Reportaje sobre Seguridad Lógica recogido de la tertulia que organizó la revista Computing (@ComputingBPS) y que han publicado en su número 659. Las principales entidades hablan sobre el cibercrime, una amenaza presente en todas las organizaciones. Primariamente centrados en la industria bancaria y equipos domésticos durante años, definitivamente
los cibercriminales han trasladado su objetivo al
entorno empresarial a fin de rentabilizar el fraude.
1. ESPAÑA
Nº 659 | 6 abril 2011 | Precio 3€ | www.computing.es El semanario español de las TIC
Tertulia: El cibercrimen mira a la empresa Unit4 afronta
Durante la Mesa Redonda organizada por Com-
puting en colaboración con RSA, la división de se-
una nueva etapa
guridad de EMC, en la que han estado presentes Juan Antonio Fernández, director general de la
algunas de las entidades bancarias más impor- compañía, charla con Computing para dejar claros
tantes de nuestro país, se han debatido las últi- cuáles son los nuevos planes del grupo tras haber
mas tendencias en cibercrimen, que ahora dirige renovado su imagen de marca. El cloud computing,
los ataques hacia los dispositivos móviles y el en- la movilidad y el desarrollo del negocio en Latino-
torno empresarial. | Páginas 10-12 américa centran las prioridades. | Páginas 18-19
Por un montante de 250 millones de euros Mercado
El sector de servicios TI
Endesa transfiere su actividad de cae un 4,4% en 2010 Más información en Página 25
Sistemas y Telecomunicaciones a Enel Compañía 2H de 2010 2H de 2009 Crecimiento
La noticia bomba ha salta- Nacional del Mercado de Va- rope, filial española del Grupo importe de 250 millones de eu- Indra 618,8 609,4 1,50%
do a los medios on line tras una lores, que informa que Endesa Enel, su actividad de Sistemas ros, con una plusvalía bruta Telefónica 429,9 403,7 6,50%
sucinta nota de la Comisión ha cedido a Enel Energy Eu- y Telecomunciaciones por un en torno a los 170 millones.
IBM 340,9 348,9 -2,30%
Accenture 313,4 323,5 -3,10%
HP-EDS 280,9 288,6 -2,70%
T-Systems 182,1 186,6 -2,40%
Everis 153,1 126,9 20,70%
Atos Origin 152,4 169,7 -10,20%
CapGemini 139,2 134,0 3,90%
IECISA 136,8 118,7 15,30%
Fuente: IDC
Actualidad
Sumario
Iecisa hace
APLICACIÓN: Cisco dota a
balance de la Barcelona World Race de
toda una infraestructura de
EspacioMonzón comunicaciones de voz, datos
y vídeo. I Página 20
El Centro de Servicios Tec-
nológicos EspacioMonzón
abrió sus puertas a principios de ESTRATEGIA: Javier Morei-
2008. Tres años después, In- ra se pone al frente de HP
formática El Corte Inglés hace Software España y Portugal
balance de la actividad de este con el plan de mantener un
Plan Avanza 2 centro, que ya acoge a 160 pro- crecimiento de doble dígito a
fesionales, y al que da una no- finales de año. I Página 25
Industria destina 682 millones para impulsar la SI ta más que positiva: ha ayuda-
do a la consultora a mejorar su
capacidad de respuesta, a la vez
ENTREVISTA: Moisés Ca-
marero, director general de
El Plan Avanza 2 ya ha abier- De esta cantidad, 679,75 mi- mento de la investigación, el aplicaciones, contenidos y ser- que ha contribuido a reforzar
Compusof, explica las claves
to la convocatoria para este año llones de euros, el 99,56% del desarrollo y la innovación in- vicios TIC; la promoción de la su posicionamiento como pro-
que contempla 74 millones de total, se destina a los subpro- dustrial mediante el apoyo a participación española en los veedor de servicios en el mer- de su estrategia para ser un
euros en subvenciones y gramas de la convocatoria que las empresas que desarrollan proyectos internacionales; y la cado nacional e internacional. gran proveedor de servicios
608,75 millones en préstamos. se dirigen a pymes para el fo- nuevos productos, procesos, formación y reciclaje continuo. Más información en Página 4 en mid-market. I Página 24
2. www
10 6 abril 2011 [Tertulias Computing]
Según se desprende del encuentro celebrado por Computing y RSA, la división de seguridad de EMC
“El cibercrimen se dirige ahora hacia los
dispositivos móviles y entorno empresarial”
El cibercrimen es una amenaza presente en todas las or- entorno empresarial a fin de rentabilizar el fraude. Duran- han abordado las tendencias más importantes en este
ganizaciones. Primariamente centrados en la industria te la tertulia organizada por COMPUTING, en colaboración ámbito, condensadas en ataques a dispositivos móviles,
bancaria y equipos domésticos durante años, definitiva- con RSA, división de EMC, los responsables de seguridad malware desde redes sociales, o vulneración de las ba-
mente los cibercriminales han trasladado su objetivo al de las principales entidades financieras de nuestro país rreras de seguridad por parte de los propios empleados.
El cibercrimen continúa sin dirigirse a los equipos domés- necesidad de adoptar solucio- guridad TI de algunas de las subieron los ataques un 27% sitivos móviles. Cada vez más
mostrar señales de retroceso. ticos a los empleados de una nes de protección y gestión principales entidades finan- con respecto a 2009, y además utilizamos smartphones y ta-
De hecho, durante 2010 han organización, tanto pública de la información, en concre- cieras de nuestro país. está evolucionando. Estamos blets para acceder a la banca
aparecido nuevas amenazas y como privada. to, en el ámbito del fraude y Iniciaba la charla David observando que hay ataques on line desde múltiples cana-
han aumentado los niveles de Frente a las nuevas tenden- cibercrimen, ya que el phising Navarro, responsable de Enti- de phising multimarca, es de- les que nos aportan más faci-
sofistificación en los ataques cias que se avecinan, -ataques sigue creciendo y los troyanos dades Financieras de RSA, cir, que van dirigidos desde re- lidad para trabajar con el ban-
presenciados en el mundo; y a dispositivos móviles, vulne- son cada vez más refinados. quien situaba el contexto ac- des sociales a un grupo de en- co. Ligado a esta tendencia,
en la nueva década que este ración de las barreras de segu- Bajo esta perspectiva, ha teni- tual en el que se encuentra la tidades a la vez, y están muy se ha producido un cierto
año se inaugura, el cibercri- ridad por parte de los propios do lugar una nueva tertulia, banca en un punto de infle- acompañados del uso de tro- puente entre las tecnologías de
men se está diversificando ha- empleados, o cómo la propie- organizada por COMPU- xión en cuanto a los retos que yanos específicos del sector consumo y las empresariales;
cia un camino diferente: los dad intelectual (información TING en colaboración con se aproximan, porque “en ten- de la banca como Zeus, con y esta convergencia de uso
ataques irán más allá de la in- empresarial) empieza a ser un RSA, la divsión de seguridad dencias, el phising está ahí pa- un interés de monetizar el personal y profesional de las
dustria de los servicios finan- dato buscado por los ciberde- de EMC, y que ha convoca- ra quedarse. Parece que se re- fraude. Otra tendencia es el TI presenta nuevos retos para
cieros, y el malware pasará de lincuentes-, ha aumentado la do a los responsables de la se- duce pero el año pasado uso de malware contra dispo- que haya fraude, como los ata-
3. www
[Tertulias Computing] 6 abril 2011 11
ques dirigidos contra emplea- malware dirigido a estas apli-
dos de la empresa. Por último, caciones y dispositivos es in-
cada vez hay troyanos más es- evitable. Pedro Pablo López, “Además de proteger “Una vez virtuali-
pecíficos y complejos. Hemos gerente de Seguridad, Privaci- a los clientes, se zadas todas las
percibido, por ejemplo, una dad y Continuidad Global de deben proteger tam- infraestructuras, los
posible fusión entre Zeus y Rural Servicios Informáticos
SpyEye, que generará un me- (RSI), comentaba en este sen- bién los activos de la dispositivos pasan a
gatroyano. Es clave, por tanto, tido que actualmente “el prin- empresa, incluyendo ser secundarios. El
en esta ecuación, la educación cipal reto es la evolución de los problema son los
a los empleados”
del usuario. Las entidades po- ataques, que ahora son más es-
nen contramedidas, nosotros pecializados y tienden hacia accesos”
proponemos soluciones, pero los smartphones, y la nueva Santiago Minguito,
el usuario y su educación es predisposición a enviar links responsable de Seguridad de Luis Saiz Gimeno, respon-
fundamental para poder dis- de phising en el ámbito de los la Información de Banco sable de Prevención de Deli-
cernir dónde está el ataque”. terminales móviles. Es más Sabadell. tos Tecnológicos de BBVA.
Luis Saiz Gimeno, respon- preocupante porque es volver
sable de Prevención de Deli- a empezar a educar al usuario
tos Tecnológicos de BBVA, de que el smartphone no sólo “Si el phising fuera “Nosotros damos
por su experiencia compartía sirve para llamar, también es
muchos de estos aspectos. un PC, el cual se utiliza para caro, habría menos servicios cloud a las
“Hay determinados tipos de pagos y banca móvil, com- ataques, pero como Cajas de Ahorro y
ataques que vienen para que- probar el correo electrónico, es barato, hay no se percibe minus-
darse porque son muy fáciles acceder on line a la red cor-
de realizar y difícilmente per- porativa o almacenar datos mucho volumen” valía de seguridad
seguibles. Lo que tenemos que personales. Y esto unido a la alguna”
procurar es que obtengan muy cada vez mayor descarga de Javier Sevillano,
responsable de Infraestruc- José Luis Serna,
tura Tecnológica del Depar-
“Hay que procurar que los tamento de Seguridad Infor-
Jefe de Desarrollo de Produc-
to de Nuevos Canales de la
mática de Caja Madrid.
ataques y fraudes obtengan Ceca.
muy poca rentabilidad” “Las entidades po-
“El principal reto es
nen contramedidas,
la evolución de los
poca rentabilidad. Efectiva- aplicaciones móviles, nicho de nosotros proporcio-
mente, el phising se está diri- posibles nuevos ataques, nos ataques, que ahora
namos soluciones,
giendo, no sólo contra los ban- plantea nuevos retos de segu- son más especializa-
cos, también contra empresas ridad y, por ende, más preo- pero el usuario y su
dos y van dirigidos
de distribución, pymes, co- cupaciones”. educación es funda-
mercios… pidiendo datos pa- En el desarrollo de las apli- a los smartphones”
mental”
ra que la gente los facilite. Has- caciones móviles, la banca no
ta que haya un poso de años en es ajena. De hecho, “con la Pedro Pablo López, geren-
los que la gente reconozca que potenciación de la movilidad, David Navarro, responsa- te de Seguridad, Privacidad y
lo que piden no tiene sentido, de cara al cliente estamos ofre- ble de Entidades Financieras Continuidad Global de RSI.
va a llevar mucho trabajo. Es ciendo nuevas aplicaciones de de RSA.
una cuestión de educación y banca móvil, y eso se ha trans-
para los que no son nativos di- formado, ya no es un canal
gitales, será muy complicado. telefónico”, declaraba Santia- les demandas de las entidades tablets o iPhones, Apple, afor- ámbito empresarial, ayuda- para robo de tarjetas, y el si-
Es muy difícil llegar a un pun- go Minguito, responsable de financieras a la hora de diseñar tunadamente tiene un control do por una serie de factores guiente paso serán las enti-
to de compromiso entre lo que Seguridad de la Información una solución y estrategia de se- muy fuerte de todas las apli- como la movilidad de los em- dades bancarias. Se nos van a
se puede hacer y dónde hay de Banco Sabadell. “En ese guridad. “Cuanta más renta- caciones que se suben a Apple pleados, el uso de redes so- abrir frentes nuevos ya que en
que sospechar y dónde está lo sentido, debemos pensar en bilidad se obtiene es en las pri- Store”, explicaba José Luis Ser- ciales o la consumerización los comercios y en los ban-
paranoico. En este sentido, po- otros mecanismos de defensa. meras horas del ataque, por lo na, jefe de Desarrollo de Pro- de las TI. Como resultado, cos hay verdaderas cantidades
demos segmentar a la pobla- Por otro lado, yo destacaría que el objetivo que tenemos en ducto de Nuevos Canales de la las redes corporativas cada de información susceptible
ción en tres bandas: la paranoia otro aspecto: la evolución de vez están más expuestas a de convertirse en dinero, y
total ante todo lo que llega y los troyanos. La tendencia es malware, troyanos y otras ese será el próximo vector en
cree que es falso; una banda in- realizar ataques con troyanos “Los nuevos troyanos y los amenazas que tienen el po- los próximos años”.
termedia que es la mayor par- muy especializados, con los tencial de comprometer in-
te de la población; y una ter-
cera que es que siempre va a
que el usuario ni se va a dar
cuenta de que lo tiene insta-
ataques a los smartphones son formación sensible. Y además
cada vez es más económico
¿Como afectan
las redes sociales?
haber alguien que termine ca-
yendo en el fraude. Precisa-
lado. Y frente a esto hay po-
cas soluciones. Los nuevos
los puntos más importantes” crear y dirigir un ataque. Así
lo manifestaba Javier Sevilla-
Junto con la movilidad, las re-
des sociales son otro canal que
mente, para esta última, tene- troyanos y los ataques a los no, responsable de Infraes- ya está modificando el mode-
mos que poner medidas de smartphones son los dos pun- las Cajas es fortalecer las me- Confederación Española de tructura Tecnológica del de- lo de aportación de valor en
protección”, afirmaba. tos mas importantes a afron- didas de seguridad en los back- Cajas de Ahorros (Ceca). partamento de Seguridad la banca porque permite co-
La explosión de nuevos ter- tar en los próximos años”, end. Los dispositivos de au- El malware se ha converti- Informática de Caja Madrid, nocer tendencias y determinar
minales móviles les ha con- añadía. tenticación sí podrían cubrir el do en un problema cada vez quien señalaba que “a los ci- pautas de comportamiento de
vertido en un objetivo muy Mencionaba anteriormen- ataque de malware, pero no más importante para las em- bercriminales cada vez les los clientes, estudiar y prede-
atractivo para los cibercrimi- te Luis Saiz de BBVA, que a justifican su implantación en presas e instituciones públi- cuesta menos dirigir ataques. cir la demanda y analizar la
nales, que han visto, sobre to- la hora de definir mecanismos cuanto a coste. No obstante, cas de todo el mundo. Lo que Si el phising fuera caro habría evolución de los mercados de
do, en el área de las aplicacio- de defensa era crucial intentar en las aplicaciones para dispo- antes se estimaba como un te- menos, pero como es barato, activos para invertir, escuchar
nes móviles, una puerta de conseguir que los ataques fue- sitivos móviles, el problema ma exclusivo de los usuarios hay mucho volumen. Por opiniones de mercado y tra-
entrada abierta de par en par, ran lo menos rentables posible. lo tendremos con Google An- y entidades financieras, aho- ello, están empezando a pro- bajar en la construcción de
por lo que la proliferación de Y esta es una de las principa- droid, porque en el caso de los ra se ha trasladado también al ducirse ataques a comercios una reputación e imagen de
4. www
12 6 abril 2011 [Tertulias Computing]
marca, además de segmentar cliente lleve encima, por ejem- cionamiento interior que no financieras tienen que ver con un tema que vamos a tener que lución. Todos los datos de la
mercados para definir pro- plo, un gadget o varios. Y a lo tiene nadie de fuera. El ma- dos de las tendencias tecnoló- ir pensando y donde es clave la empresa estarán en la nube,
ductos y servicios específicos. muchos clientes les supone un yor daño está, por tanto, en el gicas más importantes de es- gestión de la información”. el correo ya no estará en los
Por estas razones, “hay em- problema llevarlo; la cuestión interior. Los cibercriminales tos últimos meses: la virtuali- Santiago Minguito de Ban- servidores empresariales…
presas y entidades que dedican es que si no tiene ese gadget o tienen más ventajas porque zación y el cloud computing. co Sabadell, añadía en este por tanto, las aplicaciones y
horas y personas para comu- token no pueden hacer trans- tienen más tiempo, más gen- Aunque, como matizaba Da- sentido que “el paradigma de documentos ya no están en el
nicar por las redes sociales. Es acciones. Otro tema es lo que te, más recursos y no se sabe vid Navarro de RSA, “hay que la ubiquidad nos obliga a im- dispositivo, sino en la nube.
un canal más de comunica- se puede hacer entre bamba- cuándo van a atacar; la única tener presente el paradigma de plantar más tecnologías de Es un cambio radical”.
ción”, indicaba Pedro Pablo linas. Ahí se puede hacer mu- ventaja que nosotros tenemos cómo proteger el entorno vir- control para proteger la in- Sin embargo, ¿cuál es la
López de RSI. “El problema es chísimo. Nosotros, por ejem- como responsables de seguri- tual ya que no todo el mundo formación y los activos. Yo mejor opción, cloud privada o
el acopio de datos que se pue- plo, para las primeras horas dad es que conocemos el te- lo está protegiendo”. iría más allá de la virtualiza- cloud pública?
de realizar desde estos sitios y del ataques tenemos sistemas rreno. Pero, si ese conoci- Para Banco Sabadell, el
cómo se gestionan. En el ám-
bito de las redes sociales, hay
que detectan el 75% de los
ataques de troyanos y phising
miento sale fuera, estamos
perdidos”, resaltaba Javier Se- “Hay que tener presente el cloud privado “no deja de ser
outsourcing de toda la vida, y
un volumen de datos incon- antes de que haya spam y eso villano de Caja Madrid. el cloud público dependerá de
trolable del cual el usuario sí nadie lo percibe”. Asimismo, también ponía paradigma de cómo proteger la información que saques fue-
es consciente de su existencia. de manifiesto Pedro Pablo Ló- ra. En función de qué activos
Se pone empeño en proteger Malware en la empresa pez de RSI, el peligro de las re- el entorno virtual porque no o información estés tratando,
el número de las tarjetas de Otra de las tendencias que se estructuraciones laborales. “El pones un cloud público o pri-
crédito, pero luego no se po-
ne cuidado en los datos per-
ha comentado durante esta
mesa redonda es que “el phi-
problema global de la crisis es
que está produciendo salida de
todo el mundo lo protege” vado. No obstante, el futuro
del cloud siempre pasa por un
sonales que se suben a las sing antes estaba centrado en personas con conocimiento entorno cifrado”, expresaba
redes sociales. Eso puede las grandes entidades, y ahora por reajustes de la plantilla, y Luis Saiz de BBVA, por ción porque tenemos que se- Santiago Minguito. Mientras,
desequilibrar mucho, y el aco- ha bajado a las pequeñas em- estas personas son candidatos ejemplo, afirmaba estar utili- gregar desde dónde está acce- para RSI, era un tema de le-
pio de información que pue- presas, por lo que el espectro para las mafias, que los fichan zando la virtualización, “por- diendo el usuario, si es desde galidad. “Yo veo dos riesgos.
den hacer los cibercriminlaes se ha ampliado”, observaba para dar información y eso es que una vez virtualizadas todas un entorno seguro de la em- Si es un cloud público, puede
es un gran problema”. José Luis Serna de la Ceca. mucho más grave”, alertaba. las infraestructuras, los dispo- presa o es desde su casa. La no estar dentro de nuestro
Además, como apuntaba Ahora el objetivo son los En este punto, Santiago sitivos pasan a ser secundarios. clave estaba en la autentica- ámbito legal porque no en to-
David Navarro de RSA, “hay empleados de una organiza- Minguito de Banco Sabadell, Cuando te llevas todo a un en- ción y gestión de identidades dos los países está la LOPD;
mucha gente que accede a las ción; y llega hasta tal punto proponía que “además de pro- torno virtualizado, está más li- basada en el acceso, pero aho- y el segundo aspecto es el eco-
redes sociales mediante el telé- el interés de los cibercrimi- teger a los clientes, se deben mitado y acotado, con lo cual ra se añade otra dimensión nómico porque se están to-
fono móvil; y el usuario es tres nales por acceder al conoci- proteger también los activos es más sencillo de proteger. El que es desde dónde se accede mando decisiones más por te-
veces más proclive a aceptar co- miento interno de una com- de la empresa, entre los que problema son los accesos, que y a qué se accede”. ma de costes, y no por otros
sas por el móvil que por el PC”. pañía que, “las mafias que se se incluye a los empleados”. pueden no ser seguros. Estamos Para Pedro Pablo López de factores”, concretaba Pedro
“Como sabemos que va a dedican a crear troyanos una acostumbrados a tener acceso RSI, la solución también está Pablo López. No obstante,
pasar, tenemos que estar pre- de las cosas que están empe- Virtualización universal y cada vez vamos más en la nube. “Estoy de acuer- “desde el punto de vista de la
parados”, respondía Luis Saiz zando a hacer es pagar a uni- y cloud como salvavidas a entornos multidimensionales. do en segmentar de dónde se seguridad, no hay ningún pro-
Gimeno de BBVA. “En reali- versitarios para que se colo- Tal y como han manifestado Hay que controlar dichos ac- accede y el tipo de riesgo, pe- blema. Nosotros damos ser-
dad, es un tema de usabilidad quen en las empresas y así los asistentes de la tertulia, dos cesos dependiendo de dónde se ro al tener un dispositivo de vicios cloud a las Cajas y no
del cliente porque en el mer- meter el troyano desde dentro de las medidas de protección accede, a qué se accede y cómo. conexión universal es preciso se percibe minusvalía de segu-
cado hay soluciones de segu- de la organización; ellos tie- que cada vez están siendo más El acceso por nivel de riesgo a poner más medidas y el cloud ridad alguna”, zanjaba José
ridad, pero exigen que el nen un conocimiento del fun- implantadas en las entidades las distintas informaciones es computing puede ser una so- Luis Serna de la Ceca.