackhat.com CATCert . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .65 www.js-e.net OVEC PUBLICATIONS, S.L. c/ Arturo Soria, 347. 2ºA 28033 Madrid (España) Tel: +34 91 383 21 83 Fax: +34 91 766 43 21 Correo-e: [email protected] www.esecuritymagazine.com Check Point . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .11 www.Checkpoint.com Codine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .89 www.codine.es Cysd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .75 EDITOR Oscar Velasco Cruz-Guzmán [email protected] www.cysd.net ENISE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Contra https://1enise.inteco.es E.Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .69 COORDINACION EDICION Johnny Sánchez García [email protected] www.esecuritymagazine.com Finjan . . . . . . . . . . . . . . . . . . . . . . . . .Inter. Portada y 3 www.finjan.com Hp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Portada COORDINACION REDACCIÓN Erico garcia [email protected] www.hp.com Internet Security System and IBM Company . . . . . . .8 www.ISS.net It Deusto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .34 y 35 www.itdeusto.com Microsoft . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7 www.microsoft.com CORRESPONSABLES George Lambert, Washingtong D.C Emiliano García, Mexico D.F Guillermo Almazo, Monterrey Mexico Olivier Poulain, Bruselas Ian Crowe, Londres Mossec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .55 www.mossec.com Netasq . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .61 www.netasq.com Nokia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4 www.nokia.com Nod32 (Ontinet) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .27 www.protegerse.com Realsec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19 www.realsec.com SHS Polar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .51 www.shspolar.es HAN COLABORADO EN ESTE NÚMERO Maria Campos, Luis M. Hidalgo, Juan Santesmases, Sebastián Muñoz Najarro, Javier Rodríguez Saeta, Isidro Cano, Rafael Alonso, Celia Villarrubia, Pedro Galatas, Fernando Ayllón, Luis Millas, Javier Serrano, John Gordineer, Roberto Llop. DISEÑO, MAQUETACIÓN Y PRODUCCIÓN Luis Hernández Hernán [email protected] Stonesoft . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12 www.Stonesoft.com RSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .77 www.rsaconference.com ADMINISTRACIÓN Alejandra Velasco [email protected] Tipping Point . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .83 www.tippingpoint.com Trend Micro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .31 www.trendmicro-europe.com IMPRIME: Gráficas Ave, S.A UEM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .87 www.uem.es Websense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .73 DISTRIBUYE: Jarpa www.websense.com Zitralia . . . . . . . . . . . . . . . . . . . . . . . . . . .Interior Contra www.zitralia.com DEPÓSITO LEGAL: M-50249-2004 e.Security European Security no comparte necesariamente las opiniones vertidas por los autores. Prohibida la reproducción total o parcial de cualquier información digital, gráfica o escrita publicada en e.Security European Security sin autorización escrita de la fuente. 90 2007 nº 14