Presentación de Olof Sandstrom, Director de Operaciones de Arsys, en el encuentro Nuevas tendencias en Seguridad: Movilidad y Cloud Computing, organizado por IDC España el 22 de marzo de 2012
"Gracias al Cloud Computing, se están lanzando al mercado multitud de aplicaciones, móviles o no, que hasta el momento no eran viables. Hasta ahora, esto implicaba unos costes que la mayoría de las pequeñas empresas no podían permitirse, ...pero con el Cloud cualquier buena idea de un emprendedor puede lanzar una aplicación con éxito. Sin embargo, está introduciendo un escenario en el que los riesgos de seguridad han aumentado de forma exponencial, haciendo que las medidas y las practicas de seguridad sean ahora más imprescindibles que nunca. Y esto no ha hecho sino empezar. La combinación de Cloud y movilidad nos ha hecho cambiar el enfoque de la seguridad de forma significativa."
Olof Sandstrom, Director de Operaciones
Más información en: http://www.cvent.com/events/nuevas-tendencias-en-seguridad-movilidad-y-cloud-computing/event-summary-4b975dbb74144245b775a9b9b333c237.aspx
3. ¿Un nuevo escenario?
# No pretendemos sentar cátedra
# Aportamos la visión que tenemos con los datos de
nuestras plataformas:
- 210.000 páginas web en producción
- 43.000 bases de datos
- 230 millones de sesiones web diarias
- Media de sesiones web concurrentes: 135.000
4. ¿Un nuevo escenario?
# No sólo se trata de que los usuarios tengan smartphones y tablets
# El 63% de los dispositivos móviles conectados a redes corporativas
se utilizan tambien para fines personales
# El 70% de las organizaciones tiene más dependencia ahora que
hace un año de los dispositivos moviles
# El 40% de las empresas ha sufrido robos o perdidas de
dispositivos moviles
Fuente: McAfee – Carnagie Mellon: Mobility and Security, dazzling opportunities, profund challenges, mayo de 2011
6. ¿Un nuevo escenario?
# ¿Qué van a hacer las organizaciones?
- Esto no termina con el acceso al correo y a la agenda… ¿Qué hacemos
cuando se pida también acceso al CRM o informes en sus dispositivos moviles?
- ¿No conectamos a sistemas corporativos los dispositivos a los que se ha hecho
JailBreak?
- ¿Cómo se gestiona la seguridad de los dispositivos particulares?
- ¿Qué pasa con las aplicaciones que se pueden descargar?
- ¿Qué pasa con la informacion que se descarga en estos dispositivos?
- ¿Qué consideraciones legales hay que tener en cuenta?
- ¿Cómo se pueden mantener los criterios de cumplimiento con la normativa de
seguridad?
¡¡¡ Cuántas preguntas difíciles de responder !!!!
7. ¿Un nuevo escenario?
# Si los profesionales de la seguridad no somos capaces de
entenderlo, no podremos plantear soluciones a los retos de
seguridad dentro del modelo Cloud + Movilidad
# Este enfoque requiere un nuevo modelo de seguridad
# El nuevo paradigma esta lejos del clásico modelo de securizacion
del perimetro. Para empezar, ya no existe un perímetro
El código malicioso en dispositivos
Android ha crecido un 400% en un año.
Fuente: Juniper Networks, mayo 2011
9. ¿Qué hay de nuevo?
Los usuarios han decidido:
# Usar de forma masiva servicios
Cloud desde sus dispositivos
móviles
- Correo electronico
- Flickr
- iCloud
- Facebook
- LinkedIn
- Etc.
# Lo que consideran
importante y lo que no con
respecto a la seguridad
Fuente: McAfee – Carnagie Mellon: Mobility and Security,
dazzling opportunities, profund challenges, mayo de 2011
10. ¿Qué hay de nuevo?
Cloud es un servicio basado en infraestructura TI que proporciona
capacidades de proceso, comunicaciones y almacenamiento en las
que:
1. El usuario se abstrae totalmente del
hardware
2. El coste de infraestructura para el usuario es
OpEx y paga por uso
3. La capacidad de la infraestructura es muy
elástica, tanto hacia arriba como hacia abajo
11. ¿Qué hay de nuevo?
La infraestructura desde la que se prestan los servicios Cloud es muy estándar:
12. ¿Qué hay de nuevo?
Hay determinadas cosas que en Cloud son muy sencillas y marcan
una gran diferencia a la hora de prestar servicios en Internet:
# Aprovisionar muy rápidamente una nueva plataforma completa (servidores,
red, balanceos, firewalls, etc.) a golpe de ratón
# Aumentar o disminuir los recursos de una máquina (CPU, memoria, disco,
etc.) en caliente
# Abstraerme completamente del hardware y sus posibles averías
# Disponer de entornos de desarrollo, preproduccion y produccion, o incluso de
un entorno de recuperacion de desastres, de forma rápida, fácil y económica
# Hacer que las máquinas virtuales “vuelen” de un servidor físico a otro
# Pagar sólo por la capacidad que estoy usando
13. ¿Qué hay de nuevo?
Se pueden lanzar servicios de uso masivo,
sin necesidad de grandes inversiones
Por primera vez, la idea es tan importante como el pulmón financiero
15. Movilidad y Seguridad
# La forma en la que hemos decidido usar Cloud y los dispositivos
moviles es nueva
- Hace cuatro dias nos rasgabamos las vestiduras si alguien no
manejaba nuestro CV de acuerdo con la LOPD. Ahora lo publicamos
en LinkedIn y no pasa nada
- Llevamos encima uno o varios dispositivos que tienen dentro mucha
informacion, o que permiten acceder a los repositorios donde está
- Compartimos informacion confidencial a traves de sistemas públicos
# Nada de todo esto es malo
# Sólo es la forma en la que hemos decidido usarlo
16. Movilidad y Seguridad
# Cuando alguien utiliza un dispositivo móvil quiere una
muy buena usabilidad
# Es frecuente penalizar la seguridad para tener una
mejor usabilidad
# Pero si hay una fuga de informacion, no podemos decir
que es por culpa del Cloud o de la movilidad
# Para mejorar la seguridad del end-point, hay que
mejorar también la seguridad en las etapas de servidor
18. Entonces, ¿qué?
# No se puede seguir gestionando la seguridad como se hacía 5 años
atrás, la sociedad usa Internet como mejor le parece
- El perímetro no existe
- Demasiados usuarios tienen demasiados dispositvos
- Los datos deben estar almacenados en algun sitio
desde donde puedan ser accedidos desde cualquier
sitio
# ¿Cómo que no me puedo instalar lo que quiera?, ¿Has oido
hablar de Apple Store?
19. Entonces, ¿qué?
En la parte servidor:
# Las soluciones de seguridad tradicionales (las de “toda la vida”) ya no
son un nice to have. Son un must have
20. Entonces, ¿qué?
En la parte cliente:
# Los usuarios deben conocer y
entender la normativa respecto a
seguridad en dispositivos moviles
# Tienen que securizar los dispositivos
# Ser conscientes de las amenazas
relacionadas con los dispositivos
móviles
Fuente: McAfee – Carnagie Mellon: Mobility and Security,
dazzling opportunities, profund challenges, mayo de 2011
21. Entonces, ¿qué?
# Estas tendencias no han hecho más que empezar
# Es necesario un nuevo modelo de seguridad
# Cloud + Movilidad permite que los proveedores centralicen
medidas preventivas, pero tienen que ser más
agresivas
# Hay que ser más creativo para dotar de seguridad a
la parte del sistema que reside en los terminales