R. CONTRERAS

� El mundo de la seguridades cada vez más difuso -o con-fuso- pues afecta a diversos as-pectos que las compañías tie-nen que abordar de formaproactiva. Como si de genera-les estrategas se tratase, los res-ponsables de seguridad TI tie-nen que atender diversosfuegos sabiendo que no pue-den descuidar ningún frente;y es que los enemigos prolife-ran por doquier: spam, ataquesde Internet, virus, agujeros de

seguridad, continuidad de ne-gocio, phishing, movilidad, re-des sociales, infraestructurascríticas, ciberterrorismo, bots,fraude, robo de información,piratería, ciberterrorismo… to-do ello requiere estar prepara-do con los suficientes recursospara poder ganar la batalla almalware. Lo más habitual escompararse con la competen-cia, con rivales de similar ta-maño y cercanos geográfica-mente, como punto dereferencia para saber si se estáaplicando la debida diligencia

en el capítulo de la seguridad.En este sentido, una encuestareciente de Gartner señala quelas compañías promediaron un5,6% en seguridad TI y gestiónde riesgos, lo que no suponeuna uniformidad en los resul-tados cosechados.

Normalmente, los gastos enseguridad se dividen en hard-ware, software, servicios (out-sourcing y consultoría) y per-sonal, sin embargo en laencuesta de Gartner un terciode las empresas desconocía suauténtico presupuesto en se-

guridad. Esto sucede porquelos sistemas de contabilidadcontemplan la seguridad co-

mo un campo separado,mientras que muchos proce-sos de seguridad son llevadosa cabo por personal que no de-

dica su tiempo completo a laseguridad, lo que hace impo-sible cuantificar ese gasto (que

representa el 40% del total).En términos generales, los CI-SO no pueden determinar elgasto completo que su em-

presa dedica al capítulo de laseguridad.

Aunque las cifras publica-das representan lo que Gart-ner llama ‘stalking horse’ (esdecir, una posición derivadadel análisis de los datos que re-presentan las tendencias y losresultados), cada organizacióndebe evaluar su propia situa-ción con cuidado, y no debecambiar arbitrariamente paraajustarse a los resultados pu-blicados que no necesaria-mente representan las mejoresprácticas.

En busca del presupuesto perfecto

Una tarea complicada para los CISO dada la variedad de tecnología cruzada en torno a la seguridad

Uno de los grandes retos del CISO (o del CIO por extensióncuando no existe la figura de responsable de seguridad TI)es atinar con el presupuesto de seguridad, algo que resulta

una ardua tarea dado el complejo ecosistema de tecnologí-as, proyectos y programas que se ven implicados. La firmaanalista Gartner aconseja que este capítulo debe oscilar en

el rango del 3% al 6% del gasto total en Tecnologías de laInformación; sin embargo, se observa que este axioma nofunciona de la misma forma en cada compañía.

1 febrero 2012 [Especial Seguridad]

www

16

Los CISO no puede fijar elgasto completo que su firmadedica a la seguridad

16-20 Entrevista y especial:01-518-Portada 30/1/12 10:44 Página 1

1 febrero 2012[Especial Seguridad]

www

17

Y es que las estadísticas so-bre el gasto en seguridad norepresentan la verdadera mag-nitud de las inversiones em-presariales en tecnologías deseguridad ya que las caracte-rísticas de seguridad se estánincorporando en hardware,software o iniciativas que noestán específicamente dedica-dos a la seguridad. Por tantola consultora aconseja queaunque el gasto esté fuera delpresupuesto del CISO, el de-partamento de seguridad de-be ser un factor de influenciao de asesor en el gasto en otrosámbitos, y por lo tanto a me-nudo deben tener visibilidaden dicho gasto.

Existe una amplia serie deejemplos donde se produce es-ta circunstancia como son elcaso de los equipos de red quehan incorporado funciones deseguridad, tales como las redesprivadas virtuales de apoyo o elcifrado de datos en movimien-to, lo cual puede ser cargadoal presupuesto de telecomuni-caciones o comunicaciones dedatos. O el de la protección delescritorio que son achacables alusuario final. Prácticamentetodas las aplicaciones de la em-presa tienen algunas funcio-nes de seguridad, como ERPo SCM (Gestión de la Cadenade Suministro).

De la misma manera, pro-yectos tales como gestión deidentidades y acceso (IAM) nodeben ser gestionados por elequipo de seguridad, sino porel de gestión de clientes pro-porcionando autoservicio oapoyo a otras aplicaciones.

Seguridad estratégicaLas organizaciones tienen

que proteger su infraestructurainformática, respondiendo a lasamenazas y mantener la vigi-lancia, pero el gasto en seguri-dad también está siendo vin-culado a iniciativas estratégicasdel negocio. Por ejemplo, unportal de colaboración segurapara el cuadro directivo de co-municaciones incluye una can-tidad significativa de la funcio-nalidad de seguridad, pero querara vez se trata como parte delpresupuesto de seguridad.

Las organizaciones debencumplir con la normativa y re-quisitos legales. Los directoresCISO han de justificar los gas-tos mediante la inclusión de lasparámetros medibles de me-jora de la seguridad o de miti-gación de riesgos en todas lassolicitudes de compra. El CI-SO tiene que ejercer presiónpara asegurarse de que las uni-

dades de negocio incluyen eldinero para los gastos de se-guridad que sea relevante paratodos los proyectos de TI.

Las organizaciones más se-guras probablemente gastanmenos del promedio generaldel presupuesto TI. Sin em-bargo, el 20% de las organi-zaciones que invierten menosen seguridad está compuestotanto por compañías insegu-ras como por aquellas segurasque han implementado lasmejores prácticas en sus ope-raciones de TI y de seguri-dad (tales como mejores prác-ticas de gestión deconfiguración) que reducen eltotal de complejidad de la in-fraestructura de TI y rebajanel número de vulnerabilidadesde seguridad.

El gasto en seguridad se uti-liza a menudo para compen-sar las deficiencias en las ope-raciones de negocio y de TI.Al reducir estas deficiencias elgasto TI aumenta, al tiempoque el gasto en seguridad de lainformación se reduce en unporcentaje.

En entornos corporativosmás maduros y seguros, losgastos y actividades explícitasde seguridad disminuyen amedida que se integran den-tro de las operaciones globa-les, desarrollo de sistemas, im-plementación gestión deprocesos, y así las funcionesde seguridad se consolidan yse gestionan de manera máseficiente.

Las compañías no seguras,por el contrario, tienen quecomprar más ‘soluciones porpánico’, debido a una inefi-ciente gestión de los recursosy una infraestructura descon-trolada, en la que se producemás tiempo de inactividad.

Los gastos explícitos en se-guridad también se verán re-ducidos al tiempo que las ca-pacidades de seguridad cadavez se encuentran más inte-gradas a la red, al mundo deldesktop y a las funcionalida-des basadas en la nube, comoconsecuencia directa de laprogresión propia de las Tec-nologías de la Información.

Estas capacidades son con-templadas en la próxima ge-neración de firewalls, proto-colos de seguridad web, queahora incorporan funcionesantispyware, antivirus, VPN yconductas proactivas de blo-queo de conductas. La com-petencia entre los productosmultifuncionales y los serviciostambién favorecen la reduc-ción de los precios. Finalmen-

te, las organzaciones puedenexternalizar muchas funcionesde seguridad. Las medianasempresas incrementarán el usode appliances UTM unificadosde bajo coste, externalizarán lamonitorización de la red deseguridad (como prevenciónde intrusos) así como serviciosde gestión de fraude, vulnera-bilidad de activos y gestión devulnerabiidades.

En suma, las compañíasgastarán de acuerdo al lugardonde se sienten que estánen su ciclo de actualización dela tecnología, y sobre la basede su vulnerabilidad percibi-da o real. Cuando las amena-zas son estáticas, los costes deseguridad se pueden incluirdentro de las operaciones engeneral, dejando vías presu-puestarias para la proteccióncontra nuevas amenazas. Laregla general de Gartner esque las empresas deben tenerentre el 3% y el 6% de suspresupuestos, destinados a se-guridad de TI, menor en elrango si tienen sistemas ma-duros, mayor si están abiertosy en situación de riesgo.

0 10Porcentaje

21 29 40 10

Hardware Software Personnel Outsourcing

20 30 40 50 60 70 80 90 100

Seguridad

Spending

Tiempo

Distribución del gasto en seguridad de la información

Relación entre seguridad y gasto en seguridad

Gasto total en servicios de seguridad por segmentos de mercado 2010-2015 (millones de dólares)

Gasto total en servicios de seguridad por región 2010-2015(millones de dólares)

Segmento 2010 2011 2012

Consultoría 8.598 9.644 10.274

Integración y desarrollo 10.257 11.316 11.943

Gestión TI 6.872 8.032 9.361

Soporte de Software 4.407 5.010 5.490

Mantenimiento de Hardware 996 1.115 1.201

Total 31.129 35.117 38.269

Fuente: Gartner

Fuente: Gartner

Fuente: Gartner

Fuente: Gartner)

Region 2010 2011 2012

Norteamérica 12.321 13.563 14.628

Europa Occidental 9.593 11.020 11.915

Japón 4.425 4.770 5.071

Asia/Pacífico 3.295 3.985 4.661

Latinoamérica 718 867 1.012

Oriente Medio y África 469 553 596

Europa Oriental 309 360 385

Total 31.129 35.117 38.269

16-20 Entrevista y especial:01-518-Portada 30/1/12 10:44 Página 2

1 febrero 2012 [Especial Seguridad]

www

18

Este año, nos hemos encontrado con variasnoticias relacionadas con ataques a infraes-tructuras críticas o sistemas SCADA (centra-

les nucleares, transporte, red eléctrica, suministro deagua, etc.). Diversos fabricantes de soluciones de se-guridad han alertado del peligro de los ataques a es-tas infraestructuras debido a su exposición a Inter-net y a que éstas no hayan sido diseñadas con laseguridad como premisa básica, pudiéndose produ-cir una amenaza real a la seguridad nacional. Unejemplo lo encontramos en una noticia publicada re-cientemente sobre la denuncia de un hacker ante lavulnerabilidad de los sistemas que controlan elsuministro y el tratamiento del agua. PrOf, queasí se dio a conocer el hacker, publicó datos deuna planta de Polonia de tratamiento de aguasresiduales, los datos de un programa de gestiónde un generador, y lo que se atribuye a archivos demedición de agua de España y Portugal. El hackersolo quería criticar la pobre configuración de los sis-temas, el bajo nivel de las contraseñas y la inexis-tencia de restricciones al acceso del interfaz.

La protección de las infraestructuras críticas siguesiendo la asignatura pendiente para empresas y pa-ra administraciones públicas. Los fabricantes de ser-vicios y productos de seguridad recomiendan poten-ciar la colaboración y el intercambio de informaciónentre todos los participantes en este ámbito; la cola-boración público-privada; garantizar la adaptabili-dad de la protección a nuevas situaciones; y abordarla protección desde el punto de vistafísico y lógico.

En el punto de mira... de los hackers

Infraestructuras críticas, el objetivode mira más sensible y olvidado

�Ciberterrorismo

Las empresas se enfrentan al reto de gestionar los programas maliciosos e infeccio-nes, pero también, han de mantener vigilados los nuevos métodos de accesoa aplicaciones y datos, como los que se ofrecen a través del cloud computing.

La seguridad y la disponibilidad de la información se han convertido en uno de losgrandes hándicaps de los servicios en la nube, ante la desconfianza de que los datoscorporativos estén en manos de terceros. Y es que el modelo aún se basa en compo-nentes de hardware por lo que no es inmune a la pérdida de datos. En este sentido, el

CPD que aloje estos servicios debe de disponer de sistemas que garanticen la disponibili-dad de la información, una red tolerante a fallos, que garantice el acceso en tiempo real

desde cualquier ubicación, políticas de backup, control de acceso a través de pro-cesos de autenticación, administración de identidades, y soluciones de di-

saster recovery. Por su parte, los clientes que hayan contratado o va-yan a contratar servicios en la nube deben conocer dónde están sus

datos y qué medidas aplicará su proveedor para la protecciónde la información. También, es necesario controlar quién ac-

cede a la información y asegurarse de que las comunica-ciones sean seguras.

En este nuevo paradigma, la carga recaerá en los ad-ministradores de TI, que tendrán que garantizar la

seguridad de los datos críticos de su empresa a me-dida que se suban datos y aplicaciones corporati-vas a las nubes públicas.

El gran abanico de posibilidades de comuni-cación y de interacción que ofrecen las re-des sociales está dando lugar también

a una nueva problemática, especial-mente en las empresas, fruto de

los problemas en la seguridad yla privacidad de la infor-mación, y cada vezmás, de los inten-

tos de ataques porparte de ciberde-

lincuentes.Los ataquesa través de laingeniería socialestá siendo utilizado pa-

ra llegar a más víctimas

potenciales en las redes socia-les. Los llamados spammers y scammershan sabido aprovechar los ‘trending topics‘ de losmedios sociales para mejorar sus tácticas y méto-dos de piratería e ingeniería social, robando datosde millones de usuarios de redes sociales en todo el

mundo. Como consecuencia, los legisladoreshan comenzado a exigir que los sitios de

redes sociales implementen políticasy mecanismos para proteger la pri-vacidad de sus usuarios. En el último año, Facebook, Twitter

y Youtube han sido las redes preferi-das por los ciberdelincuentes, que han

aprovechado su gran popularidad para con-seguir nuevas víctimas que les reportaran benefi-cios económicos.

Cloud, la desconfianza de unainformación en manos de terceros

�Nuevas amenazas ‘as a Service’

Las redessociales redefinen la privacidad

�Ingeniería social

La proliferación de losdispositivos móviles,como los smartpho-

nes y los tablets, está dando lugar a una tenden-cia a nivel global que se ha denominado como

‘Bring your on device’ (traiga supropio dispositivo), en la

que los trabajadores cadavez más tienden a utili-zar su dispositivo móvilpersonal, además,

como herramientade trabajo. Esto esti-

mulará la adopción desoluciones VDI (Virtual Desktop Infraes-tructure), y la conectividad inalámbrica, en-tre otras cosas, pero también, el acceso a in-

formación confidencial, que genera-rá una nueva problemáticapara los responsables deTI en el ámbito de laseguridad y del cum-plimiento de las polí-ticas corporativas. Poreste motivo, se prevéque las organizaciones in-

viertan mucho tiempo, dineroy esfuerzo en este aspecto. Y es que,

será necesario concentrarse encontar con la protección básicapara los nuevos modelos y dispo-sitivos utilizados, sin olvidar las

herramientas de seguridad dentrotambién de la empresa.

�Malware móvil

El reto de lamovilidad y de latendencia ‘Bring

your on device’

16-20 Entrevista y especial:01-518-Portada 30/1/12 10:45 Página 3

LANZAMIENTO EXCLUSIVO DE 1&1:

PROCESADOR AMD OPTERONTM 6272

Disponibilidad: Avanzados centros de datos y disponibilidad de más del 99,9%

Comodidad:Incluye Parallels® Plesk Panel 10.4 con dominios ilimitados

Flexibilidad:Sistema operativo y funciones a elegir

Velocidad: Tráfi co ilimitado y más de 275 Gbps de ancho de banda

Soporte: Asistencia telefónica 24 horas

Descubre todos los servidores de 1&1 en nuestra web.

2 X 16 CORES

LA NUEVA GAMA DE SERVIDORES DEDICADOS DE 1&1:

1&1 SERVIDORESDE ÚLTIMA GENERACIÓN

* Servidor Dedicado XL 6 gratis durante los 3 primeros meses. Después, 99,99 € al mes. Todos nuestros servidores están sujetos a un compromiso mínimo de permanencia de 12 meses y conllevan un coste por alta de servicio. Todos los precios mostrados no incluyen IVA. Para más información, consulta nuestras Condiciones Particulares en www.1and1.es.

www.1and1.esLlámanos al 902 585 111 o visita nuestra web

2 x AMD Opteron™ 6272 (Interlagos)

2 x 16 Cores de hasta 3,0 GHz

64 GB ECC RAM2.400 GB RAID 6 con 6 x 600

SAS HDD

SERVIDOR XXL 32 CORE

399,99€/mes*

SOLO EN 1&1: ¡EL SERVIDOR MÁS RÁPIDO DEL MERCADO!

SERVIDOR XL 6

AMD Hexa Core 6 Cores de hasta 3,3 GHz

16 GB ECC RAM 1.000 GB RAID 1 con 2 X 1.000

SATA HDD¡3 MESESGRATIS! *

99,99€/mes*

Intel® Xeon® E3-12204 Cores de hasta 3,4 GHz

12 GB ECC RAM 1.000 GB RAID 1 con

2 X 1.000 SATA HDD

69,99€/mes*

NUEVO: ¡1&1 SERVIDORES CON PROCESADORES INTEL!

SERVIDOR4i

¡SOLO HASTA EL 29/2/12!

16-20 Entrevista y especial:01-518-Portada 30/1/12 10:45 Página 4

1 febrero 2012 [Especial Seguridad]

www

20

LOLA SÁNCHEZ

� Nacida en 1888 y legaliza-da en 1977, la Unión Gene-ral de Trabajadores (UGT)configura una confederaciónsindical que en la actualidadsuma alrededor de 1,2 millo-nes de afiliados. Organizadaen órganos y departamentosconfederales, 10 federacionesy 19 uniones territoriales, lascomunicaciones resultan fun-damentales en el desarrollode las actividades de la UGT,específicamente a la hora dedifundir información e inter-actuar sin descuidar un aspec-to crucial: la protección de lainformación y la salvaguardade los datos de afiliación, dan-do cumplimiento a la Ley Or-gánica de Protección de Datos(LOPD).

“Las comunicaciones resul-tan cruciales en UGT, el usode Internet se ha incrementa-do de forma notable, sobre to-do con las redes sociales, y elcorreo electrónico se ha con-vertido en una herramientaindispensable”, comenta elresponsable de Sistemas y Co-

municaciones de UGT, Luisde la Osa.

En ese escenario y con Te-lefónica como proveedor des-de hace años, la confederaciónde UGT ha procurado contarcon unos servicios que, ade-más de satisfacer la demandade los usuarios, ofrecieran ple-nas garantías de seguridad.“Empezamos haciendo uso delos servicios FrameRelay deTelefónica y ante el creci-miento de las necesidades di-mos el salto al servicio Macro-LAN - DIBA (Datos Internetde Banda Ancha)”, apunta.

A partir de ese momento ycomo añade de la Osa, “los ni-veles de seguridad que nosproporcionaba el propio ope-rador no eran suficientes”.

Correo y servicios web, críticosEsa situación se hizo aún máspatente cuando la organiza-ción decidió hace un par deaños internalizar el servidor decorreo, hasta el momento ex-ternalizado con Telefónica.“Asumimos el servicio de co-rreo electrónico inicialmente

para unos pocos usuarios, pe-ro con el tiempo y especial-mente a raíz de nuestra con-versión en ISP alcanzamosuna cifra de 8.000 buzones re-gistrando la recepción de unos400.000 correos diarios, loque exigía niveles adicionalesde seguridad”.

El desarrollo en paralelo denuevas aplicaciones centrali-

zadas como la Aplicación deAfiliaciones y otras aplicacio-nes web confederales, así co-mo la intranet emergía comoun acicate más para abordaruna modernización de la in-fraestructura de seguridadTIC. Y es que, si bien UGTdisponía de una infraestruc-tura de seguridad TIC, estaprotección se basaba en pla-taformas tecnológicas anti-guas con un rendimiento que

no estaban a la altura de losnuevos requerimientos.

En esa tesitura, la confede-ración UGT decidió a finalesde 2010 llevar a cabo una evo-lución de su arquitectura deseguridad con el objetivo deampliar su alcance tanto enlo relativo a funcionalidadescomo en cobertura de nuevosentornos, específicamente el

de servicios web. Se trataba,por tanto, de dar respuesta alos requerimientos de seguri-dad en tres grandes ámbitos:seguridad perimetral, seguri-dad del correo electrónico yseguridad de las aplicacionesweb. Eso, sí, con una plata-forma que ofreciera una ges-tión unificada.

En el primer ámbito, unentorno que suma más de2.500 usuarios, era necesario

sustituir los antiguos firewallsperimetrales por una nuevageneración de solucionesUTM que permitieran conso-lidar diversas funciones: polí-ticas de firewall, control deaplicaciones, filtrado de URL,IPS, antivirus, etc. Esta solu-ción UTM debía, además, in-tegrarse con los repositoriosLDAP y de Directorio Activopara posibilitar la aplicaciónde políticas basadas en perfi-les de usuario.

Protección en alta disponibilidadTras analizar las soluciones dedistintos fabricantes con pro-ductos implantados en otrosórganos del sindicato - Cisco,SonicWall, WatchGuard,Zyxel y Astaro (adquirida porSophos), entre otros-, la con-federación de UGT determi-nó que “algunos no cumplíanlos estándares o eran demasia-do caros, otros no ofrecían unasolución total o resultabanmuy complejos o simplemen-te no disponían de una solu-ción integral”. Finalmente ytras una fase intensiva de prue-bas, la balanza se inclinó ha-cia Fortinet. “Empezamosprobando los FortiGate-60 ylos FortiGate-100, luego pasa-mos a los FortiGate-400 y 800y al final decidimos dar el sal-to a los FortiGate-1240”.

Ante los buenos resultadosobtenidos durante las pruebas,la confederación de UGTabordó el proyecto con Tele-fónica como integrador y Al-timate como mayorista. Enconcreto y como detalla de laOsa, “hemos instalado uncluster de dos FortiGate-1240B en alta disponibilidaden la sede de Azcona, donde seencuentra nuestro CPD prin-cipal, y sendos clusters de For-tiGate-310B en las otras dossedes -Avenida de América yHortaleza”. Asimismo y paraproteger específicamente laplataforma de correo basadaen Microsoft Exchange y losservicios web, la confedera-ción de UGT ha levantado

sendos clusters de FortiMail2000 y FortiWeb 4000.

“Los tres productos gene-ran una serie de informes y logsque se recogen en FortiAnaly-zer permitiendo la visualiza-ción de toda esa informaciónen una única plataforma”, su-braya el responsable de Siste-mas y Comunicaciones deUGT, que ha descubierto, en-tre otros registros, que “entre el70 y el 80% de los correos elec-trónicos que recibimos diaria-mente son spam o ataques”.

El avance también ha re-sultado fundamental para laconfederación de UGT a lahora de tener capacidad parala creación de túneles IPsecSTS (Site-to-Site) y túnelesSSL para facilitar el teletraba-jo y posibilitar unas comuni-caciones seguras entre las uni-dades territoriales. “Hoy porhoy”, apunta de la Osa, “te-nemos alrededor de 200 tú-neles IPsec y entre 700 y 800túneles SSL”.

La confederación UGT blinda su territorioLa confederación del sindicato Unión General de Trabajado-res (UGT) ha apostado por la tecnología de Fortinet para lle-var a cabo, en colaboración con Telefónica, una moderniza-

ción de su infraestructura de seguridad TIC. La solucióndesplegada combina los productos FortiGate, FortiMail yFortiWeb del fabricante para dar respuesta a los requeri-

mientos de seguridad de la organización en tres grandesámbitos: la seguridad perimetral, la seguridad del correoelectrónico y la de sus aplicaciones web.

La confederación apuesta por Fortinet para garantizar la seguridad de su perimetro, e-mail y servicios web

�Con Telefónica como integra-dor, la confederación de UGT haabordado la modernización desu infraestructura de seguridaddesplegando una solución deFortiNet que garantiza protec-ción de su perímetro, e-mail yservicios web.

� El proyecto ha supuesto lainstalación de un cluster de dosFortiGate-1240B en la sede deUGT en Azcona y de sendosclusters de FortiGate-310B ensus otras dos sedes de -Avenidade América y Hortaleza.

� Para proteger su plataformade correo y sus servicios web, laconfederación de UGT ha levan-tado dos clusters de FortiMail2000 y FortiWeb 4000, utilizan-do FortiAnalyzer para unificarlos informes relativos a los dis-tintos entornos.

“Los niveles de seguridad quenos proporcionaba el propiooperador no eran suficientes”

Puntos claves

16-20 Entrevista y especial:01-518-Portada 30/1/12 10:45 Página 6