Ver Suplemento Temático...


Seguridad de la Información y Protección de Datos.
Dirección y Gestión de la Seguridad Global.

 

Revista de Prensa: Noticias

Viernes, 12 de enero de 2007

Bob Worrall, director de información de Sun y Mark Connelly, director de seguridad de la información de Sun

Bob Worrall, director de información de Sun, y Mark Connelly, director de seguridad de la información de Sun, hablan sobre las nuevas amenazas para la seguridad empresarial y cómo responde Sun.

 

En caso de que no haya leído el anuncio el pasado mes, soy Bob Worrall, el nuevo director de información de Sun Microsystems y el nuevo patrocinador ejecutivo del boletín Sun Inner Circle. En los próximos meses, espero utilizar mi carta en este foro, para proporcionar enfoques con respecto a la visión tecnológica de Sun, así como también, para transmitir mi opinión sobre los más recientes avances tecnológicos.

Cuando asumí mis responsabilidades como director de información, hace pocos meses, me desperté una mañana y anoté en un papel todas mis grandes preocupaciones. Encabezando esa lista está la seguridad. Pregunte a cualquier CIO acerca de lo que le quita el sueño en la noche o, en mi caso, qué lo despierta en la mañana, y le dirá que la seguridad empresarial.

A fin de evaluar la percepción de Sun con respecto a los retos y la capacidad de respuesta, planifiqué de inmediato una reunión con el director de seguridad de la información de Sun, Mark Connelly. Encontré esa reunión con Mark tan instructiva que lo invité a compartir sus opiniones sobre seguridad empresarial con usted, en este número.

Worrall: Mark, bienvenido a Sun Inner Circle. La oportunidad no podría ser mejor para ti, dado que parece que la industria confronta nuevos virus y amenazas de seguridad todo el tiempo. Desde tu posición estratégica como director de seguridad de la información, ¿cuáles son algunos de los retos que enfrentas?

Connelly: Durante un largo período de tiempo, la gente ha estado intentando comunicarse de forma segura y existen otros intereses que intentan romper las medidas de seguridad. La diferencia entre el presente y el pasado es que hoy en día los profesionales de seguridad tratan de proteger las empresas globales y las economías internacionales. Por ejemplo, el equipo de seguridad en Sun tiene la responsabilidad de proteger los activos de información de una compañía que emplea más de 38.000 personas distribuidas en 170 países. Además, debido a la forma en la cual trabaja la gente hoy día, Sun tiene que proporcionar acceso seguro a la información, en cualquier dispositivo, en cualquier lugar y a cualquier hora.

Worrall: ¿Cuáles son algunas de las principales amenazas para la seguridad empresarial?

Connelly: La complejidad de las amenazas evoluciona siempre, sin embargo, en general, el volumen de la matriz de la amenaza cambia desde las intrusiones clásicas como el correo basura (spam), hasta los esquemas muy elaborados por parte de personas que hacen un estudio sofisticado para conseguir los puntos débiles en la seguridad de una empresa.

Worrall: Tradicionalmente, los esfuerzos de seguridad se han concentrado en la protección de la periferia (mediante el uso de firewalls) de una empresa, para mantener alejados a los chicos malos, pero ¿acaso estás diciendo que las amenazas evolucionan más allá de esa estrategia?

Connelly: Sí. Una de las cosas que más me preocupan es la ingeniería social –-los medios a través de los cuales las personas simplemente se mueven alrededor de las defensas que mencionas. Cualquier persona estudiosa de las guerras dirá que tiene más sentido atacar las debilidades que las fortalezas. Kevin Mitnick, el destacado ingeniero social, escribió un libro llamado The Art of Intrusion (El arte de la intrusión), en el cual describe cómo pudo utilizar la ingeniería social para penetrar las defensas de la organización. Una vez que la amenaza está dentro del castillo, posiblemente las empresas ni sepan que las han penetrado y el resultado podría ser una pérdida significativa de la IP.

Worrall: Aparte del comportamiento malicioso, ¿será que hay riesgos de seguridad inherentes en el simple hecho de hacer negocios?

Connelly: Por supuesto. Los socios globales, los nuevos modelos de negocio, los requerimientos legales, etc. contribuyen con la creciente complejidad del reto de seguridad. Con respecto a los requerimientos de regulaciones, Sun tiene negocios en más de 170 países, en ocasiones, con diferentes regulaciones, y tomamos en consideración todas estas regulaciones en nuestra planificación. Adicionalmente, aun cuando Sun está dedicado a abrir el código de todo su software, Sun es una empresa basada en la propiedad intelectual. Por lo tanto, la seguridad tiene que proteger su IP y cumplir con todas las regulaciones pertinentes. Por fortuna, tenemos grandes tecnologías y soluciones Sun que proporcionamos a los clientes, las cuales actúan en forma significativa en ese esfuerzo. Por último, al trabajar en coordinación con la administración de riesgos, tenemos en funcionamiento un amplio plan de recuperación de desastres, a fin de reducir cualquier riesgo para las operaciones de negocio, en caso de una catástrofe natural.

Worrall: Desde la perspectiva de una organización, ¿cuáles son los retos que enfrentan los profesionales de seguridad dentro de una empresa?

Connelly: Una de las áreas es la propuesta de valor. A menudo, los gerentes generales hacen la pregunta sobre el “gasto”, cuando necesitan saber sobre la “inversión”. Muchos directores de seguridad de la información y directores de seguridad con los que hablo tienen que estar conscientes del negocio. Es muy difícil para los profesionales de seguridad demostrar el valor de su trabajo. Pregúntale a cualquier director de seguridad de la información y tendrás declaraciones de valor, matrices de amenazas y otros documentos que ayudan a explicar a la gerencia ejecutiva el valor de la infraestructura que protege una organización. Desafortunadamente, las personas tienden a ser reactivas, ellas prefieren tomar acción después de que las cosas suceden. De igual forma, corresponde a los profesionales de seguridad poner la información de seguridad frente a los ejecutivos (y la junta directiva), de modo que la empresa pueda evaluar en forma precisa el valor real de actuar antes de tiempo.

En segundo lugar está el problema de la organización de tener profesionales de seguridad experimentados. Ellos son al alma y corazón de cualquier equipo gerencial de seguridad. Mi consejo: Mantenlos adiestrados y respalda todo el entrenamiento necesario. En tercer lugar, crea un amplio sistema gerencial de seguridad que incluya mediciones que indiquen claramente el rendimiento de tus inversiones y los riesgos que redujo tu sistema. Por último, asegúrate de que el equipo gerencial ejecutivo sea un respaldo activo para el programa de seguridad que tienes en funcionamiento.

Worrall: En una empresa de más de 38.000 personas como Sun, parece casi imposible llevar la seguridad hasta el individuo en particular, de modo que ¿cómo determina un oficial de seguridad de la información un perfil de riesgo apropiado, a fin de administrar seguridad a una fuerza laboral tan grande?

Connelly: Tú lo dijiste —todo se trata de riesgo. Fundamentalmente, las empresas requieren hacer inversiones sobre la base de la severidad de las amenazas, así como de la probabilidad de que esas amenazas puedan concretarse. Cualquier oficial de seguridad de la información dirá que es muy difícil asignar un factor de riesgo numérico absoluto a una amenaza específica. Por ejemplo, una violación de privacidad de la información ciertamente traerá un costo de capitalización de mercado para una compañía que cotiza en la Bolsa de Valores, pero ¿cómo se determina la cantidad de dinero exacta del valor actual de ganancias para el accionista que se ha perdido? Por lo tanto, para ser proactivo, la mayoría de los profesionales de seguridad harán referencia al hecho de que los gastos de prevención –-quiero decir, las “inversiones”— son generalmente 100 veces menores que los costos de corrección relacionados. Esto es bueno para los empleados, los clientes y el negocio.

Worrall: ¿Cuáles son algunas de las estrategias en las que confían las empresas para mantener la información protegida y segura?

Connelly: Establecer sólidas políticas de seguridad. Todas las empresas necesitan un conjunto sólido de políticas. Estas políticas rigen la forma en la cual una empresa implementa una estrategia de seguridad y los procedimientos operativos alrededor de esa estrategia que se ponen en funcionamiento. Además, es necesario crear las políticas sobre la base de los mejores estándares de la industria en su género. Una vez que la empresa tiene una política de seguridad, debe implementarla y esa implementación debe ser controlada, utilizando esos estándares de la industria. Esto es particularmente importante al momento de hacer una auditoría. Durante una auditoría, el auditor primeramente preguntará si hay una política en funcionamiento y si se está implementando. La siguiente pregunta será si se ha adoptado un estándar industrial. Si la respuesta a esas preguntas es “sí”, estarás en una mejor posición.

Worrall: ¿Qué más necesitan tener en su caja de herramientas los profesionales de seguridad?

Connelly: Otra importante herramienta es la implementación de una defensa de múltiples niveles. Si un empresario tiene múltiples niveles de defensa, es más difícil penetrar. De igual forma, la defensa necesita ser no sólo de múltiples niveles sino también de múltiples proveedores. Si alguien penetra un nivel, es más difícil quebrantar los otros niveles, en particular, si se basan en tecnologías de diferentes proveedores.

Worrall: Y, desde una perspectiva de productos y servicios, ¿qué hace Sun para ayudar a garantizar su propia seguridad empresarial?

Connelly: Mucho. Sun establece numerosas asociaciones, tanto en nuestra estrategia de canal como en nuestras fuentes de proveedores en TI. Los socios de Sun manejan nuestros centros de cómputos y redes, así como también ejecutan filtros de virus y correo basura. Sun ha empleado una excelente estrategia para ayudar a reducir los costos, mejorar la flexibilidad y permitir que la seguridad empresarial sea más escalable. De igual forma, Sun implementa sus propios productos de seguridad, tales como Identity Manager, Access Manager y servicios de directorio. Sun ofrece a los clientes una amplia variedad de hardware, software y servicios y, naturalmente, utilizamos esos activos internamente.

Worrall: ¿Qué está haciendo Sun específicamente en términos de filtración de correo basura, filtración de virus y detección de intrusiones — los tipos de retos que enfrentan casi todas las empresas?

Connelly: Sun filtra más de 40 millones de mensajes de correo basura al día y de dos a tres millones de virus al día. Sun coloca filtros de virus y correo basura en las redes, así como en las puertas de enlace dentro de Sun, para evitar que los virus se extiendan. Igualmente, Sun involucra al equipo de certificación y sus colegas, para que ayuden a supervisar las redes 24 horas al día, los 7 días de la semana. Cuando se produce un incidente, se informa inmediatamente y se toma acción. Además, Sun implementa sensores de intrusiones en la red, de modo que si alguien trata de penetrar nuestras redes, nuestro equipo controla la situación. Sun está muy alerta, cuando se trata de proteger el perímetro de sus redes.

Worrall: Hablamos sobre ingeniería social, correo basura y virus. ¿Cuál crees tú que será el próximo gran reto?

Connelly: Desde una perspectiva de seguridad, Sun lidia constantemente con la proliferación de dispositivos. No sólo es un asunto de clientes gruesos o delgados. Existen muchos dispositivos nuevos portátiles e inalámbricos y todos ellos se conectan a la red. Sun trabaja con su director de privacidad para hacer todo lo posible para reducir el riesgo de pérdida de información privada. Aun cuando perder un bit de IP sería traumático, si Sun pierde información personal o incluso si sospecha que ha habido una violación de privacidad de la información, tiene que comunicarlo y podría haber sanciones significativas. Las compañías deben prestar atención a los nuevos dispositivos, manejarlos cuidadosamente, poner defensas en funcionamiento y educar a los empleados con respecto a su debido uso.

Worrall: ¿Qué aconsejarías a tus colegas de empresas más pequeñas que Sun que se preguntan dónde concentrar sus esfuerzos de seguridad?

Connelly: Al igual que las grandes empresas, las compañías más pequeñas deben implementar un sólido conjunto de políticas de seguridad, basar el sistema gerencial de seguridad que implementan en estándares de la industria y alinearlo con los objetivos del negocio. Si una empresa no tiene mucho dinero y recursos, o aun si los tuviera, una de las acciones más efectivas que pueden tomar los profesionales de seguridad es tener un programa de conciencia de seguridad, como parte del sistema gerencial de seguridad. Éste es claramente un programa beneficioso y rentable.

Worrall: ¿Cómo ayuda la conciencia de seguridad?

Connelly: En Sun, más de 38.000 empleados deben pensar en seguridad todo el tiempo. Ella reduce costos. Ayuda a proteger nuestros empleados y el valor actual de ganancias para el accionista. Es un prerrequisito de negocio, en algunos casos. Crea nuevas oportunidades de negocio y no es sólo un gasto; es posible incrementar el negocio con la “seguridad incorporada”.

Worrall: ¿Algún otro consejo final?

Connelly: Como mencioné un par de veces, la implementación de un sistema gerencial de seguridad completo en toda la organización es clave para el éxito de una política de seguridad. La organización de TI es un concepto que representa una unificación de todos los aspectos de seguridad para la empresa. En Sun, trabajo con la persona a cargo de la seguridad física, las personas que están en los grupos de producto, el director de privacidad, los profesionales de legal y auditoría y el personal de control de exportaciones. Todos estos aspectos de seguridad deben tener un propósito unificado y alineado, para respaldar los objetivos de negocio. Nuestra labor es hacerlo en una forma segura, basada en el riesgo.

Fuente: www.sun.com
01.12.06

Suplemento Temático: Los nuevos retos del Director de Seguridad

Esta noticia ha sido vista por 1563 personas.