Movilidad y seguridad

  La evidencia muestra que la movilidad afecta a la organización ha proporcionando un aumento en la productividad de los negocios, incide en la satisfacción del empleado e incluso en la captación de talento y retención del mismo por la empresa. Para los empleados supone un nuevo entorno de trabajo más atractivo y flexible y mejora de su capacidad de innovación, colaboración y aumento de productividad. Para hacernos una idea de lo que representa el fenómeno BYOD (Bring Your Own Device), según datos de distintas fuentes, el 81%  de los empleados usan al menos un dispositivo personal en el trabajo; el 72% de las empresas permiten BYOD, de estas el 57% dicen que ayuda a reducir costes y el 51% que mejoran la productividad; menos del 10% de las empresas son conscientes de qué dispositivo está accediendo a sus redes; el 90% de los usuarios desactivan funcionalidades de seguridad como el bloqueo automático de los dispositivos; el 50% de las empresas han sufrido algún problema derivado de dispositivos con nivel inadecuado de seguridad; las predicciones de Gartner para 2014 son que en 2014 el 90% de las empresas permitirán BYOD. BYOD constituye una ocasión única en la que el usuario se adelanta a la propia empresa y sirve como motor para  el desarrollo y adopción de nuevos sistemas operativos y aplicaciones, plataformas de hardware y tratamiento de la información puesto que dispone de libertad de uso de cualquier aplicación y desde cualquier dispositivo. Esta nueva situación implica cambios considerables en la gestión de diferentes estamentos empresariales. Para la alta dirección supone el diseño estratégico de nuevos modelos de negocio...

¿Nuevo paradigma de seguridad?

El acelerado desarrollo de soluciones en la nube, muy especialmente soluciones de infraestructura, están ampliando a gran escala los data center lo que supone un crecimiento progresivo de las infraestructuras TIC. Por otra parte el auge y difusión de las redes sociales, donde se genera una ingente cantidad de información que posteriormente hay que gestionar. Y finalmente la consumerización  de la informática, es decir, considerar la informática como servicios o productos de consumo; están suponiendo para las empresas un aumento considerable de productividad. Este nuevo escenario también tiene consecuencias desde el punto de vista de la seguridad ya que las infraestructuras son propiedad, por regla general, de un tercero lo que puede llegar a afectar a su control. En este ámbito están apareciendo  nuevos ataques y amenazas distintas a las conocidas. La seguridad convencional está diseñada para hacer frente a ataques conocidos y basada fundamentalmente en una defensa perimetral, esta nueva situación en la que nos encontramos es necesaria replantearla pasando de un perímetro definido a un perí­metro invertido fuera de nuestras fronteras de defensa lo que implica la adopción de un nuevo paradigma de seguridad. No centrase tanto en la infraestructura como hacerlo en las transacciones, en las personas y en los flujos de datos. En este sentido RSA propone la implementación de un sistema de defensa soportado sobre tres pilares, la inteligencia del riesgo, la gestión basada en la analítica de negocio y el control dinámico basado en riesgos; en definitiva Big Data de seguridad donde la analí­tica pasa a ser un componente clave en su gestión. Un sistema con infraestructura de Big Data rápido y escalable,...

Cloud y Ciberseguridad

La difusión masiva de la nube, los servicios web en tiempo real, la denominada Internet de las cosas, la geolocalización y los fenómenos de realidad aumentada (realidad más virtualidad para la toma de decisiones) esán ya proporcionando grandes beneficios a empresas y usuarios pero también entrañan graves riesgos contra la ciberseguridad. A continuación mostramos algunas de las amenazas más conocidas por sus repercusiones: Aparición del troyano Stuxnet que se camufla mediante técnicascnicas de rootkit (permite al atacante actuar con el nivel de privilegios del administrador del equipo) en un equipo informático hasta que su autor decide activarlo. Aprovecha una vulnerabilidad de ciertos sistemas Siemens utilizados en infraestructuras crí­ticas como control de oleoductos, plataformas petrolíferas, centrales eléctricas, nucleares y otras instalaciones industriales. Se cree que se diseñó para sabotear infraestructuras crí­ticas que no tiene acceso a Internet por lo que se sospecha que la infección se realizó a través de memorias USB. Según Kaspersky solo algunos estados tienen recursos para montar una operación semejante. Ataques de denegación de servicio DDoS (Distributed Denial of Service) que provocan la caída de servidores web mediante convocatorias planificadas en foros o por la acción de botnets (redes de equipos infectados por un atacante remoto que quedan a su merced cuando desee efectuar un ataque masivo) previamente infectados sin que los propietarios y usuarios de los equipos sean conscientes de su participación. Estos ataques están controlados generalmente por bandas de delincuentes que venden o alquilan estas infraestructuras. Los botnets o redes de ordenadores zombis se usan, no solo para ataques DDoS, también envíos masivos de correo basura, acciones de espionaje empresarial o robo de datos...

Protección de datos en la nube

Las ventajas que proporciona el Cloud a las empresas ya se consideran indiscutibles. La reducción de costes operativos y de infraestructuras TIC y el acceso a recursos computacionales y servicios inicialmente inasequibles está disparando la demanda de diferentes servicios en la nube de tal forma que se estima un gasto empresarial mundial de 112.000 millones de $ hasta 2016 según estudios de Gartner Research. Pese a que la nube supone una fuente de oportunidades, sin embargo una de las principales barreras para la adopción de estrategias cloud radica en aspectos como la seguridad, además del cumplimiento de la normativa y la confidencialidad. Según Gartner una empresa a la hora de tomar la decisión de acceso a la nube y seleccionar a un proveedor de confianza debería de tener en cuenta una serie de factores y exigirle los siguientes requisitos: Privilegios de acceso. Tiene que demostrar que sus métodos de delegación de los privilegios administrativos de contratación, supervisión y acceso se rigen por controles adecuados. Cumplimento de la normativa. Debe de estar dispuesto a someterse a las auditorías pertinentes ya que la responsabilidad de la seguridad de los datos sigue radicando en la empresa. Origen de los datos. La empresa debe de conocer la ubicación del CPD del proveedor y si cumple con los requisitos de confidencialidad que garantice la propia empresa. Aislamiento de los datos. Por lo general las nubes públicas constituyen entornos compartidos entre distintos clientes en los que es difícil asegurar el aislamiento de datos, por tanto el proveedor debe de garantizar el aislamiento total de los datos de cada una de las empresas. Recuperación de datos....

Seguridad y Cloud o Cloud y seguridad

Una de las mayores preocupaciones para adoptar estrategias cloud sigue siendo la seguridad. De hecho la gran mayoría de ejecutivos y directivos muestran sus prevenciones por la seguridad en la forma que ésta afecta a la empresa, tanto en la eficacia y marcha del negocio como en la reputación de la compañía. Es cierto que la seguridad es un factor muy a tener en cuenta, las vulnerabilidades aumentan según se incrementa el número de amenazas. Tradicionalmente se veía implicado casi exclusivamente el departamento IT, en este momento se ven afectadas todas las infraestructuras IT, se encuentra afectado el negocio globalmente; la barrera entre tecnología y personas se difumina cada vez más. Se puede decir categóricamente que no existe en el cloud una seguridad diferente respecto a la seguridad aplicada en los servidores físicos tradicionales, donde realmente radica la diferencia es en la eficiencia ya que mediante las tecnologías de virtualización se pueden habilitar mayor número de servidores y con más prestaciones en muchísimo menos tiempo que un servidor físico. Lo que sí se debe de tener en cuenta a la hora de optar por el cloud son los requisitos y relación con el proveedor ya que la responsabilidad y preocupación por los datos debe de ser compartida. Hay que definir la responsabilidad sobre los datos de ambas partes, analizar la transparencia del proveedor que proporcione el suficiente grado de confianza al usuario, estudiar las condiciones de contratación del servicio y un análisis de los costes reales que supone adoptar o no una estrategia cloud. En este sentido la Unión Europea está consensuando una nueva normativa que proporcione transparencia al...