chris-hodson-zscaler

El punto de vista del CISO sobre un paradigma de seguridad cambia rápidamente

Con Chris Hodson.

 

Chris Hodson pasó casi toda su carrera como líder de seguridad. A principios de este año se unió a Zscaler para dirigir la oficina del CISO en EMEA. Zscaler es uno de los principales socios de BT en las soluciones de seguridad Cloud of Clouds de BT. [Read more…]

bas_burger_sept20142-128x106

Tendencias que impulsan el papel de la tecnología como disruptor

Bas Burger, President – BT in the Americas

 

Asistí a la Conferencia de Tecnología del Deutsche Bank, reuniendo a más de 200 empresas líderes para discutir sobre tecnologías innovadoras y el rol en la transformación del negocio – incluyendo aplicaciones en la nube, comercio electrónico, mercados en línea y la próxima generación de seguridad. Un tema clave del evento fue que independientemente del mercado, la tecnología definitivamente hace el papel de disruptor. Si bien la tecnología puede ser la constante universal, cada empresa en la Conferencia de Tecnología del Deutsche Bank tenía una visión diferente sobre el rol de la tecnología en este nuevo orden mundial.

[Read more…]

marcel-cappetti-headshot-128x106

Acerca de la transformación digital y la rapidez de datos con Cisco Marcel Cappetti

Marcel Cappetti es el director de operaciones para todas las empresas de ventas en Cisco Holanda. Tiene una amplia experiencia en los mercados industriales y participó en varios proyectos importantes del Internet de las Cosas antes de unirse a Cisco. [Read more…]

thierry-huts-128x106

Repensando el riesgo con Thierry Huts: la seguridad en la transformación del negocio

Llevar a cabo estrategias de digital possible de su organización requiere varios bloques y capacidades. La red es un componente clave en este proceso y sin la nube, esta transformación es imposible.

Otro pilar importante en su viaje a la ejecución de una estrategia de transformación digital es la seguridad. Hay una brecha entre la realidad y la preparación con respecto a los delitos informáticos, por un lado, y de las capacidades y habilidades que muchas organizaciones requieren por el otro. Esta es también una de las conclusiones del reciente informe de BT emitido en colaboración con KPMG “Taking the Offensive — Disrupting Cyber Crime“; es necesario reconsiderar el riesgo y adoptar un enfoque holístico y cada vez más inteligente y proactivo.

Entonces ataquemos el cibercrimen y demos una mirada al rol crucial, la evolución y soluciones de la ciberseguridad, que nos permiten disfrutar de los beneficios de digital possible de una forma segura. Desafortunadamente, las medidas de seguridad son tomadas (muy) tarde, en la mayoría de los casos. Tiempo para la acción.

 

Seguridad por diseño

 

Hablamos con Thierry Huts, responsable del portafolio de Seguridad de BT en el Benelux. Su puto de vista es claro: “La seguridad es parte de nuestro ADN en BT y es parte de todo lo que hacemos. Sus esfuerzos en transformación digital sólo pueden prosperar y acelerar gracias a ese punto de vista y nuestra oferta”.

 

¿Thierry, puedes empezar por decirnos más sobre tus opiniones con respecto a la seguridad en un contexto de Cloud of Clouds?

Thierry Huts: Si nos fijamos en el cuadro completo de nuestra visión Cloud of Clouds, vemos varios elementos importantes. Hay soluciones de BT Compute que traen  los centros de datos y una plataforma de TI confiable, flexible y escalable en la nube; esta la red que conecta todo y hay que agregar los diferentes servicios en la nube y aplicaciones empresariales, como comunicaciones unificadas, y soluciones de Contact Center…

Lo que también se puede ver es que la seguridad es una parte transparente y embebida de todas estas conexiones e interacciones. Vemos que es un concepto intrínseco de la infraestructura de cloud-of-clouds, que no debería comprometer el rendimiento o la experiencia del usuario. La mayoría de las organizaciones son conscientes de que necesitan asegurar sus servicios, redes y datos, pero realmente tiene que ser una parte inherente de la realidad todo lo que hacen – la seguridad por diseño.

Si bien los perímetros tradicionales continúan existiendo en muchas empresas, hay un cambio definitivo a medida que avanzamos a una nueva definición de perímetro.

 

Los 5 aspectos de la seguridad y la nube

 

Thierry Huts: Si nos fijamos a profundidad en lo que BT trae a su estrategia de Cloud o Clouds desde una perspectiva de seguridad; se pueden identificar 5 áreas.

 

  1. Protegiendo el perímetro del cliente

El primero es el hecho se necesita proteger el perímetro del cliente. Esa es la oferta más tradicional y un enfoque que sigue siendo importante. Es la protección del lugar desde donde el cliente va al Cloud of Clouds.

 

  1. Soluciones basadas en la nube

Ofrecemos una gama de soluciones específicas basadas en la nube. Piense acerca las posibilidades de seguridad que se pueden ofrecer en la nube, podemos  proteger contra ataques de DDoS (Distributed Denial of Service) o Proteger el trafico web, de correo y otro tipo de tráfico desde una perspectiva de nube.

 

  1. Protección del endpoint

Un tercer aspecto de la seguridad en la nube es la protección endpoint. Estos endpoints no son sólo una parte de la red interna, sino que también están conectados directamente a internet y a las aplicaciones de la nube, planteando restos adicionales de seguridad.

 

  1. Seguridad embebida

La seguridad no debe limitarse a un punto específico, e.j. perímetro, nube, aplicación, etc. Debe estar embebida en el diseño de extremo a extremo de la red (de LAN local, a través de la red donde sus aplicaciones en la nube residen). Esta es la razón por la que la seguridad está embebida en todos los servicios de TI/Red que ofrecemos para el negocio. La seguridad es parte de nuestro ADN, y comienza con la propia red. Nuestra red es una infraestructura compartida para múltiples clientes. Por lo que deben ser implementadas y mantenidas de forma segura. Nuestros servicios de computación que se ofrecen desde el interior de la nube deben ser seguros. Lo mismo ocurre con las comunicaciones unificadas  y cualquier otra aplicación que proporcionamos.

 

  1. Monitoreo, inteligencia y  seguridad proactiva

Por último, y esto es lo más importante de todo en el contexto de nuestra propuesta de seguridad, está el monitoreo de todo lo que acabo de mencionar. Esto incluye la vigilancia de nuestros propios servicios, servicios de seguridad, servicios de red, servicios de comunicaciones unificadas, etc. Esto hace parte del  portafolio de Assure Cyber y Assure Intelligence en el que de manera proactiva hacemos frente a posibles ataques a nuestras soluciones en la nube o equipos de nuestros clientes y de nosotros mismos. Esto se hace basado en el monitoreo de logs e incluye inteligencia proactiva con el fin de identificar un ataque antes de que realmente se lleve a cabo.

 

Un enfoque de seguridad holístico

 

¿Qué tan importante es tener este enfoque  holístico a la nube?

 

Thierry Huts: Importa mucho. La ventaja de ofrecer seguridad en la propia nube es que se mantenga el malware y los malos alejados de su red y su infraestructura interna.

El monitoreo es una parte integral y esto en combinación con la inteligencia proactiva y su rápida evolución. En los últimos años mucho se ha invertido en soluciones puntuales, Firewalls, IDS, posiblemente seguridad para correo, seguridad web y así sucesivamente, pero el ver la imagen global y entenderla exposición de la seguridad de los clientes es relativamente nuevo, sin embargo se encuentra en  rápido crecimiento.

Un último punto a mencionar en la perspectiva holística es la consultoría. Debido a que es vital que las empresas conozcan su propio riesgo y su exposición a las amenazas, podemos ofrecer servicios de consultoría o capacitación a los clientes para que puedan reconocer e identificar estos riesgos. Esto se basa en las evaluaciones de riesgo y una gama de otros servicios que ofrecemos y que hemos mencionado en el blog “reconsiderar el riesgo” hace un rato.

 

El papel transformador del CISO

 

En una entrevista el CISO de Zscaler Chris Hodson, que pronto publicaremos aquí, dijo que el principal reto para un CISO hoy es la visibilidad. ¿Ideas?

 

Thierry Huts: Hay varios desafíos para los CISOs y la visibilidad sin duda es clave. Entre Otros que nos encontramos en una nueva investigacion Se encuentran enfrentarse a  un panorama de amenazas en constante evolución impulsado por la digitalización – como la seguridad móvil – y la creación de nuevas oportunidades de negocio, incluyendo la actualización fuera de fecha de los procesos de trabajo inflexibles. Por último pero no por ello menos hay una nueva legislación y requisitos reglamentarios. Piense por ejemplo en el nuevo Reglamento Europeo General de Protección de Datos en el que las empresas tienen que cumplir con controles de seguridad específicos.

Sin embargo, la visibilidad es de hecho importante y está claramente abordado en nuestra seguridad de Cloud of Clouds. Lo que pasa con la seguridad es que es siempre una discusión un poco especifica. Todo el mundo sabe y dice que la necesitan, pero al mismo tiempo quieren sentir el impacto de ella lo menos posible. Así que lo que consideramos de forma continua en nuestros servicios de seguridad es el impacto en el rendimiento y la facilidad de uso. Un ejemplo concreto son los dispositivos móviles donde tenemos que tener cuidado y usar herramientas que mantienen los datos seguros pero no limitan la funcionalidad de los usuarios.

Taking the Offensive — Disrupting

Cyber Crime – obtén el reciente informe de BT

publicado en colaboración con KPMG

 

La seguridad debe ser impulsada desde el negocio. Los ejecutivos tienen que ser conscientes de que necesitamos la seguridad y que  es tanto una necesidad del negocio tanto como un tema de TI. Pero por otro lado, la seguridad no puede incapacitar el negocio. Aquí yace un papel definitivo para el CISO: crear esa transparencia para el negocio.

Como proveedor de servicios debemos aseguramos que la infraestructura que utiliza el cliente,  se trate de la infraestructura de BT o de terceros, esté asegurada – y que pueda hacer lo que tiene que hacer de una manera transparente y segura. Así que de hecho; es un enfoque de seguridad que permite a la organización concentrarse en su negocio.

 

Y ese es el poder de BT: tomar las preocupaciones que no son directamente del negocio y ofrecerles cuanto más se pueda servicios gestionados para solucionarlas.

Los ejecutivos tienen que ser conscientes de que necesitamos la seguridad y que  es tanto una necesidad del negocio tanto como un tema de TI..

Cumplimiento y conciencia del riesgo: los conductores de seguridad

Usted se ha referido a la GDPR [the new European General Data Protection Regulation act]. ¿Cómo el cumplimiento es cada vez más importante?

 

Thierry Huts: La mayoría de las veces cuando hablo de la seguridad en mis presentaciones tengo una diapositiva con los principales impulsores de la seguridad por lo cual señalo dos cosas. La primera de ella es cumplimiento. Y entonces de hecho hablo de la regulación europea que ahora se añade. Pero también se trata de regulaciones con respecto al hecho de operar en una región específica, o porque se opera dentro de un determinado sector (con HIPA, Basel II, etc., como ejemplos) o simplemente porque se quiere cumplir con estándares específicos como ISO27000. Así que, de hecho – el cumplimiento  es un gran motivador para mí.

 

En segundo lugar, existe la conciencia del riesgo. Este es más difícil. Con el cumplimiento es mucho más sencillo ya que sólo tienes que cumplir. Hay reglas. Comparando con el fútbol: se tienen 11 jugadores en el campo y no 12, y punto.

Con la conciencia del riesgo se necesita reconocer el riesgo que se corre si no se hace algo. Por ejemplo, cuando no se implementan los controles de seguridad. Y eso es algo muy específico acerca de la seguridad. Crear un caso de negocio alrededor de esto es relativamente difícil. Aunque es muy probable, nadie, por ejemplo, puede garantizar que cuando no se implementan los controles de seguridad o de monitoreo, la empresa será  atacada con éxito dentro de 3 semanas.

Con otras tecnologías, como comunicaciones unificadas, se pueden crear casos de negocien en torno a los ahorros en los costos de que genera la telepresencia o las redes convergentes y construir un modelo de negocio, definiendo que va a recuperar los costos dentro de un plazo determinado. Con la seguridad siempre se habla de una especie de cálculo de “riesgo y suerte”. ¿Cuál es la posibilidad de que algo suceda? ¿Cuál podría ser el impacto en el negocio? ¿Cómo pesa el impacto potencial frente a los costos de implementación de medidas de seguridad?

 

Desafortunadamente esto a veces conduce a una visión de que la seguridad es un centro de costos, mientras que en realidad es un vector clave del negocio digital.

Dar prioridad a sus riesgos: el enfoque de la CID

El análisis de riesgo también revisa el tipo de aplicaciones y que tan críticas son. ¿Cómo dirías que las empresas tienen que empezar a buscar a cerrar sus brechas de seguridad y priorizar, en general?

 

Thierry Huts: Lo que a menudo se pasa por alto es la parte de la consultoría que he mencionado antes y que consideramos como una parte intrínseca de nuestro portafolio de seguridad. Es esa etapa en que nos fijamos en donde están las “joyas de la corona”, como las llamamos. ¿Qué son y dónde están nuestros activos críticos y la información más valiosa? ¿Dónde están los procesos más críticos que podrían poner fin a mi negocio cuando la confidencialidad, integridad y disponibilidad (CID) de mis datos se vean comprometidos.

Estos son los procesos, sistemas, aplicaciones y datos de misión crítica que necesitan ser protegidos tanto como sea posible y con la máxima prioridad. Esta es en mi opinión siempre identifica la base que se necesita para empezar. Definen los  controles de seguridad que son necesarios implementar para asegurarse de que el nivel de CID de los datos está garantizado. Desafortunadamente, este es un paso que a menudo se pasa por alto cuando las empresas apenas empiezan a implementar controles de seguridad, sin saber muy bien qué es exactamente lo que están protegiendo y por qué. Sin embargo, cada vez es más evidente lo importante que es la consultoría y se puede evidenciar en el crecimiento de su demanda.

El perímetro de seguridad del todo y el papel de las asociaciones

Ha estado sucediendo desde hace mucho tiempo: ¿el perímetro de seguridad está erosionando o está simplemente cambiando y convirtiéndose en omnipresente?

 

Thierry Huts: En realidad, el perímetro continúa existiendo. Tenemos nuestra infraestructura de Cloud of Clouds donde ponemos un perímetro alrededor del Internet por así decirlo. Pero a menudo las aplicaciones y los datos corren en un centro de datos, y para acceder a ellos todavía es necesario definir un perímetro donde se suelen poner Firewalls.

 

Lo que obviamente vemos que está sucediendo desde hace muchos años es que cada vez más la gente es mas móvil. Toman su portátil, smartphone o tablet fuera del perímetro de la oficina tradicional. Estos contienen información crítica del negocio que necesita ser protegida. Hoy en día el perímetro está en todas partes. Si nos fijamos en el Internet de las cosas, el perímetro está llegando, en algunos casos, a cada usuario a, lo que aumenta las vulnerabilidades. Entre más cosas conectes a la red y entre más dispositivos equipos con capacidades de cómputo, mayor será la probabilidad de que exista una vulnerabilidad en algún lugar de la misma que puede ser explotada y necesita ser asegurada de este modo.

 

Así, mientras los perímetros tradicionales continúan existiendo en muchas empresas, hay un cambio definitivo a medida que avanzamos a un ‘perímetro-del-todo’.

robbert-vogel-128x106

La integración de las nubes y los requerimientos del negocio con Robbert Vogel

En la investigación con Cisco e IDC encontramos que la infraestructura y los servicios de nube se están convirtiendo rápidamente en una parte intrínseca de las estrategias de transformación de TI, pero todavía hay trabajo por hacer para aprovechar al máximo los beneficios que la nube tiene para ofrecer.

[Read more…]