Las organizaciones que están buscando características de seguridad como la administración de la identidad, encriptamiento y control de acceso -y al mismo tiempo quieren aprovechar los beneficios en costos y flexibilidad de la nube-podrían darle un vistazo a las ofertas de seguridad como servicio que ya se encuentran disponibles en varios proveedores.
En este escenario, la seguridad es entregada como un servicio desde la nube, sin que se requiera hardware on premise. “El mayor beneficio en usar la seguridad como servicio es la capacidad de evitar en ocasiones sustanciales gastos de capital”, afirma Lawrence Pingree, director de investigación de Gartner, encargado de cubrir el mercado de seguridad.
Además, señala Pingree, algunos de los servicios de seguridad de nube proporcionan la flexibilidad que se necesita para enfrentar ciertos casos de uso. Por ejemplo, los servicios de filtrado de correo electrónico son populares, ya que algunas plataformas de dispositivos móviles limitan la capacidad de que los productos de protección en punto final corran sobre ellas.
Otros casos de uso incluyen la protección contra virus, administración de las vulnerabilidades, administración de la identidad y sign on único. Gartner prevé que los servicios de seguridad de nube crecerán de 1,9 mil millones de dólares en el 2012 a 4,2 mil millones de dólares en el 2016, con una tasa de crecimiento anual compuesta de 23%.
A continuación mostramos la manera en que tres empresas han integrado los servicios de seguridad de nube en su infraestructura TI, y la manera en que se han protegido a sí mismas de las caídas del servicio, fuga de datos y otros riesgos que aparecen cuando se pone la seguridad corporativa en manos de una organización externa.
Continuidad del correo electrónico y protección contra virus
Cuando se trata de proteger al negocio del malware, los servicios de nube generalmente son “ideales porque proporcionan tanto la distribución centralizada como la flexibilidad” que los proveedores de seguridad necesitan para distribuir información a sus clientes, afirma Pingree. También es una buena opción para algunos clientes, ya que pueden confiar en que los proveedores van a mantener al día las definiciones de malware sin que ellos mismos lo tengan que hacer.
Cuando se trata de proteger al negocio del malware, los servicios de nube generalmente son “ideales porque proporcionan tanto la distribución centralizada como la flexibilidad” que los proveedores de seguridad necesitan para distribuir información a sus clientes, afirma Pingree. También es una buena opción para algunos clientes, ya que pueden confiar en que los proveedores van a mantener al día las definiciones de malware sin que ellos mismos lo tengan que hacer.
Sirva Inc., empresa proveedora de servicios corporativos de relocación, ha estado usando servicios de nube desde el 2009. Ese fue el año en el que Sirva desplegó el servicio de nube Email Continuity de Symantec Corp., un sistema contra fallas de correo electrónico que proporciona virtualmente acceso ininterrumpido al correo electrónico en caso de que caiga el servidor de correo.
En los siguientes años, Sirva adoptó otros servicios de nube, incluyendo una aplicación de bloqueo de URL de Websense y un servicio de evaluación de penetración de WhiteHat Security.
Para finales de marzo, Sirva espera comenzar a usar el servicio de nube Office 365 de Microsoft, el cual incluye funciones de seguridad como el antispam, antivirus, administración de las identidades y encriptamiento de correo electrónico, afirma Adam Diab, manager of contract and solution delivery de Sirva.
El mayor impulso para trasladar a la seguridad y a otras funciones de TI a un modelo de servicios es la reducción de costos, sostiene Diab. Los costos del hardware y el software on premises ha estado subiendo, indica el ejecutivo. Muchos de los proveedores de TI de la compañía estaban cobrando a Sirva por servicios de disaster recovery (DR), incluso a pesar de que la empresa no estaba usando estos servicios.
“Querían cobrarnos por un servicio que no hacía nada”, al menos la mayor parte del tiempo, sostiene Diab, así que Sirva comenzó a buscar opciones de DR en donde pagaría solo por los servicios que en realidad estaba usando.
Las aplicaciones de nube, incluyendo la seguridad, cuestan alrededor de 25% menos de lo que costarían en un software licenciado tradicionalmente, señala Diab. Además de los ahorros en costos, Sirva se está beneficiando con la reducción en el soporte interno que se necesita para cosas como aplicar parches o recuperar un sistema luego de una caída; los proveedores son los que ahora realizan estas tareas.
Al mismo tiempo, la compañía ha estado retirando gradualmente algunos de sus servidores más viejos y trasladando las aplicaciones a la nube. El nivel de madurez de los servicios de nube ya no es problema, anota Diab, y de hecho muchas ofertas de nube han demostrado que son confiables en términos de proporcionar servicios de alto desempeño a nivel global, lo cual es cada vez más importante ya que la empresa está expandiendo sus operaciones en el extranjero y busca estandarizarse en servicios alojados.
Administración de identidades y sign on único
Tickr.com, compañía de San Francisco que vende tecnología que permite a los clientes rastrear las menciones de su compañía y productos en las redes sociales, comenzó a inicios del 2012 a usar productos de seguridad como servicio de Symplified Inc. para la administración de identidades y sign on único.
Tickr.com, compañía de San Francisco que vende tecnología que permite a los clientes rastrear las menciones de su compañía y productos en las redes sociales, comenzó a inicios del 2012 a usar productos de seguridad como servicio de Symplified Inc. para la administración de identidades y sign on único.
Como parte de su proceso de desarrollo de productos, Tickr.com necesitaba proporcionar acceso seguro a algunas de sus propias aplicaciones propietarias así como a Google Apps y Salesforce.com, afirma Bobby Mukherjee, vicepresidente de desarrollo de negocios de Tickr.
El proporcionar un acceso más fácil y rápido a las aplicaciones para los desarrolladores era especialmente crítico para la compañía, la cual necesita terminar rápidamente los nuevos releases de sus productos, explica Mukherjee.
Con el servicio de Symplified, “puedo simplificar el acceso a aplicaciones en nube u on premises de una manera más segura que las otras opciones del mercado”, sostiene Mukherjee. “La solución también se integró fácilmente con otras aplicaciones web y SaaS que estábamos usando. También tiene una interfase de administración intuitiva, que ha hecho que sea sencillo realizar los cambios en la configuración”.
Como recuerda, “teníamos unos ingenieros muy costosos que estaban consumiendo mucho tiempo haciendo log in y log out en varias aplicaciones críticas, y manteniendo las contraseñas de los usuarios como parte de su trabajo diario”.
Los ingenieros gastaban hasta un 10% de su tiempo en temas de log ins, contraseñas y seguridad.“Esto era disruptivo y costoso para nosotros, así que buscamos una solución de seguridad con sign onúnico” que simplificaría en gran medida el proceso de otorgamiento de acceso mientras que al mismo tiempo mantenía un alto nivel de seguridad, asevera Mukherjee.
Tickr se decidió por la oferta de nube de Symplified. Tickr ya había estado usando una variedad de servicios de nube para aplicaciones como el correo electrónico y la CRM, y había disfrutado de los varios beneficios como los ahorros de costos y la mayor flexibilidad.
La nube “ha funcionado bien para nosotros debido a su economía; uno compra lo que necesita”, afirma Mukherjee.
Tickr ha podido añadir de manera rápida y fácil cuentas de correo electrónico y cuentas de usuario en la aplicación de CRM a medida que la empresa crecía en los pasados años. Tener la capacidad de comprar exactamente lo que necesita la empresa cuando lo necesita ha reducido los costos generales de la tecnología, incluyendo una reducción en los gastos de mantenimiento. Mukherjee afirma que Tickr ha podido tener ahorros significativos al usar los servicios de nube, aunque no podría ofrecer cifras detalladas.
La compañía, que comenzó a utilizar la seguridad como servicio en marzo del 2012 cuando salió en vivo el servicio de Symplified, espera ver el mismo tipo de ahorros en tiempo y costos con las aplicaciones de seguridad, en comparación con adquirir las tradicionales licencias de software on premise para tecnologías similares.
Otro beneficio es la facilidad de uso, señala Mukherjee. Las capacidades de sign on único y administración de identidades no requieren de capacitación para los usuarios finales. “Si tuviera que haber capacitación, las personas [en la operación de desarrollo] lo hubieran rechazado”, sostiene el ejecutivo. “Todo se trataba de ahorrar tiempo, así que tenía que ser muy eficiente”.
Administración de vulnerabilidades en nube
Cox Communications, compañía dedicada a las comunicaciones de banda ancha y al entretenimiento, se basa bastante en dos productos de seguridad como servicio. Uno es para la administración de las vulnerabilidades y el otro para la aplicación de análisis estático y dinámico de seguridad, afirma Jay Munsterman, director de ingeniería de la seguridad.
Cox Communications, compañía dedicada a las comunicaciones de banda ancha y al entretenimiento, se basa bastante en dos productos de seguridad como servicio. Uno es para la administración de las vulnerabilidades y el otro para la aplicación de análisis estático y dinámico de seguridad, afirma Jay Munsterman, director de ingeniería de la seguridad.
El análisis estático es la revisión automatizada del código fuente o binarios, y el análisis dinámico atañe a las aplicaciones web en vivo, explica Munsterman.
“Ambos servicios nos proporcionan acceso a recursos maduros que son más rápidos y menos costosos que hacerlos en casa”, señala el ejecutivo. “Al usar servicios de nube, nos mantenemos al corriente de las amenazas nuevas y emergentes a un ritmo que hubiese sido extremadamente problemático de mantener de otra forma”.
Las aplicaciones son completas y en su mayoría pueden ser completamente configuradas desde el primer día, anota Munsterman. “No tuvimos que pasar por un largo proceso de despliegue/configuración”, asegura. En cuanto a los gastos, aunque los servicios “no son opciones baratas, no necesito mantener personal cuyo único valor añadido para la compañía es mantener las plataformas”, asevera.
Pero hubo algunas reservas en cuanto a ir a la nube buscando seguridad, advierte el ejecutivo, especialmente en cuanto a alojar la propiedad intelectual de la compañía y su información de vulnerabilidades con un tercero, fuera de los muros del centro de datos de Cox.
“Hilamos fino con el concepto de hacer outsourcing de varios procesos de negocio; ese ha sido el estándar durante años”, explica Munsterman. “Pero las funciones de seguridad fueron pensadas para encontrarse entre las que no irían al outsourcing. La seguridad se consideraba una función que debía mantenerse cerca”.
Cuando Cox pasó por su primera RFP (request for proposal – solicitud de propuesta) de seguridad como servicio, hubo un proveedor en la carrera del cual los ejecutivos de Cox no pensaron que podría ser seleccionado, señala Munsterman. “Cuando resultaron en el primer lugar todos quedamos sorprendido”, explica el ejecutivo. “Tener un estándar de evaluación sólido y neutral nos aseguró de que evaluamos la oferta por lo que era y no por lo que estábamos predispuestos a ver”.
El tener los claros resultados de un proceso de calificación de RFP neutral “nos ayudó a comunicar el valor y las fortalezas del proveedor externo”, en este caso Veracode, señala el ejecutivo. “Los incluimos en el proceso solo por ser justos, sin esperar de que una opción de outsourcing nos convenciera. Lo hizo”.
La aceptación de la oferta de nube comenzó con un “sólido lenguaje de contratación” y finalizó formando una fuerte sociedad, recuerda el ejecutivo. “Conocer a las personas que proporcionaban el servicio hizo que todos nos sintiéramos más cómodos”, agrega. “Nuestros campeones internos tuvieron mucho trabajo convenciendo a las personas de que le dieran una oportunidad a la solución que escogimos. Aquellos que más se oponían fueron ganados luego del desempeño del primer año. Los resultados eran difíciles de negar”.
Esos resultados incluían la velocidad y meticulosidad con la cual la compañía pudo desplegar su programa de aplicaciones de seguridad. “Nuestros campeones fueron personal interno que trabajó con todas las partes que el programa tocó, para proporcionar capacitación práctica y para manejar la retroalimentación de manera rápida y equitativa”, señaló Munsterman. “Dentro de los equipos de desarrollo, algunos líderes preocupados por la seguridad nos ayudaron a presentar el programa y posicionar la sociedad entre el desarrollo y la seguridad, en lugar de dejar que pareciese una obligación de seguridad”.
Otros riesgos
Hacer que las personas acepten el concepto de la seguridad como servicio no es el único desafío.
Hacer que las personas acepten el concepto de la seguridad como servicio no es el único desafío.
“La posibilidad de la fuga de datos puede convertirse en el más siniestro problema en el uso de un servicio externo, ya que centraliza los datos de seguridad”, señala Pingree de Gartner. Los clientes de la nube siguen preocupados por los datos relacionados con la seguridad que se alojan en los ambientes de servicio de nube, sostiene el analista.
“El encriptamiento es esencial para almacenar los datos de manera externa a una organización, y para proteger los datos”, señala Pingree. “Idealmente, las llaves que se usan para encriptar deben ser de propiedad y estar controladas por la organización y no ser accesibles para los empleados del proveedor de nube”.
Además, señala el analista, la centralización de los servicios críticos en las nubes incrementa el riesgo de una sola caída potencial pueda tener efectos cascada entre los clientes y causar daños.
Si su proveedor de nube se cae, “uno también se cae”, afirma Pingree. “Algunos proveedores probablemente hayan planeado adecuadamente cómo evitar las caídas y la fuga de datos, otros no. Los clientes tienen que tener cuidado en escoger un proveedor de servicios de seguridad que se proteja bien a sí mismo”.
Las organizaciones que se encuentran preocupadas en las caídas de la nube “deberían preguntar al proveedor cómo es que va a proporcionar continuidad al sistema como parte de los servicios contratados y considerar un proveedor de backup de nube que puedan usar en caso de una caída”, declara Pingree.
Aunque la probabilidad de la caída de un servicio es relativamente baja debido a que los proveedores de servicios tienen provisiones para evitarlas, afirma Diab de Sirva, existe un pequeño riesgo de que una aplicación crítica del negocio como el correo electrónico pueda quedar perdida por un periodo prolongado de tiempo. “Se ha convertido en administrar el riesgo versus las recompensas”, explica.
Otro inconveniente potencial por usar estos servicios es que muchos de los proveedores ofrecen acuerdos de nivel de servicio simples, fijos y no negociables y con responsabilidad limitada, afirma Diab.
Las empresas que buscan seguridad como servicio en general, o buscan información sobre mejores prácticas, pueden acudir a una variedad de recursos. Por ejemplo, el Security as a Service Working Group de la Cloud Security Alliance en octubre del 2012 completó un proceso de revisión y publicó guías de implementación.
La Implementation Guidance del Working Group incluye documentación revisada para cada categoría de servicio, incluyendo administración de identidades y de acceso, prevención de pérdida de datos, seguridad web, administración de las intrusiones, seguridad del correo electrónico, encriptamiento, continuidad del negocio y recuperación en caso de desastre, seguridad de la red y evaluaciones de seguridad.
Dado que muchos de los servicios son bastante nuevos, probablemente es una buena idea buscar recursos como éstos antes de tomar la seguridad como servicio.
– Computerworld US