Llevo escuchando Cloud Computing desde hace mucho tiempo, sin embargo parece como que ahora es el momento de que ese concepto salga al exterior y todos tengamos que hablar de los beneficios o maldades de dicho término.

Realmente el Cloud Computing no es otra cosa que un concepto acerca del modo de relacionar al usuario con los sistemas de información en general. Más o menos viene a decir que para esa relación, la visión debe ser que los sistemas se encuentren en la “nube” de Internet y que los usuarios puedan acceder a ellos desde cualquier lugar que permita un acceso a Internet, estando por tanto los datos de dichos sistemas de información almacenados en algún lugar de esa nube, sin que los usuarios tengan que entender la complejidad de los propios sistemas que lo soportan.

En particular, conceptos como Web 2.0, el software como servicio y similares son conceptos que entran a formar parte del marco general denominado Cloud Computing, que algunos incluso confunden con otro concepto parecido denominado Grid Computing, que nada tiene que ver.

Aunque personas como Richard Stallman, defensores a ultranza y predicadores del software libre, se muestran preocupados con este concepto, personalmente no tengo la misma opinión. Ellos están preocupados respecto a la idea de que el tener nuestros datos en algún sitio en Internet, que no controlamos, y que se supone está controlado por otras personas externas a nosotros, con otros objetivos, significa una pérdida de libertad y seguridad sobre dichos datos.

En mi opinión, el concepto de poder acceder a aplicaciones, y en definitiva a sus datos, de manera ubícua desde cualquier punto con conexión a internet, no tiene porqué significar obligatoriamente que perdamos libertad o seguridad en el acceso y/o almacenamiento de esos datos. Otra cosa es que quien nos proporcione esas aplicaciones que nos permiten ser accedidas desde cualquier lugar de Internet sean empresas con unos objetivos entre los que esté utilizar nuestros datos para compartirlos con terceros, utilizar nuestros datos para a través de una minería obtener otros, como nuestros intereses habituales, de qué hablamos, qué buscamos y cómo nos comunicamos.

Pero esto último, sinceramente, siempre ha existido, siempre ha estado ahí. Por ejemplo cuando vamos a un Supermercado y pasamos nuestra tarjeta “de puntos” para obtener un descuento en el precio, una acumulación de beneficios (económicos o no), estamos sin querernos dar cuenta ante un posible uso similar al que pueden hacer estas empresas que proporcionan aplicaciones a través de Internet, estamos dando nuestros datos de qué compramos, con qué frecuencia vamos al supermercado, a qué tipo de supermercados nos gusta ir, en definitiva estamos mostrando cuáles son nuestros hábitos de compra a través de un análisis de todos los datos anteriores.

Sinceramente, como en otras ocasiones ha ocurrido, cuando el concepto real se traslada al virtual empezamos a preocuparnos por cosas de las que no nos preocupábamos hata entonces; y si no que se lo pregunten a los que se dedican al e-commerce, quién de nosotros no nos hemos preocupado al terner que dar nuestra tarjeta de crédito al comprar por internet..

En la empresa donde trabajo estamos preparando diferentes eventos tecnológicos que ayudarán a nuestros amigos, clientes, proveedores y compañeros a compartir la visión que tenemos nosotros sobre diferentes aspectos de las tecnologías de la información. Nuestra idea es realizar hasta 4 diferentes este año, con temática completamente diferente, y muy especializados en casos concretos.

Además, en estos eventos contamos casos de éxito que hemos realizado normalmente en otros clientes y mostramos demostraciones prácticas de lo que previamente hemos comentado o explicado, evitando que sea un simple evento comercial. En el fondo somos una empresa de ingeniería, y eso siempre se nota. 

Ya tenemos definido tres de estos eventos, que os cuento por si pudiéseis estar interesados en asistir.

• Application Delivery Networks - 6 de Mayo, Hotel NH Convenciones, Sevilla.

Queremos contaros todo lo relacionado con el concepto de entrega de aplicaciones, que incluyen conceptos como seguridad, aceleración y disponibilidad. Nosotros nos centraremos en este caso en la seguridad y os mostraremos un ejemplo práctico y un caso de éxito, junto con la tecnología del fabricnate F5 Networks.  Por cierto, yo mismo tengo una pequeña presentación en el mismo

Si tenéis interés, podéis ver la agenda completa y apuntaros directamente aquí 

• SGxI: Gestión unificada de TI - 11 de Junio, lugar por confirmar.

En este caso queremos hablar sobre las posibilidades de unir la gestión de TI junto con la seguridad de TI, en definitiva, conceptos como ITIL, COBIT, y similares, con otros como ISO27001 o SGSI.  Para ello, vamos a contar con la participación de compañeros de la Delegación y también con otros compañeros especialistas en la materia, con muchos años de trabajo en estas cuestiones, que nos contarán su visión y su experiencia para casos concretos en los que estamos actualmente trabajando.

• Continuidad de negocio - 25 de Junio, Hotel Cortijo El Esparragal, Gerena (Sevilla).

El tema de la continuidad de negocio es un aspecto muy importante hoy en día para todos los departamentos de TI, involucrando además a la propia dirección de la empresa. En este caso, queremos comentar con las personas que tienen la responsabilidad en sus Organizaciones de ofrecer continuidad en su negocio, sea cual sea el sector, las diferentes visiones que existen en estos casos, las posibilidades tecnológicas, lo importante de la planificación, y lo que nosotros hemos hecho en otros casos. En esta ocasión contaremos con la compañía de HP y de sus expertos para ampliar nuestra propia visión.

Fianlmente, después de verano queremos organizar otro evento, esta vez se dedicará a aspectos de calidad en el desarrollo software, y entre otras cosas os enseñaremos algunas de las herramientas que utilizamos nosotros para desarrollo, junto con un proyecto en el que estamos trabajando desde hace meses y que presentaremos ese día. Ya os iré contando, pero si estáis interesados en cualquiera de ellos, siempre podéis decírmelo y os aviso puntualmente.

Resulta curioso comprobar como la mayoría de las Organizaciones gastan miles de euros en proteger sus activos. Y la información hoy en día es un activo muy importante de cualquier Organización, además de que es posible que deba estar protegida en España como lo indica la Ley Orgánica de Protección de Datos.

Al hilo del post anterior, donde hablaba sobre las medidas de seguridad perimetral que suelen implantarse, cada vez me encuentro más clientes y amigos que se han dado cuenta donde se encuentra el mayor punto de fuga de información de la empresa. Sí, ahí donde os imagináis: nosotros mismos.

Conozco a empresas que cuentan con todas las medidas de seguridad perimetral que podamos imaginar: cortafuegos, cortafuegos de aplicación, IDS, IPS, proxies, antivirus perimetral y de puesto, antispam, antispyware, y todo el resto de antis que existen. Y sin embargo, los PCs de los usuarios permiten conectar dispositivos USB y grabar CDs sin ninguna limitación.

Existen estudios donde se informa de esta gran vulnerabilidad en las arquitecturas de información, que explican además que muchas veces de forma consciente los propios trabajadores suponen el mayor agujero de seguridad existente.

Existen soluciones que permiten evitar estas situaciones, que pueden ir desde aplicar tecnologías para evitar el uso de estos dispositivos, realizar trazas de acceso a los mismos, hasta, y en general, definir una política de seguridad adecuada dentro del marco del Sistema de Gestión de la Seguridad de la Información de la Organización.

La seguridad perimetral en cuanto a los Sistemas de Información es, como su nombre indica, aquellos mecanismos incorporados en la infraestructura de Sistemas y Comunicaciones de una Organización dedicados a securizar precisamente el perímetro que existe entre las redes confiables de la Organización (internas) y las redes no confiables (externas), como pueden ser Internet o redes de terceros.

Llevamos años incorporando medidas que permitan aumentar el nivel de seguridad en estos perímetros, estableciendo barreras más o menos infranqueables a través de sistemas como cortafuegos, detectores de intrusión, antivirus, antispam, antimalware, escudos de aplicación, etc.

Sin embargo, cuando empecé hace ya casi 10 años en esto de la seguridad lógica, las herramientas o soluciones que existían entonces eran prácticamente igual a las que pueden existir hoy en día. Ya existían los cortafuegos, hoy convertidos en commodities pero que entonces crecían como hongos en todas las organizaciones que tenían conexión a Internet. También había antivirus, básicamente de puesto de usuario, aunque hoy podemos encontrar antivirus también de perímetro, más enfocados a evitar la introducción de código malicioso a través de los gateways entre redes internas y externas (incluyendo spyware, virus, spam, entre otros).

Los detectores de intrusión hacían sus pinitos, y si bien existían varias herramientas (ya existía por aquel entonces Snort como proyecto de software libre) es cierto que aún se encontraban en sus orígenes y sobretodo contaban con poco rendimiento y con consolas de administración bastante rudimentarias. Hoy en día si existen soluciones hardware/software dedicadas a esta labor, normalmente embebidas en los propios sistemas cortafuegos, y aunque ha aumentado su rendimiento, básicamente la idea es la misma a la de aquellos productos visionarios.

Los escudos de aplicación web sí que eran algo incipiente, existían fabricantes como Sanctum que se dedicaban en exclusiva a su desarrollo, pero igualmente la idea de un sistema proxy inverso con mayores funcionalidades sigue siendo válida, y también se han convertido en herramientas complementarias de otros fabricantes típicos de seguridad.

Otros elementos, como sistemas de correlación de logs, sistemas detectores de intrusión de host y escaneadores de vulnerabilidades también existían entonces, y aún hoy continúan funcionando con las mismas ideas tecnológicas que entonces.

¿Qué ocurre entonces? ¿No hemos evolucionado en este tipo de herramientas?

Sí en cuanto a rendimiento, escalabilidad, eficacia, integración, facilidad; pero sinceramente alguien debería trabajar en pensar que el mundo hoy en día necesita reinventar herramientas que proporcionen un mayor nivel de seguridad perimetral, a través de nuevas tecnologías. No hay nada como una época como la que vivimos en Andalucía de aumento de la inversión en I+D para pensar en atreverse a esto.

La seguridad perimetral, dentro de la seguridad lógica de los sistemas de información, se refiere a aquellos sistemas, tanto hardware como software, dedicados a la protección del perímetro de la red interna de una organización, detección de los intentos de intrusión y disuasión de los posibles intrusos.

Dentro de los sistemas que proveen seguridad perimetral, desde el cortafuegos, en sus múltiples variantes, a los detectores de intrusión, analizadores de red, escáneres de vulnerabilidades y analizadores de puertos, son normalmente los sistemas más utilizados.

El mundo open source también cuenta con herramientas y proyectos dedicados a proporcionar este tipo de soluciones. Sin embargo, estas soluciones en el mundo open source siempre han adolecido de requerir personas con profundos conocimientos informáticos, de redes y sistemas operativos, para poder implantarlas en un entorno empresarial. Además, todo lo relativo a la seguridad de los sistemas de información suele ser una parte muy importante de cualquier responsable de TI, y la solución más fácil suele ser implantar soluciones del mundo comercial, donde se encuentre alguna empresa o fabricante sobre la que descargar la responsabilidad en caso de que su software no funcione correctamente y proporcione un fallo de seguridad y una posible intrusión a los sistemas corporativos.

Conozco sin embargo muchas empresas que cuentan hoy en día son sistemas de seguridad perimetral basados en software libre, y que realmente les solucionan sus necesiadades de manera análoga a cualquier otro software no libre.

Pero es cierto, que el mayor problema para utilizar software libre en la parte de seguridad perimetral es la gran atomización de soluciones que existe, es decir, existen muchas herramientas que pueden proporcionar resultados concretos. Por ejemplo, existe software que permite escanear puertos en estado de escucha en un servidor, sin embargo, no es una herramienta que pueda proporcionar por sí misma un aumento directo del nivel de seguridad perimetral de una empresa.

Más aún, para un director de TI, la información más útil acerca de la seguridad perimetral de su red es aquella que especifica el nivel de seguridad que tiene la misma, a través de un cuadro de mando donde pueda visualizarse la situación actual y sobretodo la evolución de dicho nivel durante el tiempo, de manera conjunta con las posibles vulnerabilidades de los sistemas corporativos y sus posibles soluciones.

Una forma posible de integrar todas estas herramientas de seguridad, y contar con una vista general de la situación de seguridad es con la herramienta OSSIM.