El singular impacto de cloud computing comienza a percibirse. Es una revolución que conmueve a la tecnología de la información. Servicios al consumidor como Google Drive o Dropbox han transformado la manera en que la gente percibe los contenidos digitales y el cómo se relaciona con ellos y cómo los usa. En el mundo de la empresa, no hay prácticamente unidad económica que haya quedado al margen de esta gigantesca transformación, que presencia el parto de innumerables nuevos modelos de negocios.
Ello ocurre en todo el mundo, pero en especial está ocurriendo en nuestra región.
La inversión en “la nube” en América latina para este año se espera que crezca 67% hasta superar la marca de US$ 1.000 millones. 60% de las compañías instaladas en el área usarán redes sociales en marketing y ventas. Solamente la inversión en big data en la región llegará este año a US$ 820 millones.
Para certificar estos avances impresionantes hemos entrevistado a los principales actores tecnológicos en este informe especial. El anuario sigue este orden de presentación: una introducción explicativa del escenario; una visión en el terreno de seguridad, otra en el de la movilidad, y otra más en el de la virtualización. Como colofón, otro recorrido por los lineamientos generales de cloud computing.
La introducción se le encomendó a Mario Lia. Las entrevistas fueron realizadas por Leticia Pautasio
Múltiples puntos de partida
Cloud computing como el eje de la transformación
La nube es la protagonista central del movimiento que parece estar fundando un nuevo paradigma en tecnología de información. Ya nadie discute que la nube tiene todo el potencial deseado y los proveedores aprontan sus recursos de investigación y desarrollo para ofrecer productos capaces de operar en este escenario.
Por Mario Lia
La nube va ganando “mind-share”. En este anuario que Mercado dedica a la tecnología de información, el lector podrá escuchar las voces de las empresas que crean o adaptan nuevas tecnologías en forma de productos y soluciones. Muchas de estas voces hablarán de la nube, pero también se tendrán en cuenta los elementos que la conforman, ya que las organizaciones usuarias deben atravesar un proceso de adaptación en el que no existe un punto de partida en común.
Cada organización tiene sus prácticas, su cultura y sus objetivos para los diferentes procesos de su negocio. Cada una de ellas cuenta con una infraestructura de IT que se ha ido conformando en base a necesidades, disponibilidad de efectivo, capacidad profesional de evaluación, diseño y muchos otros factores.
Por eso decimos que no hay un punto de partida en común para cloud computing.
Hoy son numerosos los departamentos de IT en los que se analiza esta variable. Quieren comprender bien su alcance, el impacto que el modelo puede tener en el negocio de sus empresas y cuáles son las brechas que todavía presenta, ya que todavía existen dudas sobre la seguridad, la interoperabilidad, la integración, la performance, la confiabilidad y el potencial retorno de las inversiones que se realicen en esos ambientes cloud.
Sin duda esas brechas serán solucionadas. También existieron similares preocupaciones cuando aparecieron la computación cliente/servidor, los modelos distribuidos, las redes privadas, las redes extendidas (WANs) y muchos otros cambios que luego se impusieron y dieron buenos resultados durante el ciclo de vida útil que tuvieron.
A la gente del negocio, que también está mirando a cloud computing con atención, vamos a tratar de brindarle un panorama de sus posibilidades y caminos a recorrer para poder cosechar sus beneficios.
Son muchos los empresarios y directivos que están viendo a la nube como a un elemento capaz de sortear algunos escollos que sus propias infraestructuras de IT les imponen. No existe el departamento de IT que satisfaga todas las expectativas de los directivos en términos de flexibilidad, velocidad y oportunidad. Por lo menos esa es la opinión que se recoge de quienes dirigen las empresas en ambientes cada vez más competitivos y agresivos.
La brecha que frecuentemente existe entre lo que se puede hacer y lo que se quisiera hacer, sin duda aumenta el atractivo del concepto cloud y por eso recibe merecida atención.
Infraestructura definida por software
La idea de “definir por software” es parte de un viejo anhelo de la comunidad profesional de IT. Se trata de reducir la intervención manual que implica tocar los equipamientos para armonizarlos con el resto de la infraestructura, para pasar a manejarse con estándares que hacen que esa infraestructura sea programable desde tableros de control y que la interoperabilidad de los diversos elementos del centro de datos se realice en forma automatizada.
En la nube, como es de esperar, no podremos ver los equipamientos que estaremos utilizando y ni siquiera sabremos dónde se encuentran instalados. Los recursos que hoy creamos con una mezcla de hardware y software nos serán entregados en forma de servicios. Podremos pedir un servidor para que funcione una aplicación determinada, el alcance y las políticas de uso, el tipo de red sobre la que correrá y muchos otros elementos, sin siquiera ver una computadora.
La definición por software es tecnología ya muy adelantada y disponible. Tenemos a SDN (Software Defined Networking), a SDDC (Software Defined Data Center), a SDS (Software Defined Storage), a SDI (Software Defined Infrastructure) y otras iniciativas tecnológicas que permiten crear, administrar y utilizar recursos en forma de pool.
Esta definición de infraestructura mediante software ya se puede consumir (otro término algo novedoso para los ambientes empresariales, el de “consumidor”) en forma de servicios de parte de proveedores de nube pública como Amazon, con sus Web Services. Pero también las empresas podrán configurar e implementar sus propias nubes para implantar funcionalidad ágilmente en forma de servicios dentro de su propia organización. A este modelo que se denomina de nube privada, se le puede combinar con uno como el de Amazon y así tendremos una nube híbrida. De esta manera, la nube tiene tres encarnaciones: privada, pública e híbrida.
Qué define a cloud computing
Según las firmas consultoras especializadas en el mercado de IT, los atributos que definen a cloud computing son cinco:
a. Auto provisionamiento de los usuarios vía un portal.
b. Ser elástica y escalable.
c. Funcionar con un modelo “Utility” (donde los servicios y recursos llegan al usuario sin que el usuario se involucre en su generación o tecnología).
d. Ser accesible desde cualquier punto con conexión a Internet o a una red corporativa o ambas. Para los usuarios, acceso a las aplicaciones, archivos, etc. Para los técnicos y desarrolladores, acceso a los recursos a los que están autorizados en su uso.
e. Acceso e interoperabilidad entre nubes. Ejemplo: una aplicación de recursos humanos reside en la nube pública de un proveedor. La compramos así porque el departamento de RR.HH. quería usarla rápido, pero los archivos de nómina están en nuestra nube privada. Las nubes tienen que permitirnos interoperar siguiendo políticas de acceso y de uso de lo que se llaman servicios.
Claramente, vemos que para que esos requisitos se cumplan, la automatización y la interoperabilidad son esenciales. Si bien ya existen estándares ampliamente adoptados que permiten la interoperabilidad, algunos proveedores aún tienen que adherir a ellos.
Tendencias que marcan el cambio
El advenimiento de la nube no es casual. Es el resultado de un conjunto de tendencias como la virtualización, la movilidad y muchas otras. Pero a su vez, la nube dispara tendencias generadoras de cambios, tanto en lo que toca a recursos profesionales, como a la asignación presupuestaria, entre otros. Veamos a continuación a algunas de estas tendencias.
Appliance Computing
Se denomina Appliance Computing a la capacidad de crear una configuración estándar de todos los elementos como servidores, almacenamiento y red, para así reducir el tiempo de implantación y minimizar las excepciones. Compañías como IBM, Cisco/EMC y Oracle, ya tienen soluciones de esta clase. Algunos más propietarios, otros más abiertos a la heterogeneidad.
El objetivo mayor es el de reducir la complejidad y es de esperar que el siguiente paso en esta evolución consista en incluir a la telefonía y a desktops virtuales residiendo en el host. También es de esperar que plataformas como la de mainframes, por ejemplo, se orienten a esta clase de esquemas y que los precios cambien hacia un modelo anual, donde el hardware es provisto como parte de un contrato de servicio donde se opera más bien en un formato de servicios cloud que en el de un proveedor asociado y si bien la asociación pueda convertirse en una opción con el correr del tiempo.
Computación con Cliente Delgado
Existen tres compañías entre las que están marcando rumbo. Estas son Amazon, Dell y HP. Si alguien se sorprende por la presencia de Amazon, cabe contarle que Amazon Web Services podría fácilmente convertirse en el back end de un proyecto thin client (cliente delgado). Sus ofertas de Kindles y Smartphone ya son factibles en dispositivos thin client y como resultado tendremos una solución de punta-a-punta. El target de esta solución serán pequeñas empresas y medianas no muy grandes.
En este sector, Dell aparece como la compañía más agresiva al impulsar su conexión Cloud Dell-Wyse Connect. Otro jugador sorpresa es Lenovo, que ha estado apuntando a este espacio pero no ha podido realizar las adquisiciones de empresas necesarias y todavía no aparece con un producto.
Sistemas de apoyo a decisiones
Aquí aparecen los analíticos para big data. Este es un segmento donde vemos a proveedores que todavía enfatizan en hardware y software, para luego ocuparse de las soluciones. Están aún en la fase primaria de Big Data Analytics. Pero si nos detenemos en lo que ocurre en las empresas usuarias, el problema crítico a resolver no es el del software y hardware, sino el de la gente que toma decisiones. Son ellos quienes deben saber cuáles operaciones deben realizar para poder usar información real en el momento adecuado. En este aspecto, tanto Google como IBM, bajo su marca Watson, están desarrollando motores de decisión en gran escala. Una vez implantada esta clase de recurso, podría cambiar sustancialmente el panorama competitivo de las empresas y organizaciones, incluyendo a las de gobierno, por ejemplo. Los masivos volúmenes de información que estas organizaciones almacenan pueden convertirse en la fuente de mejores y oportunas decisiones en forma rápida.
La robótica
El gran jugador del momento es Google. Pero también existe una cantidad de compañías menores que están detrás de esta oportunidad. En forma similar a lo ocurrido en la era de la revolución de la PC, es de esperar que compañías como Apple o Microsoft aparezcan para protagonizar el mercado.
Los planes de Google todavía no son claros ya que, por su manera de lanzar proyectos no siempre se puede vislumbrar cuáles son sus objetivos concretos. Los autos o camiones guiados automáticamente, línea de manufactura con robots humanoides, drones y otra clase de robots ya están siendo utilizados o en etapa de prueba para la creación de futuros productos.
La utilización más disruptiva de estas tecnologías sería en áreas donde los trabajos son muy repetitivos, tales como las líneas de ensamblado. Pero siempre está presente el factor humano ¿Qué elección realizarían las empresas sabiendo que esto puede traer desempleo al menos en sus etapas iniciales? La transición puede ser complicada.
Mayor seguridad
Actualmente existe un movimiento hacia una mayor profundidad en la seguridad. Aquí aparecen movimientos como la adquisición de McAfee por parte de Intel y los de prácticamente todos los demás proveedores de seguridad que trabajan en este tema. Este movimiento es una respuesta a la militarización de los hackers y al ingreso de los Gobiernos en el papel de atacantes (EE.UU. como a otros países).
Estos proyectos exceden lo que se conoce como SIEM (Security Information and Event Management) e impactan con un alcance antes impensado, que va desde el mismo procesador en el corazón de los servidores y demás computadoras y llega hasta los ambientes externos y piezas de la seguridad física. La meta es la de anticipar ataques e identificar intentos para que cada punto pueda ser reforzado oportunamente para defenderse de amenazas que, de no usarse este enfoque, habrían sido sorpresivas.
Muchos analistas predicen un escenario donde peligran los empleos de mucha gente de seguridad de IT. Al menos inicialmente y hasta que se aclaren los nuevos roles y capacidades necesarias. Lo que queda claro es que el nivel de amenazas ha llegado a un punto donde las compañías comienzan a invertir en proyectos amplios para asegurarse de no ser el próximo blanco de ataques.
IT más amigable para el usuario/cliente
Como ejemplo podemos citar a un proveedor: BMC. Si bien en nuestro mercado es una compañía de bajo perfil, ha desarrollado soluciones como MyIT y Cloud Solution Planning Workshop. Estos proyectos son respuestas competitivas ante movimientos como los de Amazon Web Services, que han comenzado a crear redundancia con los departamentos de IT y permiten que esos departamentos de IT compitan con los proveedores cloud cada vez más establecidos en una lucha que cada vez será más frecuente. Con proyectos como los de BMC, el departamento de IT está en mejor situación para competir con la creciente ofensiva de los proveedores de servicios cloud.
Curiosamente, ya existen bastantes elementos que demuestran que los departamentos de IT pueden ofrecer soluciones cloud más ventajosas a las empresas que las de proveedores como Amazon. Como los departamentos de IT no pueden ofrecer la misma facilidad de uso que las nubes públicas, varios proveedores están desarrollando soluciones para la facilidad de uso. Así se pueden bajar los costos de los servicios para que no sean reemplazados por proveedores de nubes públicas, cuyos precios son aún elevados.
Seguridad
La ciberseguridad busca ser un aliado del negocio
Todo lo vinculado a la seguridad de la información se afianza como uno de los principales temas de la agenda IT. Con la llegada de los dispositivos móviles, los límites tradicionales de la red corporativa se diluyen y se hace necesario pensar nuevas maneras de gestionar la seguridad.
Por Leticia Pautasio
Los empleados tienen hoy en su mano una cantidad de información vital para la compañía, que debe estar segurizada adecuadamente para evitar pérdidas de información por negligencia, robo o pérdida del dispositivo móvil.
Pero además, la irrupción de cloud computing vino a disolver por completo los límites de la seguridad corporativa. Las tecnologías en la nube han traído nuevos desafíos para los gerentes de IT. Mientras que algunas compañías rechazan completamente el uso de la nube pública por motivos de seguridad, otras –quizás más osadas– utilizan este recurso como una manera de reducir los costos y ganar flexibilidad.
Pero lo cierto es que los riesgos a la seguridad han logrado crear un nuevo estadio de la nube: la nube híbrida. Hoy en día, la tendencia es a que las compañías tengan su nube privada –en donde tienen sus aplicaciones core business– y una nube híbrida, que les permite ganar flexibilidad.
La privacidad de la información sigue configurándose como uno de los ejes principales en materia de seguridad informática, tanto desde las organizaciones como desde el usuario final. Las organizaciones buscan resguardar su información corporativa, ante la amenaza externa –y también interna– del robo de información estratégica. Pero por el otro lado, los usuarios finales, cada vez más presentes en las redes sociales, empiezan a tomar consciencia de los riesgos de compartir todo en Internet. “Vivimos en un mundo de paradojas” dice el último estudio sobre privacidad realizado por EMC. El informe, que explora las actitudes de 15.000 consumidores en 15 países con relación a la privacidad, asegura que hay tres paradojas con respecto a la privacidad:
• La paradoja de quererlo todo: los consumidores dicen que quieren toda la conveniencia y los beneficios de la tecnología digital, pero dicen que no están dispuestos a sacrificar su privacidad para obtenerlos.
• La paradoja de la inactividad: aunque los riesgos de privacidad afectan directamente a muchos consumidores, la mayoría dice que prácticamente no toma medidas especiales para proteger su privacidad, y que considera que la responsabilidad corresponde a quienes manejan su información, como el Gobierno y las empresas.
• La paradoja de compartir en redes sociales: los usuarios de redes sociales dicen valorar su privacidad, pero comparten libremente grandes cantidades de datos personales, a pesar de expresar falta de confianza en que las instituciones protegerán su información.
El verdadero desafío en materia de seguridad informática no es tecnológico sino cultural. Como ya se revisó en la edición de marzo pasado, en el especial sobre ciberseguridad, uno de las principales preocupaciones es la concientización del usuario.
Pero también existe otro problema que enfrentan las áreas de IT: la falta de un presupuesto adecuado –o, en el caso de que sí exista el presupuesto, de una administración eficiente de éste– para llevar adelante los proyectos de seguridad. Los responsables de IT notaron este como uno de las principales barreras (ver el informe de Ernst & Young en la edición de mayo de Mercado), pero también es foco de preocupación de los proveedores de tecnología, que creen que todavía hay un largo camino por recorrer. Ellos consideran que se debe trabajar en modificar la visión que existe sobre la seguridad informática porque hoy en día, estas soluciones dejaron de ser un gasto, para convertirse en una inversión y un habilitador del negocio.
Blue Coat Systems
Lo que se necesita son herramientas avanzadas
Actualmente hay cuatro grandes impulsores de ataques: los hackers que están motivados por cuestiones económicas, la amenaza interna, los activistas (motivados por cuestiones ideológicas y políticas) y los ataques patrocinados por algunos Gobiernos. En todos los casos, se trata de individuos profesionales, con amenazas dirigidas.
Ignacio Conti
“Lo que teníamos usualmente como barreras de protección ya no son suficientes. Hay que complementarlo con herramientas avanzadas, pensadas para este nuevo entorno”, subrayó Ignacio Conti, Regional Manager SOLA de Blue Coat Systems.
Las amenazas en tiempo real (o día 0) son ventanas de oportunidad que tienen los atacantes para llevar adelante su propósito antes de que la compañía sea capaz de reaccionar. “Para esto existen tecnologías como sandbox, que son herramientas para ataques no conocidos”, indicó Conti.
Pero el ataque a amenazas no conocidas demanda un profundo análisis de lo que está ocurriendo fuera de la organización, para conocer cuáles son las tendencias y estar preparado ante una amenaza. Para ello, Blue Coat realiza constantemente análisis en Internet para detectar los sitios desde dónde parten los ataques, con el objetivo de achicar la brecha de vulnerabilidad. “Ninguna solución implementada es 100% segura, lo que sí buscamos es reducir las vulnerabilidades y estar preparados para mitigar de la manera más rápida posible los ataques”, explicó el ejecutivo.
La cuestión de la privacidad, resaltó Ignacio Conti, es una problemática que se incrementa, debido a que todavía no hay una conciencia en los usuarios. “En Internet es muy fácil abrirnos cuentas en diferentes sitios, y tendemos a hacerlo y bajar aplicaciones y dar acceso a toda la información que tenemos almacenada en el teléfono, por ejemplo”. A esta situación, se suma que las empresas son cada vez más vulnerables. “Estamos leyendo en los periódicos de pérdidas masivas de información. Hoy se dan a conocer los ataques y rápidamente se modifican los vectores de ataques”, resaltó el ejecutivo de Blue Coat.
Para Conti, la generación de políticas es la clave para el éxito de una estrategia de seguridad. “En el fondo, son cuestiones de sentido común”. El ejecutivo planteó que la generación Y –que cada vez tiene mayor participación dentro de las empresas– tiene una aproximación diferente a la tecnología y confía más en ella.
Dificultades para implementar
Conti explicó que en cuanto a la implementación de estrategias de seguridad, se han tenido algunas dificultades, debido a que las herramientas no suelen ser flexibles. Un caso típico –explicó– es que las áreas de Marketing y Recursos Humanos quiere fortalecer el uso de redes sociales dentro de la compañía para sus objetivos comerciales o de capacitación, pero no se puede implementar porque las herramientas de seguridad son poco flexibles: o permitían acceso a todas el contenido de las redes sociales o a ninguno. “Hoy, las herramientas más modernas permiten bloquear los juegos, por ejemplo, pero permitir los posteos o la interacción dentro de una red social”.
No obstante, el principal desafío que tienen hoy las empresas de seguridad es modificar la visión que se tiene de estas herramientas. Todavía, la seguridad está vista como un gasto, mientras que, en realidad se trata de una inversión. “Los proveedores tenemos por delante el desafío de demostrar que la seguridad es un facilitador, porque permite potenciar el negocio, tomar más riesgos y hacer más cosas”, añadió Ignacio Conti.
Este trabajo, se complementa con nuevas herramientas basadas en el cloud computing, que permiten dar mayor flexibilidad a los clientes. “Tenemos opciones virtuales y de cloud computing de herramientas para enfrentar las amenazas avanzadas”, destacó.
McAfee
Nuevas tecnologías, oportunidad de mejora
Cada una de esas tecnologías emergentes plantean desafíos diferentes pero todas ellas tienen un denominador común: generan un nuevo espectro de amenaza pero también adicionan una oportunidad de mejora.
Sergio Pilla
Así lo explica Sergio Pilla, Sales Engineer Argentina, Paraguay y Uruguay de McAfee. “El desafío de big data habilita a manejar analíticas que permitan detectar amenazas utilizando por ejemplo servicios de reputación y de esa manera detectar técnicas de evasión avanzadas y ataques avanzados persistentes. En el caso de BYOD, si aprovechamos esta necesidad de consumo, obtendremos como resultado un usuario más conectado y más consciente sobre los riesgos, ya sea en la empresa como en su hogar”, añadió.
Por otro lado, Pilla explica que los centros de datos basados en virtualización, infraestructura multitenant e infraestructura de gestión para provisionar y monitorear los servicios de la nube a gran escala “deben ser considerados en la arquitectura de seguridad”.
“El gran problema es que cuando las aplicaciones finalmente se mueven en la nube, la organización pierde visibilidad y control sobre su propio entorno”, detalló. La pérdida de control directo “pone una tremenda presión sobre los acuerdos de usuario y procedimientos operativos del proveedor de nube, que debe ser lo suficientemente flexible para poder ser constantemente actualizado y cubrir la evolución de las amenazas”.
En el caso de las grandes empresas, se cuenta con el poder suficiente para requerir a sus proveedores que las medidas de seguridad sean consistentes con las posturas de la organización. “Pero las pequeñas empresas tienen el desafío de revisar detalladamente los detalles del servicio, que a menudo son ambiguos, fundamentalmente en términos de seguridad y propiedad de los datos”, resaltó.
Pero, ¿cómo se lleva adelante una política de seguridad sin recargar la carga de trabajo en la red, los servidores y los end points? “En términos de ahorros de tiempo y recursos no se trata de una tecnología sino de una estrategia. Mc Affee ha puesto especial énfasis en este asunto a través de una iniciativa llamada ‘Seguridad Conectada’, que favorece la integración de los componentes, a la vez que mantiene una administración centralizada y unificada de sus soluciones”, explicó Pilla. La estrategia permite obtener datos con vistas consolidadas, y evita que el analista de seguridad tenga que atender múltiples consolas de gestión, que insume más tiempo, requiere más habilidades y retarda los procesos.
RSA
Cambio de perspectiva en el área de seguridad
Hoy en día 80% del presupuesto de seguridad en una organización tiene puesto el foco en las tecnologías de prevención, 15% en monitoreo y solo 5% en tecnologías para ayudar a dar respuestas a incidentes.
Marcos Nehme
“No es que falte presupuesto para el área de seguridad, sino que el problema es cómo se distribuye el presupuesto”, así comenzó Marcos Nehme, System Engineer Manager de América Latina y el Caribe de RSA, la división de seguridad de esta empresa.
El problema es que los ataques avanzados demandan una nueva perspectiva en cuanto a la estrategia de seguridad. “Hoy es más difícil saber cuál va a ser el siguiente ataque, todos los días vemos ataques nuevos”, explicó Nehme. Por eso, la mirada que deben tener las áreas de seguridad no es aumentar su presupuesto sino redirigirlo para hacerlo más eficiente. “Nosotros creemos que el presupuesto debería repartirse en tres partes iguales: 33% para prevención, 33% para monitoreo y 33% para responder a incidentes”, señaló.
El desafío es pasar de un modelo tradicional reactivo y basado en parámetros y controles estáticos a un modelo basado en inteligencia. La inteligencia –basada en herramientas de big data y analytics– permite gestionar mejor los sistemas de gestión de seguridad, añadiendo análisis de datos estructurados y no estructurados.
¿Cuáles son los retos en materia de seguridad? Nehme consideró que para los directores (CIO y CSO) el principal reto es la educación de sus profesionales y empleados y la capacidad de desarrollar procesos que permitan actuar rápidamente. Otro gran desafío es la integración de tecnologías. En cambio, para los profesionales de seguridad el reto es cultural: entender la estrategia de transformación que permita migrar los controles técnicos a big data y formar personas con habilidades en ciencias de datos. Otro desafío es comenzar a mirar las amenazas por fuera de lo que ocurre en la compañía.
Pero para que todo este ecosistema funcione, un rol fundamental lo tienen los Gobiernos, que deben liderar con el ejemplo. “El Gobierno tiene que facilitar el compartimiento de la información de las compañías”.
Lo cierto es que a la fecha la posibilidad de compartir información depende mucho de la industria. En el sector financiero, por ejemplo, existen organizaciones bancarias que ya tienen un nivel de madurez muy alta y que se sientan en la misma mesa a discutir sobre amenazas, buenas prácticas y procedimientos. Pero en general, esto no ocurre en la mayoría de las industrias. Por eso, es importante que los Gobiernos tomen la iniciativa en normalizar estas cuestiones.
Pero también es necesario que los países comiencen a cooperar entre sí para combatir los retos que trae la ciberseguridad. “Vemos que los ciberdelincuentes están organizados internacionalmente, pero nosotros no nos hemos podido todavía organizar para enfrentarlos”, afirmó Nehme.
Privacidad. El mundo se enfrenta hoy a un problema clave que es la privacidad de la información. “Vivimos en una paradoja, los usuarios ven los beneficios de la tecnología pero no siempre están dispuestos a sacrificar su privacidad por estos beneficios. Pero también ocurre que muchas veces, los consumidores, por el solo hecho de utilizar una aplicación o una tecnología no toman conciencia de la necesidad de proteger su privacidad y no realizan ninguna acción para protegerse”, concluyó Nehme. Según un estudio realizado por EMC sobre este tema, 91% de los encuestados valoran el beneficio de “acceso más fácil a información y conocimientos” que ofrece la tecnología digital, pero solo 27% afirma que está dispuesto a ceder cierta privacidad por mayor conveniencia y facilidad online.
Eset Latinoamérica
Big data, cloud computing y BYOD: cómo protegerse
La llegada de la “nube” trae nuevos desafíos en materia de seguridad. “Debe tenerse en cuenta que la información de la empresa pasará a depender de un tercero, es decir, que la información ya no estará bajo el estricto control del manager de IT como podría ser en un datacenter propio de la compañía”.
Así lo explican Ignacio Pérez, especialista de Seguridad de Eset Latinoamérica y Alejandro Salvadori, Product Manager de Eset Latinoamérica.
Entre las cuestiones que se debe tener en cuenta al implementar un servicio de este tipo, las empresas deben evaluar la disponibilidad de la red, la viabilidad del proveedor de la nube, la recuperación anti desastres y continuidad del negocio, transparencia, y el compromiso, por parte del proveedor de la nube, de informar cualquier incidente en materia de seguridad.
La pérdida de control físico de la red conlleva una serie de preocupaciones: privacidad de datos –con nubes públicas los datos no pueden permanecer en el mismo sistema, ya que podría provocar varios problemas legales–, control de datos, nuevos riesgos y vulnerabilidades, y cumplimiento de normas y cuestiones legales. “Puede resultar difícil o poco realista utilizar los permisos de nubes públicas si los datos están sujetos a restricciones legales o cumplimiento de normas”, indicó. Una alternativa, es esperar que los proveedores realicen la correspondiente certificación de sus infraestructuras cloud, para satisfacer las necesidades de los mercados regulados.
Por otro lado, el análisis de grandes volúmenes de información –big data– puede aportar un ventaja a las empresas, pero a su vez tiene asociados retos para la seguridad, indicaron desde Eset Latinoamérica. “Estructuras de cómputo distribuido, en los cuales intervienen múltiples plataformas y sistemas deben tener consideraciones especiales de seguridad, pues tanta diversidad puede dar a lugar a que queden agujeros de seguridad explotables por ciberdelincuentes”, resaltaron.
En cuanto a otras tendencias, como bring your own device (BYOD), “trae tu propio dispositivo”, hay que pensar políticas como asegurar las redes de acceso –utilizando sistemas de autenticación que permitan identificar quién accede y qué tipo de información manipula–, proteger las conexiones Wi-Fi, gestionar roles, monitorear el tráfico en dispositivos BYOD, redactar una política de seguridad y proteger contra códigos maliciosos. No obstante, la implementación de herramientas de seguridad no alcanza, sin un trabajo en paralelo en capacitación y concientización de los empleados. “La educación debe ser un pilar importante para que todos los usuarios sean conscientes de los riesgos a los cuales pueden verse expuestos y cuáles son los cuidados que deben tener al ingresar dispositivos ajenos a la compañía”, afirmaron en Eset.
Symantec
Proactividad define lo que es efectividad
“Cuando conversamos con nuestros clientes, la pregunta que siempre surge es ¿cómo logramos poner inteligencia y aprovechar las capacidades del cómputo en la nube sin perder poder de acción?”.
Nicolás Severino
Ese es el planteo de Nicolás Severino, director de Ingeniería y Servicios para América Latina y el Caribe de Symantec. La inteligencia supone dos cuestiones: del lado del cliente, no se trata solo de soluciones de big data –en donde la capacidad de generar inteligencia supone un costo muy caro cuyo retorno de inversión es muy difícil de contabilizar– sino de implementar soluciones de telemetría, con sensores distribuidos a lo largo de la infraestructura para llevar adelante un control de lo que sucede en los distintos sitios de la red, y tomar acciones en el caso de anomalías.
Pero del lado del proveedor de seguridad, la inteligencia está dada por el uso de herramientas de análisis de grandes volúmenes de información. “Nosotros procesamos cerca de dos trillones de eventos. Tenemos una enorme herramienta de big data que nos permite llevar esta inteligencia a nuestros clientes”, explicó Severino.
El ejecutivo consideró que la irrupción de tendencias como el BYOD (bring your own device, o trae tu propio dispositivo) trajo un desafío para las áreas de IT. Las nuevas preguntas son: ¿las empresas deben realizar el esfuerzo de asegurar los dispositivos? ¿Qué es lo que quiero proteger y cómo hago para protegerlo? La respuesta, según Severino, cada vez está más orientada a proteger, no el dispositivo, sino la interacción de ese dispositivo. Otra solución es la que permite separar el plano laboral del personal dentro de un mismo dispositivo.
“Hoy en día, la inmediatez y la virulencia de los ataques –ramsonware, ataques dirigidos– demandan un enfoque completamente nuevo. Actualmente es la proactividad la que define la efectividad”, resaltó Severino. El problema, admitió el ejecutivo, es que muchas veces, las compañías rechazan la proactividad porque tienen miedo de, que con este tipo de soluciones, se bloqueen acciones que no precisaban bloquearse. “Las empresas deben ser capaces de determinar cuáles son las alertas a las que hay que responder y cuáles son los dispositivos comprometidos para tomar acción al respecto”, destacó.
Por último, Nicolás Severino sintetizó los principales puntos a considerar en una compañía de cara a la implementación de una estrategia de seguridad: aumento del robo en los datos –actualmente se experimenta un incremento del robo de información por motivos tanto económicos como políticos o ideológicos–, aumento de los ataques dirigidos –técnicas específicas para ataques en organizaciones y malware –incremento de ramsonware–.
“Hoy vemos que la tecnología y la seguridad se han vuelto facilitadores de nuevos negocios, y ya no son vistos como un costo por parte de las organizaciones”, explicó el ejecutivo.
Websense South Cone
Cloud en el foco de la tormenta
“Los servicios de cloud van a estar en el ojo del huracán por la sencilla razón de que serán el blanco predilecto de los ataques”, alerta Lukas Alarcón, Senior Sales Engineer de esta firma. Con el uso masivo de sistemas que permiten almacenar datos en la nube, las amenazas se volcarán a este tipo de tecnologías.
Lukas Alarcón
“Probablemente, encuentren que al ingresar a los datos alojados en la nube, sea más fácil accederlos dentro de la empresa”, explicó Alarcón.
Lo cierto es que existe una tendencia por parte de los ciberdelincuentes a disminuir el esfuerzo de penetración hacia la empresa y focalizarse no solo en los datos internos, sino en los servicios de conectividad de otros servicios en la nube. “El desafío está en generar una nueva serie de controles que se adapten a la dualidad de la estadía de los datos –parte empresa/parte cloud– para enfrentar posibles nuevas amenazas”, afirmó.
El principal cambio es la aplicación de dominios de control para servicios de nube. Dependiendo del servicio que se brinde, ciertos controles deberán regir para el uso específico de determinadas aplicaciones. “Servicios de aplicaciones por ejemplo, deberán cumplir con estándares de diseño, desarrollo y disposición de acuerdo a los estándares de la OWASP. En algunos casos de aplicativos se deberían velar por todos los requerimientos regulatorios, contractuales y de seguridad frente a los requerimientos de acceso a dichos contenidos. Igualmente se deberían establecer medidas técnicas y procesos de negocios para asegurar de todas formas la disponibilidad, integridad y confidencialidad de los datos intercambiados entre una o más interfaces cloud”, explicó el ejecutivo de Websense.
Otro punto importante es la ejecución de planes de auditoría para controlar la duplicación de datos, acceso y límites de acceso al dato, para minimizar los impactos al negocio. También es necesario plantear un inventario o mapa de las obligaciones asociadas a la presencia de datos, de acuerdo a la geografía, la infraestructura virtual y componentes de sistemas.
“Las tecnologías de tiempo real permiten tener un mayor control sobre los posibles eventos o actividades en diversos sistemas. En el último tiempo y con el advenimiento de tecnologías de hardware que permiten mayor rapidez a menores costos, estos análisis son considerados una pieza fundamental de las estrategias de las empresas de seguridad”, subrayó.
F-Secure
Protección para el entorno móvil
“Las amenazas de seguridad en línea son cada vez más sofisticadas, han evolucionado y crecido considerablemente. Después de las revelaciones de Snowden, las empresas no solo son más sensibles a las cuestiones de seguridad, sino también a la privacidad”, afirmó Leandro Hernández, vicepresidente de Ventas y Operaciones para América Latina.
Por ello, la obligación de proporcionar protección se volvió cada vez más relevante y las empresas comenzaron a preocuparse por si su proveedor de nube sigue las normas técnicas adoptadas globalmente, como la norma ISO 27.101. “En general, las empresas deben buscar soluciones de seguridad en la nube, a través de proveedores de confianza, que cumplen con los requisitos de seguridad interna. La estrategia debe tener en cuenta la seguridad de los dispositivos móviles (incluyendo BYOD) usados para acceder a los sistemas corporativos”, planteó el ejecutivo.
Para resolver estos desafíos, F-Secure cuenta con una cartera de soluciones de seguridad que van desde protección para dispositivos tradicionales, servidores y los entornos virtuales, hasta garantizar la protección y privacidad de los dispositivos móviles. “La solución de seguridad en nube F-Secure PSB (Servicios de Protección para los negocios), por ejemplo, permite proteger múltiples dispositivos y mantener su software actualizado, ya que el proceso se realiza de forma automática”. A esta solución, se le pueden añadir los servicios de Younited for Business y Freedome for Business, que permiten el almacenamiento e intercambio seguro de archivos, protección de la navegación por Internet y criptografía de datos, entre otros. “Hoy en día es cada vez más frecuente la disponibilidad de acceso gratuito a la red, por lo que es importante que los datos que viajen entre la máquina y la red (o Internet) sean encriptados”, destacó Hernández.
No obstante, para que estas soluciones sean eficaces, las empresas deben adoptar una política de seguridad. “los problemas de gobierno corporativo deben ser observados y se deben establecer normas claras y realizar un trabajo en conjunto entre el departamento de TI, RR.HH. y legales”, explicó.
Capítulo II. Movilidad
BYOD, los cambios con la inteligencia en tiempo real
Se habla desde hace varios años de la explosión de los dispositivos móviles y de todos los cambios que estos equipos han traído a las organizaciones. Desde transformaciones en la estrategia de seguridad, a un aumento de la productividad y hasta a nuevas formas de pensar el negocio.
Según el Accenture Technology Vision 2014, “el mundo real está entrando en línea a medida que los dispositivos portátiles y los objetos y las máquinas inteligentes nos brindan inteligencia en tiempo real y cambian nuestro modo de vivir y la manera en que operan las compañías”.
La movilidad trae un nuevo nivel de inteligencia conectada que aumenta las capacidades de inteligencia, automatiza los procesos e incorpora las máquinas a nuestras vidas. “Para los consumidores, proporciona nuevos niveles de poder y, para las organizaciones, obtener datos pertinentes en tiempo real significa que tanto las máquinas como los empleados pueden actuar y reaccionar con más rapidez e inteligencia en prácticamente cualquier situación”, destaca el informe de Accenture.
La movilidad se posiciona en un nuevo nivel, traspasando otra vez los límites de los dispositivos. Hoy en día no solo hay computadoras, teléfonos y tabletas conectadas a Internet, sino una cantidad enorme de dispositivos, entre consolas de videojuegos, relojes, sensores, máquinas y hasta luminarias o automóviles, entre otros. Internet de las Cosas ya está entre nosotros.
Para las compañías, aprovechar las funcionalidades de los nuevos dispositivos conectados es una ventaja competitiva, y por eso, aparecen nuevas soluciones de conectividad para atender esa demanda. Las empresas telefónicas crean servicios pensados especialmente para el mundo del machine-to-machine (M2M) y las redes se revisan para ofrecer el máximo de su potencial.
Grandes desafíos
No obstante, todo este cúmulo de dispositivos conectados trae grandes desafíos en materia de conectividad. Esta tendencia, sumado a un incremento del tráfico de video por el uso de herramientas de videollamadas, telepresencia y video demandan una actualización de la infraestructura.
Las antenas celulares –autopista natural de los equipos móviles– no alcanzan a atender la demanda de tráfico, y aparecen soluciones de pequeñas celdas (smallcells) y Wi-Fi para ofrecer mayor cobertura tanto en el exterior como en el interior de los edificios. Las empresas también están aprovechando esta tendencia, con el objetivo de asegurarse contar con una conexión segura y siempre disponible para sus áreas de trabajo.
Bring your own device (BYOD, “trae tu propio dispositivo”) aparece como una de las tendencias más fuertes en materia de movilidad. Las empresas ya han aceptado que sus empleados traigan sus propios equipos y los conecten a la red corporativa, pero aún queda trabajar en todo lo que se refiere a control de aplicaciones y uso de la información corporativa en los dispositivos personales de los trabajadores.
BYOD es, en teoría, una oportunidad de ahorrar costos y otorgar libertad a sus empleados para elegir el equipo que les resulte más apropiado para trabajar. Pero también puede convertirse en un problema de seguridad. Por eso, algunas organizaciones aún mantienen un esquema de compra de flotas de equipos de un mismo fabricante, con el objetivo de reducir las complejidades.
Sin embargo, paralelamente, aparecen en el mercado soluciones de gestión de dispositivos que permiten a las áreas de IT tener el control de todo lo que ocurre con los datos empresariales en los equipos personales de sus trabajadores. Estas soluciones son una de las principales demandas de las organizaciones, que buscan a través de ellas manejar la heterogeneidad de equipos que se conectan a la red. Estas soluciones se ofrecen a través de las propias empresas telefónicas y son uno de los servicios de valor agregado que más éxito tiene en el mercado.
Telefónica
Internet de las Cosas, camino de la movilidad
En el mundo corporativo, las soluciones de valor agregado como seguridad, herramientas colaborativas, aplicaciones de negocio y e-mail corporativo son las que se llevan la mayor parte de la demanda de esta compañía. Los servicios de voz y datos móviles también mantienen índices estables de demanda.
Pero sin duda, con la movilidad, las soluciones de administración de dispositivos móviles (MDM) han tomado cada vez mayor relevancia. “El BYOD justamente genera una oportunidad en el desarrollo de servicios basados en aplicaciones sobre datos móviles, en un entorno seguro soportado por servicios como MDM que permite a las organizaciones mantener políticas corporativas en el uso de la información y los dispositivos, equivalentes a las que aplicaban con soluciones como el BES con dispositivos Blackberry”, explicó Javier Hernández, gerente de Productos y Servicios Corporativos de Telefónica.
Las conexiones máquina a máquina (M2M) e Internet de Todo obligaron a las compañías a crear nuevas soluciones para atender esta nueva demanda. “En la actualidad tenemos más de 100.000 dispositivos M2M en modalidad business to business (B2B) o en la modalidad business to bussiness to consumer (B2B2C)”, explicó Hernández.
El ejecutivo planteó que el mundo de M2M es realmente amplio, tanto en cuanto al tipo de dispositivos que se pueden conectar, como en cuanto al software de aplicación. Internet de las Cosas va desde los servicios que actualmente son más utilizados como localización automática de vehículos (AVL), a soluciones más específicas aplicadas a ciertos sectores de la economía, como salud –soluciones para la fiscalización de las prestaciones médicas de terceros o para tele monitorización de biomedidas en pacientes con internación domiciliaria–, agro –medición de concentración de humedad, temperatura, CO2 y O2 en silobolsas–, medición y automatización de uso de luminarias públicas en los municipios o la medición y control de transformadores de energía para el mercado eléctrico. “Telefónica tiene soluciones para todos los segmentos y que son pensadas desde las necesidades específicas de las utilities, el agro, las industrias, el sector público, el transporte y el sector financiero”, afirmó.
Hernández explica que el M2M es el futuro de las conexiones móviles y será el lugar de mayor crecimiento. “Las aplicaciones son y serán la llave para la adopción de la movilidad en las áreas más operativas de las organizaciones. Nuestros clientes ya están incorporando la movilidad para optimizar sus procesos y para establecer nuevos modelos de relacionamiento con sus clientes”, destacó el ejecutivo de Telefónica.
Servicios de conectividad
Para Hernández, la disponibilidad y calidad de los servicios de conectividad, de administración de dispositivos y de seguridad de la información conforman una plataforma habilitante y de gran relevancia para el desarrollo de la movilidad.
Sin embargo, todo este nuevo mundo conectado tiene nuevos desafíos. “Nuestro principal desafío es justamente la optimización y readecuación de la plataforma de servicios que habiliten a la movilidad en las organizaciones y que van más allá de la tecnología, esto es, que incluyen una adecuada operación y administración de la misma”, explicó Hernández.
Adicionalmente, el incremento del tráfico demanda inversiones por parte de las compañías telefónicas para ampliar la capacidad de su red. “Hasta el momento, la participación del video en el tráfico de datos móviles no es relevante, pero se espera que lo sea en el corto plazo”, detalló.
En el ámbito empresarial, particularmente, Telefónica ofrece soluciones Wi-Fi o pequeños nodos de red indoor integrados a la red celular, con el objetivo de optimizar la experiencia de los usuarios y –en el caso de sitios con alta concentración de tráfico–, descargar los nodos del exterior. “En los últimos años hemos incrementado en gran medida la cantidad de nodos, la capilaridad y la capacidad de la red para acompañar el crecimiento del tráfico, tanto de entornos outdoor como indoor”, afirmó.
La movilidad trajo nuevos usos y aplicaciones. Telefónica presentó recientemente TuGo, una aplicación que permite al usuario utilizar su número de teléfono en cinco dispositivos –desde smartphones, tabletas y computadoras–, hacer y recibir llamadas y SMS desde cualquiera de esos equipos, con solo conectar el dispositivo a Internet. “Todas esas características y atributos creemos que serán valoradas por una organización que piensa en movilizar el puesto de trabajo. TuGo, combinado con las capacidades de virtualización de nuestras redes de voz, nos permitirá cambiar la forma en que las corporaciones viven la experiencia de comunicarse, no importa donde estén, no importa el dispositivo disponible”, remarcó.
Grupo Telecom
Nuevos servicios en un mundo hiperconectado
La tendencia del BYOD (“trae tu propio dispositivo”) generó nuevas necesidades en materia de conectividad. Para ello, las telefónicas tuvieron que actuar rápidamente, generando una oferta de servicios que atendiera las nuevas demandas de los consumidores.
Manuel Correa Cuenca
“Personal lanzó para estos segmentos planes mixtos –que incluyen un abono básico con montos fijos sobre los que el cliente puede luego recargar crédito– enfocados en el concepto de control y conveniencia y contando ahora con la posibilidad de acceder a la oferta de packs vigentes y a los mecanismos de recargas existentes”, indicó Manuel Correa Cuenca, director de Marketing de Grupo Telecom.
Adicionalmente, BYOD trajo consigo la necesidad de contar con soluciones que permitan controlar los diferentes dispositivos conectados a las redes corporativas –celulares, notebooks, computadoras, tabletas– y gestionar políticas de seguridad y uso de estos dispositivos –back up remoto, bloqueos, restricciones de llamadas, encriptación de la información, entre otros–, con el objetivo de mantener un control sobre la información corporativa.
Para Grupo Telecom, la movilidad impulsó un cambio cultural a partir de la disponibilidad de la conexión permanente entre las personas. “Creemos que la mayor proyección vendrá dada por tres factores: el rol activo e innovador de los operadores en la evolución de la cadena de valor de la industria, la capacidad de desarrollar Internet móvil y favorecer una experiencia única y satisfactoria de acceso al mundo digital a través de cualquier dispositivo y la capacidad de empatizar con el cliente y brindarle una atención de calidad”, remarcó.
El ejecutivo afirmó que el anuncio de la licitación de 4G representará un avance en la mejora de la calidad del servicio, permitiendo ampliar la capacidad de las redes. “El espectro asignado a Personal permaneció estable desde los últimos 10 años y hoy son 20 millones de clientes que diariamente incrementan su necesidad de consumir datos en movilidad. Esto se refleja, por ejemplo, en que el tráfico de datos en nuestra red se ha multiplicado por ocho en los últimos dos años”, afirmó Correa Cuenca.
El ejecutivo destacó que más de 80 % de los dispositivos móviles que poseen los clientes permiten utilizar servicios basados en datos como e-mail, chat o redes sociales. “En Personal siete de cada 10 teléfonos vendidos son smartphones, cuando en 2011 la relación era solo de dos cada 10”, subrayó.
Mejor experiencia de navegación
Con el objetivo de atender esta explosión de la demanda, Grupo Telecom lanzó a fines del año pasado la solución Personal Wi-Fi, que brinda acceso gratuito a redes Wi-Fi en aeropuertos y otros espacios públicos. “Personal Wi-Fi es una solución tecnológica que permite, mediante la derivación del tráfico de datos a una red Wi-Fi propia, mejorar la experiencia de navegación de sus clientes y, paralelamente, la calidad de las llamadas de voz y los mensajes de texto, a partir de la ampliación de los recursos de red para estos servicios básicos”, añadió Correa Cuenca. El despliegue de esta tecnología ya se realizó en algunos aeropuertos, shoppings y estadios. Durante este año, la compañía prevé llegar a todos los aeropuertos del país, comercios, shoppings y supermercados.
Adicionalmente, el incremento en la cantidad de dispositivos conectados, con la irrupción de sensores y otros dispositivos similares, obliga a los operadores a pensar nuevas soluciones para el mercado máquina a máquina (M2M). “Con el objetivo de expandirse en la cadena de valor de M2M, Personal está desarrollando soluciones de aplicación M2M para diferentes mercados verticales”, afirmó el ejecutivo de Telecom. El objetivo es facilitar a los clientes la gestión de su negocio con mayor valor agregado sobre la conectividad. “En esta dirección se están sentando las bases para que, además de ser un transmisor de información, se pueda procesar y gestionar esa información”.
