29 abril 2009

Securmatica 09

La semana pasada estuve un par de días por Securmática, uno de los congresos del sector más importantes a nivel nacional y un buen lugar para hacerse una idea de cómo se está moviendo la seguridad.

En el congreso se habló de muchas cosas, pero por tratar de resumir un poco, algunos de los aspectos que me parecieron más destacables son los siguientes:
  • Los servicios de seguridad gestionada (SOC, o como prefiráis) están empezando a pegar fuerte. Todavía no son tantas las organizaciones que externalizan parte de la seguridad (principalmente la operación técnica de bajo nivel), pero la seguridad como servicio externalizado está empezando a coger fuerza. Ojo, porque el modelo que propone puede provocar cambios en ciertas presunciones que hasta el momento no habían sido cuestionadas.
  • La necesidad de un cuadro de mando de seguridad cada día es mayor, sobre todo frente a soluciones de seguridad cada vez más diversificadas y para poder afrontar con garantías la mayor madurez de las organizaciones en esta materia. Hay muchas empresas que ya están empezando a trabajar en serio en estos ámbitos.
  • La seguridad de la información cada vez tiene las fronteras más difuminadas, y frente a tanta alternativa de evolución las vías de avance son múltiples. En unos casos predomina la seguridad lógica TI, en otros la seguridad física clásica, hay otros que tienden hacia la gestión de riesgos corporativos... y todos sabemos que quien mucho abarca poco aprieta.
  • A nivel técnico, parece que tanto la gestión de identidades y el single-sign-on como la gestión de logs siguen pegando fuerte y poco a poco son soluciones que se van extendiendo entre las empresas. Pero atención a las nuevas tecnologías, ya que bajo las siglas DLP se están posicionando diversos productos que prometen dar mucho que hablar en el medio plazo.

En definitiva, parece que el sector se mueve. Quizás los cambios sean lentos, es posible que los riesgos a los que tenemos que hacer frente evolucionen a mayor velocidad que nosotros, pero al menos nos movemos, que no es poco. Sobre todo, como no se cansaron de repetir en el congreso, en los tiempos que corren, cuando puede que la inversión en seguridad esté más cuestionada de lo normal. Y con el paso del tiempo podremos ir viendo si nuestros movimientos están siendo acertados...

2 comentarios:

Miguel Ángel Hernández Ruiz dijo...

Buen resumen de hacia donde se mueve el mercado de la seguridad de la información, coincido contigo en las conclusiones que has extraido de securmatica.

Al hilo del punto 1 donde tú mismo haces una llamada de atención sobre los servicios de seguridad gestionada a mi me gustaría comentar algunos de los posibles inconvenientes que, desde el punto de vista de la seguridad de la información tienen estos servicios.

1.- Es una solución a la parte de seguriad lógica: No debe perderse de vista que lo que se debe proteger es aquello que es más valioso para la organización. Estos servicios pueden crear la "ilusion" de seguridad mientras la puerta de atrás de la empresa está abierta 24/7. En ningún caso es una solución global puesto que aquello a lo que cada organización debe prestar especial atención debe venir dado por los objetivos de negocio de la organización y aquellos elementos que resulten determinantes tras el análisis de riesgos.

2.- Intrusividad: Algunos de estos servicios pueden no ser recomendables dependiendo de cómo de crítica sea la información que se maneje. Hay que tener en cuenta que algunos de los sensores que se instalan en los sistemas capturan llamadas al sistema con el objeto de crear un perfil de comportamiento del sistema y poder reportar cualquier anomalía que pueda surgir en el funcionamiento del mismo.

3.- La regulación contractual: Ojo porque estamos externalizando la seguridad lógica de la empresa y a nivel contractual esto debe quedar bien amarrado, en caso de duda no estaría demás recurrir a un tercero independiente no vinculado con el SOC con conocimientos legales para que analice las cláusulas del contrato y asegure la correcta inclusión de obligaciones y responsabilidades por su parte.

Espero que mis reflexiones ayuden

Salu2

Joseba Enjuto dijo...

Totalmente de acuerdo con los inconvenientes. Al fin y al cabo, si el outsourcing en general introduce riesgos intrínsecos nada despreciables, el outsourcing de seguridad los incluye pero con mayores impactos, dada la sensibilidad de la función externalizada. Por lo tanto, la conclusión es sencilla: no se puede externalizar a la ligera, y menos cuanto más crítico sea el elemento externalizado.