idcexecutivebrief

Anuncio
I D C
E X E C U T I V E
B R I E F
The Rising Concerns Over
Endpoint Security
March 2008
www.idc.com
Adaptación de: EndPoint Security Issues, una presentación de IDC realizada por Christian A.
Christiansen
F.508.935.4015
Patrocinada por Novell
Introducción
Global Headquarters: 5 Speen Street Framingham, MA 01701 USA
P.508.872.8200
En la generación anterior, resultaba relativamente sencillo mantener
la seguridad de un sistema: sus usuarios trabajaban desde
terminales que estaban bajo un control directo del departamento de
Sistemas de Información. Hoy en día, el panorama ha cambiado
notablemente. En la actualidad, el departamento de TI ha asumido la
tarea de proporcionar un entorno informático que sea lo más abierto,
transparente y multifacético posible, y de ponerlo a disposición de
sus numerosos y variados usuarios. Quizás algunos trabajen
únicamente en las oficinas de la empresa. No obstante, la mayoría
son usuarios móviles que utilizan ordenadores portátiles en la oficina
y una conexión remota a la red de la empresa a través de VPN o
Internet. Estos usuarios utilizan cada vez más, y desde una gran
variedad de situaciones laborales, dispositivos móviles inalámbricos,
que van desde smartphones a dispositivos POS (Point of Sale).
Muchos utilizan memorias USB para almacenar sus documentos y
poder moverse tanto de un ordenador de un lugar a otro.
Cada uno de estos puntos es un endpoint, y cada endpoint
representa una amenaza para la integridad del entorno de TI. El
coste de mantener la seguridad de estos endpoints está creciendo
debido a la cada vez mayor diversidad de dispositivos a los que TI
debe prestar su apoyo, así como al aumento de la variedad de
amenazas y ataques maliciosos. Por lo tanto, estos activos, que
contienen información corporativa, quedan expuestos, y lo que es
peor, estas amenazas provocan que la propia empresa corra el
riesgo de incumplir con leyes y normativas tales como GLBA, PCI,
HIPAA, y SOX.
La seguridad de los endpoints (EPS en sus siglas en inglés) es un
aspecto central de los numerosos problemas de seguridad a los que
tiene que enfrentarse el departamento de TI para lograr mantener
unos sistemas saludables y unas configuraciones estables.
Desgraciadamente, el vector de amenazas sigue cambiando
constante y rápidamente, por lo que TI se ve obligado a ajustar sus
respuestas en función de estos cambios. Recientemente, la gestión
de amenazas de tecnologías de la información ha tomado un nuevo
rumbo, centrándose en la protección de datos y el control
inalámbrico. Por ésta y otras muchas razones, los departamentos de
IDC 633
TI están buscando una solución simplificada para sus problemas de
seguridad multifacéticos, una solución con una única instalación y la
capacidad de gestionar eficientemente las distintas herramientas.
Una solución tecnológica de seguridad integrada y completa no sólo
desde el punto de vista práctico, sino que puede contribuir también a
reducir el coste total de propiedad (TCO en sus siglas en inglés),
simplificando la gestión de diferentes soluciones de seguridad. El
presente Resumen Ejecutivo analiza los beneficios aportados por
una solución tecnológica de seguridad de endpoints integrada.
La Creciente
Endpoint
Importancia
de
la
Seguridad
de
Aumentar el acceso al sistema de información de cualquier
empresa, tal y como especifica el término chino wei ji, supone, al
mismo tiempo, una oportunidad y un peligro. Aquellas personas
especializadas en TI deben convertirse en astutos gestores de
riesgos para poder manejar el actual entorno de red. De entre los
mayores riesgos, podemos mencionar los siguientes:
2
•
Actualmente hay más portátiles que ordenadores de sobremesa
en el entorno empresarial; su omnipresencia supone la mayor
amenaza de movilidad debido a los problemas de filtración de la
información. Los portátiles pueden contener información
sensible como, por ejemplo, datos con propiedad intelectual o
información confidencial sobre clientes, que en caso de que
llegasen a manos de terceros, se estarían violando las normas
de privacidad y por tanto el cumplimiento de la normativa
•
En la actualidad, tanto el acceso móvil como el inalámbrico
suponen las mayores preocupaciones de seguridad para los
directores de TI
•
Cada vez más información corporativa de carácter crítico se
almacena a nivel local, tanto en ordenadores como en
dispositivos de almacenamiento portátiles, quedando al margen
de la información almacenada en los servidores y creando, de
esta manera, exposiciones innecesaria frente al riesgo
•
La conectividad inalámbrica está dejando rápidamente atrás las
redes de cable, lo cual conlleva el riesgo de que los hackers
criminales intercepten estas transferencias de datos por el
camino
•
Los smartphones se están convirtiendo en dispositivos de mano,
es decir, en auténticos ordenadores Wi-Fi. Por ello, la
información almacenada en sus discos flash puede copiarse o
robarse fácilmente
©2008 IDC
Tanto el riesgo, cada vez mayor, como la creciente exposición son
elementos omnipresentes. En los últimos años, ha tenido lugar un
cambio radical en el panorama de amenazas. Veamos a
continuación algunos ejemplos:
•
Antes las amenazas eran "ruidosas" y tenían una gran
visibilidad. Ahora son, por el contrario, silenciosas y pasan a
menudo desapercibidas
•
Las amenazas que antes eran indiscriminadas, tienen ahora
objetivos muy claros, establecidos por criminales profesionales
•
Las amenazas lanzadas por "piratas aficionados" o novatos son
ahora más frecuentes debido a que las herramientas que se
utilizan para lanzar ataques destructivos y se encuentran
fácilmente en Internet
•
En la actualidad, se suceden más amenazas derivadas de
involuntarias descargas y exposiciones de información sensible,
debido a que muchos empleados simplemente desconocen los
riesgos
En el pasado, las amenazas tenían nombres y recibían publicidad, lo
cual suponía una solución más centrada y específica. Los ataques
de hoy en día son, por el contrario, increíblemente variados y, a
menudo, ataques de día cero. Las grandes empresas están
perdiendo enormes cantidades de información tanto pública como
propietaria. Por citar un ejemplo, únicamente en el año 2007, se
perdió o robó la información personal de los clientes y los datos de
las tarjetas de crédito de más de 100 millones de personas en
Estados Unidos. También podemos mencionar que el año pasado el
gobierno británico extravió los datos personales de más de 15
millones de ciudadanos.
Antes, solucionar estos ataques era algo tanto técnico como sencillo
— simplemente había que acabar con el intruso. Hoy en día, la
solución es mucho más compleja y puede requerir la utilización de
análisis forense para investigar y determinar cuál es la fuente o la
causa del ataque. Una encuesta de IDC indica que, a pesar de que
tanto las intrusiones como los accesos a la red externa no
autorizados se han incluido como la principal prioridad de TI para el
año 2008, los presupuestos dedicados a seguridad siguen siendo
los mismos.
El aspecto más destacado es el siguiente: la seguridad de los
puntos y el control de acceso a la red resultan inadecuados para
enfrentarse al alcance y la gravedad de las amenazas actuales.
Tanto la movilidad como Wi-Fi ponen en peligro la información
corporativa, y al mismo tiempo, los usuarios están pidiendo cada vez
más movilidad y facilidad de acceso. Durante el proceso de tratar de
dar a los usuarios aquello que quieren, protegiendo al mismo tiempo
los activos corporativos, el departamento de TI tiene las manos
completamente atadas.
Asimismo, TI tiene el cometido de mejorar la seguridad sin incurrir
en mayores costes operativos. La TI trabaja a conciencia para
garantizar que sus operaciones sirvan de apoyo para las mejores
prácticas de negocio. Pero si vamos más allá, está claro que la TI
necesita alcanzar un acuerdo más en profundidad con la Dirección
©2008 IDC
3
senior para poder integrar sus prácticas de seguridad con las
mejores prácticas ya existentes, asegurándose de que el
cumplimiento normativo y los activos de propiedad intelectual estén
protegidos y seguros.
Entendiendo
Endpoint
las
Cuestiones
de
Seguridad
de
Un "endpoint" es cualquier dispositivo informático utilizado por un
empleado, socio empresarial o cliente local, remoto o móvil que esté
conectado a la red de la empresa. IDC concibe la seguridad del
endpoint (EPS en sus siglas en inglés) como la seguridad del cliente
que está centralmente gestionada. La EPS protege el entorno
corporativo de las amenazas asociadas con los accesos remotos no
autorizados, de una seguridad inadecuada para los dispositivos
móviles, y de unas prácticas de seguridad del cliente inapropiadas
en el dispositivo o endpoint. El acceso individual se controla desde
el ordenador, la aplicación o a nivel de archivo, en toda la red de
recursos utilizados.
La TI debe estar siempre alerta para asegurarse de que los recursos
de datos e información corporativos estén siempre bien protegidos, y
para que el nivel de seguridad de la empresa sea siempre suficiente
para estar dentro de los límites del cumplimiento normativo. Tal y
como hemos mencionado, las TI de la empresa se enfrentan
constantemente a nuevas amenazas, tales como:
•
El bluesnarfing, es decir, la utilización de dispositivos bluetooth
para capturar información
•
El podslurping, es decir, la utilización de un iPod para descargar
grandes cantidades de información
•
El thumbsucking, es decir, la utilización de una memoria USB
para capturar o transferir información sin la autorización de TI
•
Las amenazas de día cero, que resultan tan novedosas que no
tienen solución alguna
Realizar un seguimiento del flujo de información sensible a
ordenadores portátiles y dispositivos de almacenamiento, tales como
dispositivos USB, debe formar parte de la solución de seguridad. El
otro aspecto importante, consiste en encriptar la información que los
empleados necesitan llevar consigo y transmitir.
¿Por qué es Importante la Seguridad de Endpoint?
En el marco de la evaluación de las TI del entorno informático global
de la empresa, todos los dispositivos deben considerarse como
dispositivos de endpoint. Es necesario implementar una estrategia
de seguridad de endpoint (EPS), que deberá estar respaldada por
una estricta política que sea posible de cumplir, con el objetivo de
gestionar y proteger dichos dispositivos de endpoint. Cuando las TI
deben enfrentarse a lo desconocido, es necesario establecer las
mejores prácticas como política. Dicha política se convertirá en la
línea de base sobre la que se implementará su cumplimiento.
4
©2008 IDC
Confiar en que los usuarios hacen lo correcto es como el peligro de
incendio de los bosques, que va cambiando por todo tipo de razones
medioambientales. En caso de tener que cumplir un plazo ajustado,
el usuario honesto y racional puede copiar ficheros sensibles a una
memoria USB. Es posible que un ordenador portátil que contenga
información con propiedad intelectual corporativa, pueda olvidarse
sin querer en un vehículo que no haya sido cerrado con llave.
Cuando se suceden violaciones o posibles amenazas peligrosas, el
departamento de TI suele reducir el nivel de acceso a uno más bajo
o más seguro.
No existe la necesidad de correr el riesgo de ponerse en una
situación de exposición. Por ejemplo, en caso de que no haya
ninguna necesidad justificable de contar con conectividad
inalámbrica, o si se percibe que existe un peligro que proviene del
bluesnarfing, lo mejor es deshabilitar estas opciones. Si se están
utilizando dispositivos extraíbles para podslurping o thumbsucking y
esto supone una violación del cumplimiento normativo, hay que
deshabilitar los puertos USB.
Antes, la primera línea de defensa eran los cortafuegos, hoy en día
es la EPS. En un primer momento, se instalaron soluciones de EPS
individuales para luchar contra problemas específicos, soluciones
como por ejemplo:
•
Antivirus
•
Antimalware
•
Antispyware
•
Detección de intrusiones
•
Software de bloqueo de comportamiento
•
Gestión de identidad y autentificación
No obstante, cada una de estas soluciones tenía que gestionarse,
conectarse y, a menudo, reinstalarse en los dispositivos de endpoint
siempre que surgía algún cambio significativo, como por ejemplo,
una actualización o una modificación en la reglamentación. Por muy
importante que fuera la seguridad para la empresa, no sólo ponía a
prueba los recursos de TI, sino también los recursos humanos y
fiscales. En resumidas cuentas, la gestión de todas las amenazas de
seguridad desde una única solución integrada surgió como la
solución más eficiente y rentable.
Los parches, por ejemplo, se han creado tradicionalmente ad hoc. A
menudo, es el proveedor de soluciones que había realizado este
trabajo anteriormente. Hoy en día, existen soluciones integradas
para la gestión de escritorio que mantienen los endpoints
parcheados a los niveles adecuados. Prácticamente todos los
ataques que logran tener éxito están basados en vulnerabilidades
conocidas pero no parcheadas.
©2008 IDC
5
La EPS es un Elemento Crucial
El éxito en la EPS depende de tres iniciativas clave: la política de
usuario de endpoint, la gestión de perímetro, y una solución de
gestión de la seguridad EPS integrada.
La política de usuario de endpoint establece qué usuarios pueden
estar y cuáles no pueden estar sin supervisión o permisos de TI.
Algunos aspectos de esta supervisión pueden entregarse como
documentación de usuario, aunque dicha supervisión debería
respaldarse con un cumplimiento basado en la política. Otros
deberían incluirse en los propios sistemas, como por ejemplo, los
accesos de usuarios para la protección frente al robo de identidades.
El incidente de seguridad y la posterior gestión del mismo pueden
utilizarse como una manera de relacionar incidentes y
acontecimientos desde endpoints y otras partes de la red, y para
proporcionar una perspectiva general consolidada de los problemas
de seguridad pendientes de resolución.
La gestión de perímetro otorga un mayor control del entorno
tecnológico, desde los endpoints, sobre las extensiones de la red,
etc. (véase Figura 1). Los aspectos incluidos son los siguientes:
6
•
Configuración de dispositivos e instalación de las aplicaciones
•
Control de acceso y software de seguridad existente
•
Perímetro para Internet o la red externa
•
Perímetro extendido para los usuarios externos, clientes, y
socios empresariales
•
Perímetro personal para los recursos de Internet de un usuario
en particular
©2008 IDC
Figure 1
Extensión del perímetro, desde los empleados corporativos a
los socios o el perímetro personal
Perímetro Personal
Perímetro Extendido
Yahoo IM
FaceTime
Business
Partners
Perímetro
VPN
Control
Wireless
Access Point
Access
Control
Messaging
Security
Recursos
Applications
Voice, CRM, UC
Data
Operating
Systems
Wikis
Customers
Antispam
Road
Warriors
IDS
Virus
Checking
Web Security
Malware Protection
Branch
Offices
Firewall
Anti-Spyware
Mobile Devices
MySpace
Remote
Users/
Telecommuters
Mobile
Workers
Blogs
Web Mail
Blogs
LinkedIn
Wireless
LAN Photo Sharing
Home
Workers
YouTube
VOIP
Fuente: IDC, 2008
Una solución de gestión EPS integrada, situada en el perímetro de
acceso, le proporcionará al departamento de TI la mejor perspectiva
y el mayor grado de control sobre lo que entra y sale del entorno
informático. Esta solución contribuye a colocar procesos de
cumplimiento lo más cerca posible de la amenaza o vulnerabilidad,
garantizando de esta manera el nivel de protección más elevado y
sensible posible.
Un enfoque de arriba a abajo, que empiece en los endpoints, y no
en la red, es un aspecto esencial para una solución de gestión
completa e integrada. Las tecnologías dispares no deberían
agruparse juntas de mala manera. Tiene mucho más sentido diseñar
una arquitectura EPS partiendo de los dispositivos endpoint y
extendiéndose a los perímetros de la red. Esto permite asegurar, de
forma ininterrumpida, tanto la productividad del usuario como la
protección de los activos de información de la empresa. IDC define
en términos generales esta arquitectura como "control y protección
de la información," o IPC en sus siglas en inglés. El IPC abarca toda
solución que descubra, proteja, y controle cualquier información
sensible. El IPC es una solución muy completa que evita que la
información sensible sobre clientes o de la propia empresa sea
distribuida tanto dentro como fuera de la compañía, en violación de
las políticas normativas y corporativas.
©2008 IDC
7
El IPC incluye las siguientes tecnologías:
•
IPC Data-in-motion (datos en movimiento). El IPC Data-inmotion incluye soluciones que hacen un seguimiento, encriptan,
filtran y bloquean los contenidos de salida que estén incluidos
en el correo electrónico, la mensajería instantánea, el peer to
peer, la transferencia de archivos, los postings en la Web, y
cualquier otro tipo de tráfico de mensajes
•
IPC Data-at-rest (datos almacenados). El IPC Data-at-rest
incluye soluciones que monitorizan, protegen y controlan la
información contenida en escritorios, ordenadores portátiles,
servidores de almacenamiento/archivos, dispositivos USB y
cualquier otro tipo de dispositivo de almacenamiento de datos
•
IPC Data-in-use (datos en uso). El IPC Data-in-use incluye
soluciones que protegen y controlan cualquier información que
se esté utilizando. Estas soluciones se usan para mantener la
integridad de la información sensible como por ejemplo,
contratos, pliegos de condiciones y cualquier otro documento
importante para el negocio
Las principales características que debe incluir cualquier IPC son las
siguientes:
8
•
Gestión de Activos
•
Soporte informático del escritorio
•
Control de dispositivos, tales
almacenamiento USB y Bluetooth.
•
Encriptación como parte de una solución de filtrado de
información para los datos que se pueden haber perdido en un
ordenador portátil robado
•
Gestión de identidad
•
Auditorías integradas
•
Herramientas de gestión con las que ver y entender de forma
inmediata todo lo que está ocurriendo dentro de los perímetros
de seguridad
•
Seguridad de incidentes/Gestión de acontecimientos que
proporcione una correlación de todos los incidentes ocurridos en
los endpoints, para que se puedan detectar previamente las
amenazas y solucionarlas rápidamente
•
Control de parches
•
Política de implementación y supervisión
como
dispositivos
de
©2008 IDC
¿Cuáles son las Ventajas de las Soluciones
Integradas con respecto a los Productos Puntuales?
Hoy en día, el entorno de seguridad debe enfrentarse a
preocupaciones tecnológicas, normativas, fiscales, y la integridad de
la información.
Las preocupaciones tecnológicas incluyen la eliminación rápida de
los incidentes que estén causados por virus, malware, y spyware
mediante una única acción contundente. Asimismo, dado que se ha
trasladado el énfasis desde la interfaz de red o el cortafuegos hasta
los endpoints, resulta crucial adoptar una perspectiva en materia de
seguridad que sea más holística para poder proporcionar perímetros
de seguridad.
Las preocupaciones normativas incluyen la protección de las
identidades de las personas y de la información de los clientes, así
como los activos corporativos de información.
Las preocupaciones fiscales incluyen evitar que ocurran pérdidas
causadas por el incidente, y al mismo tiempo, no incurrir en ninguna
pérdida adicional debido a las multas, normativas y/o los costes
legales o de investigación, así como hacer un seguimiento del coste
total de propiedad (TCO en sus siglas en inglés) de la solución EPS.
Las preocupaciones en materia de seguridad e integridad de los
datos corporativos incluyen no sólo el mantenimiento de la
integridad de la información almacenada, sino también asegurarse
de que no ha sido corrompida por instrucciones maliciosas de
hackers o por una modificación irresponsable por parte de los
usuarios.
Es posible enfrentarse a todas estas preocupaciones con una
solución de fuente única, lo cual resultaría difícil, por no decir
imposible, utilizando soluciones de punto. Teniendo en cuenta la
reticencia por parte de la Dirección de gastar más en seguridad
tecnológica, resulta imprescindible evaluar las soluciones basándose
en el TCO. En la mayoría de los casos, la relación con un único
proveedor que ofrezca una solución unificada desde un único
terminal será la más rentable.
El problema EPS es el de una Hidra con múltiples cabezas y en
constante cambio — no existe una solución única de seguridad que
sea perfecta. Ir "cortando cabezas" de una en una es una estrategia
ineficiente y costosa. Le corresponde al departamento de TI
investigar las ventajas y la rentabilidad de la solución de EPS
integrada de fuente única. La mejor defensa es un buen ataque. Hay
que empezar cualquier análisis de EPS y de la seguridad del
conjunto de la empresa partiendo de una política de evaluación.
Mientras que numerosas organizaciones de TI dependen del
seguimiento y la auditoría para asegurarse de que los sistemas son
seguros, a menudo todo esto se queda corto y se hace demasiado
tarde. Una política proactiva con los adecuados cierres y apagados
del sistema resulta mucho más eficaz.
©2008 IDC
9
Conclusión: Reduciendo la Exposición frente a las
Amenazas
El actual entorno de tecnológico es cada vez más vulnerable a los
ataques y amenazas, tanto internos como externos. Cada uno de los
aspectos del entorno de las TI, desde el usuario inocente hasta el
hacker maligno, desde la memoria USB conectada a un ordenador
portátil hasta la base de datos corporativa del ordenador central,
debe someterse a una constante vigilancia de seguridad. El nodo
más vulnerable de la red de la empresa es el endpoint. Los
productos puntuales EPS pueden tener su utilidad, pero en términos
de eficiencia, rigor y rentabilidad, quizás tenga más sentido tomar en
consideración una solución EPS integrada con múltiples capas de
seguridad. Se ha demostrado que ésta es la solución que
proporciona el mayor nivel de protección con el menor TCO.
C O P Y R I G H T
N O T I C E
The analyst opinion, analysis, and research results presented in this
IDC Executive Brief are drawn directly from the more detailed studies
published in IDC Continuous Intelligence Services. Any IDC
information that is to be used in advertising, press releases, or
promotional materials requires prior written approval from IDC.
Contact IDC Go-to-Market Services at gms@idc.com or the GMS
information line at 508-988-7610 to request permission to quote or
source IDC or for more information on IDC Executive Briefs. Visit
www.idc.com to learn more about IDC subscription and consulting
services or www.idc.com/gms to learn more about IDC Go-to-Market
Services.
Copyright 2008 IDC. Reproduction is forbidden unless authorized.
IDC is a subsidiary of IDG, one of the world’s top
information technology media, research and exposition companies.
Visit us on the Web at www.idc.com
To view a list of IDC offices worldwide, visit www.idc.com/offices
IDC is a registered trademark of International Data Group
10
©2008 IDC
Descargar