Escrito por Claudia Diego Martes, 28 de Septiembre de 2010 00:00
Es la sexta actividad de la serie prevista por CXO Community. El objetivo ha sido La Nube, un concepto que se catapulta como nuevo paradigma para cambiar la manera en que se ofrecen los recursos informáticos. Un salto que convierte en servicio muchos ítems tradicionalmente considerados productos, reduciendo significativamente sus costos, tiempos de implementación y puesta en funcionamiento, infraestructura y aprendizaje. Contó con la participación de más de 100 profesionales especializados en tecnología y en seguridad de la información.
Buenos Aires, 28 de Septiembre de 2010 - Organizada por CXO Community, Dixit Comunicación de Negocios, y con el apoyo de la Universidad del CEMA, se realizó la I Jornada de Seguridad en Cloud Computing.
Como sexto encuentro del 2010 se inició la serie temática especializada en Seguridad de la Información. Se dio tratamiento a la visión, estrategia y enfoque en Cloud Comtuting, la seguridad y disponibilidad en la Nube, Cloud Computing como nuevo paradigma y la seguridad en bases de datos.
El encuentro fue auspiciado por las empresas Fortinet, Global Crossing, Microsoft y BMC Software.
Las entidades que convocaron al encuentro han sido: CPCI, CPCIBA, ISACA, ISSA, Identidad Robada, Derecho Informático, Segu-Info, Segu-Kids, Copitec y Templarios de la Seguridad.
.JPG "Cristian Borghello")
En la sede de la Universidad del CEMA, Reconquista 775, Capital Federal, se realizó la Primera Jornada de Seguridad en Cloud Computing. Más de 100 asistentes congregados en el Auditorio Principal, en esta jornada de día completo, pudieron apreciar de las ponencias de destacados referentes del mercado de la Tecnología y Seguridad de la Información.
La apertura fue realizada por Cristian Borghello, MVP Director del Sitio Segu-Info, (http://www.segu-info.com.ar/) exponiendo que se entiende por Cloud Computing: ¿Un nuevo paradigma? ¿Una nueva campaña de marketing? Luego de interactuar con la audiencia expuso el concepto de Cloud Taxonomy (http://cloudtaxonomy.opencrowd.com/) siendo este un sitio de Open Crowd el que proporciona la taxonomía e información sobre los servicios actuales de Cloud Computing. Su objetivo es crear una relación entre los proveedores de servicios y los consumidores, así como los desarrolladores para promover el entendimiento y la adopción de soluciones basadas en la nube. En el sitio puede consultarse el gráfico (expuesto durante la apertura) con los servicios actuales en Cloud Computing pudiendo dar de alta nuevos servicios a medida que vayan apareciendo.
--- La presentación completa puede ser obtenida desde este link (1)
.JPG "Gonzalo García")
La primera presentación fue realizada por Gonzalo García, Territory Manager Southern Cone Fortinet, (http://www.fortinet.com/) abordando la ponencia “Fórmulas para la Seguridad en Cloud Computing”.
La exposición se focalizó en la seguridad en la Nube iniciando la misma con la pregunta: ¿Qué debemos hacer con la seguridad día a día? donde consideró que en muchas organizaciones “la misión de la compañía no es la seguridad”. Actualmente y en referencia a Cloud Computing, Gonzalo mencionó que algunas empresas empiezan a utilizar el concepto desde la visión de la innovación y aquí es donde expuso el dilema del CEO versus el dilema de la Seguridad. Luego abordó las diferencias entre SaaS (Software as a Service) donde comentó que si bien se relaciona con el modelo de la Nube no es una limitación del modelo, versus MSS (Security as a Service and Managed Security Services), es decir, la Seguridad como un servicio. Gonzalo mostró la evolución del mercado MSS para el 2009 y comentó que la progresión existió en el 2010 manteniéndose la demanda hacia el 2015. Para concluir se expusieron los drivers y oportunidades del modelo de Cloud Computing, destacando que actualmente el negocio del fishing es de mayor valor que el negocio de la heroína en Europa.
--- La presentación completa puede ser obtenida desde este link (1)
.JPG "Jorge Skigin")
A continuación, Jorge Skigin, Sr. Software Consultant en BMC Software, (http://www.bmc.com/) realizó la presentación “El futuro en la gestión de servicios de TI Corporativos: Business Service Management (BSM) para Cloud Computing”.
Jorge inició su ponencia definiendo el significado de BSM: es una estrategia y una plataforma unificada para realizar la gestión completa de TI, con BSM se combina tecnología y procesos de forma eficiente y basándose en las necesidades de negocio. Avanzando con su presentación, expuso las prioridades de los CIOs acorde la encuesta realizada por Gartner Group en mayo 2010. A nivel mundial la prioridad 1 es la Virtualización y la segunda prioridad es Cloud Computing y en Latinoamérica la primera prioridad es Cloud Computing y la segunda prioridad Business Intelligence lo que hizo concluir que “Cloud Computing es el catalizador para elevar el nivel de madurez de TI”. ¿Cuáles son los típicos problemas en las empresas? Excesivo tiempo para la puesta en producción de nuevos servicios, mala utilización de los recursos de TI, tareas manuales conducen a una elevada cantidad de errores, poca flexibilidad para acompañar la dinámica del negocio y baja visibilidad y control. ¿Cuáles son las consecuencias? Iniciativas de negocios retrasadas por TI, gastos innecesarios en recursos de TI (hardware y personas), pérdida de tiempo y recursos en solucionar errores de implementación y el negocio utiliza soluciones alternativas (nube pública) sin la supervisión de TI. Posteriormente, Jorge presentó los data centres de última generación, la necesidad del rediseño en la entrega de servicios de TI y el modelo de entrega de servicios para Cloud. Para concluir, se abordó el estado de deseado sintetizándolo en la expresión: “Permita que la nube trabaje horas extras mientras usted se toma unas merecidas vacaciones”.
--- La presentación completa puede ser obtenida desde este link (1)
.JPG "David Iacobucci")
Posteriormente, David Iacobucci, Director Comercial de la Línea de productos Data Centers, Seguridad y Outsourcing de Global Crossing, (http://www.globalcrossing.com/) desarrolló el bloque “Cloud Computing”.
David dio inicio a la ponencia esclareciendo distintas definiciones necesarias para la presentación destacando que no estamos acostumbrados a pensar en procesos y que Cloud Computing es un concepto que no se iguala a la Tecnología. ¿Por qué? Porque se paga por consumo, es ampliamente escalable, puede ser accedido desde cualquier lugar y desde múltiples dispositivos. En torno a la Nube... ¿Qué esperan las empresas? SLAs acordes a las necesidades del negocio, soporte para el armado de la estrategia para la migración, alto nivel de seguridad, monitoreo y reporte granular, herramientas de gestión de servicios y soporte técnico. Luego presentó las claves del modelo desde las ópticas de ventas y plataforma ahondando en la evolución del modelo del negocio y del modelo tecnológico. Concluyendo, se trataron los obstáculos (seguridad -control de datos-, privacidad y regulaciones, estándar de portabilidad de datos, confiabilidad –SLA- y miedo al cambio) y las conclusiones (evaluar los beneficios y riesgos, planificar la adopción, testear el modelo, definir las reglas de interoperabilidad y trabajar en planes de mejora continua).
--- La presentación completa puede ser obtenida desde este link (1)
Habiendo abordado el concepto de seguridad como servicio, BSM para Cloud Computing y el concepto de la Nube en sí, era necesario profundizar en la seguridad y disponibilidad de los servicios en la Nube, por tal motivo, Jorge Cella, Director de calidad y Seguridad Informática para Microsoft Argentina y Uruguay, (http://www.microsoft.com/) desarrolló el cuarto segmento titulado “Seguridad y Disponibilidad de los Servicios en la Nube”.
La ponencia se inició presentando el enfoque de Microsoft y su inversión. La compañía Microsoft está realizando una inversión significativa para construir la capacidad del cómputo en línea: centros globales de cómputos que consumen de 70 a 180 megawatts de poder, el tamaño físico de los mismos equivalen a 7 o 10 veces el tamaño de un estadio de football estando todos ellos protegidos con una importante y necesaria seguridad física. Avanzando con la presentación, Jorge expuso el concepto de seguridad desde tres perspectivas destacando que es posible pensar en seguridad pero en términos binarios: “Es simple, usted está seguro o no lo está” y “La seguridad es una decisión del negocio o no lo es”. Luego abordó específicamente el tópico de data center demostrando que el servicio de seguridad comienza con un centro de cómputos que debe contar con sensores de movimiento, con accesos seguros en la base de 24X7, con cámaras de video, entre otros. Para finalizar, se enfatizó en el accionar de las terceras partes (auditoria) y la privacidad de los datos.
--- La presentación completa puede ser obtenida desde este link (1)
Macarena Pereyra Rozas, Socia del Estudio Carranza Torres y Asociados, a cargo del Diseño de Estrategias Jurídicas y Engagement, (http://www.carranzatorres.com.ar/) centralizó la quinta exposición “Cloud Computing: riesgos y responsabilidades legales” desde la visión de la legalidad aún no abordada durante la jornada y necesaria para el modelo en la Nube.
Macarena inició la presentación mostrando a la audiencia cuales han sido los riesgos más significativos en America Latina (en base a una encuesta del estado de la seguridad, realizada por Symantec durante el vigente año): ataques cibernéticos (42%), actividad criminal tradicional (18%), incidentes relacionados con la marca (12%), desastres naturales (21%) y terrorismo (7%). En el modelo de la Nube el tema crítico es que la seguridad está en manos del proveedor, asimismo el manejo y administración de la infraestructura tecnológica se delega en el anterior. Continuando con la ponencia, Macarena presentó distintos casos de la justicia tales como; Sistex c. Valerio Oliva (1990) y Argentoil c. Soft Pack (2008) demostrando que si bien existe 18 años entre ambos casos el tema se circunscribía en determinar el software o el servicio o el software como servicio. Posteriormente, avanzó en las regulaciones de orden público y las obligaciones de las partes. Concluyendo, se enfatizó en las medidas de seguridad: tanto para el acceso como para la guarda, ¿Se puede obligar al cliente a guardar cierta información?, ¿Qué pasa si la información se pierde o se fuga?, como también, destacó la importancia de delimitar la responsabilidad la que de no preverse dependerá de la legislación aplicable.
--- La presentación completa puede ser obtenida desde este link (1)
A continuación la sexta presentación “Anatomía de Seguridad en Base de Datos” estuvo a cargo de Diego Bruno, Analista Senior de Seguridad en Banco Comafi, (http://www.comafi.com.ar/).
Diego inició el bloque con la pregunta, ¿Por qué es tan importante la seguridad en las bases de datos? exponiendo los motivos: 1. Hoy más que nunca las bases de datos están intrínsicamente vinculadas a la mayoría de las aplicaciones transaccionales, minería de datos, BackEnd’s y FrontEnd’s, 2. Almacenan todos los datos sensitivos de nuestros activos electrónicos y 3. La pérdida de los datos almacenados en ellas puede afectar gravemente a las operaciones del negocio. La problemática general se centra en: la mala configuración inicial en el setup del motor por falta de procedimientos y políticas, las configuraciones default tanto del sistema operativo como del motor, usuarios built-in habilitados, passwords débiles o inexistentes, falta de conocimiento del administrador y ausencia de controles eficientes tanto reactivos como proactivos. Luego presentó las categorías de las vulnerabilidades las que afectan no solo a los sistemas operativos sino también a las bases de datos. Diego mencionó algunas estrategias y prácticas para el hardening de las bases de datos, entre ellas: principio del menor privilegio ¡siempre!, estar al día con los últimos parches de seguridad y no realizar instalaciones por default ni tampoco dejar de lado el aseguramiento post instalación. Para finalizar, se brindaron las consideraciones finales: siempre se deben auditar las bases de datos, considerar la incorporación de un producto de monitoreo de tercero y encriptar siempre los canales de comunicación en la operatoria de replicación, entre otras.
--- La presentación completa puede ser obtenida desde este link (1)
Culminando la jornada era el tiempo exacto para que Cristian Borghello, MVP Director del Sitio Segu-Info, (http://www.segu-info.com.ar/) quien efectuó la apertura de la jornada brindara la última ponencia a fin de cerrar la misma. La presentación se tituló “Cloud Computing, ¿un nuevo paradigma?
Cristian efectuó una presentación amena y divertida, sin por ello, dejar de demostrar a la audiencia los mitos y realidades en torno a Cloud Computing o… ¿Cloud Confusing? A fin de exponer si es o no un nuevo paradigma, se definió al Cloud como el buzzword de moda, “Nuevo modelo o paradigma que permite ofrecer servicios a través de Internet (la nube)” siendo la definición formal: “Es un modelo que permite el acceso bajo demanda a un conjunto compartido de recursos informáticos configurables, de los cuales se puede disponer rápidamente con una gestión mínima de esfuerzos. Promueve la disponibilidad y se compone de distintas características, modelos de servicio e implementación”. Luego, se mencionaron las ventajas para el proveedor y para el cliente, como también, los distintos servicios prestados por la Nube y los distintos tipos de Nube pero… ¿todo lo que reluce es oro? Los servicios brindados son una caja negra y se debe “confiar” en ellos. Según Richard Stallman, “Cloud Computing es una trampa destinada a obligar a la gente a adquirir sistemas propietarios, bloqueados, que costarán más conforme pase el tiempo”. La nube deja en manos del proveedor la responsabilidad del almacenamiento de datos y su control, no se consideran la legislación, las normas y las regulaciones, La cadena de provisión de servicio no es evaluada, los tres pilares (CID) de la seguridad de la información pueden comprometerse, existen problemas de insiders, sistemas compartidos por distintos clientes y riesgo del proveedor desconocido para el cliente. Pero al mencionar el concepto de riesgo Cristian explicó que el modelo de Gestión de Riesgo debe cambiar pero… Si antes no se evaluaba el Riesgo ¿Ahora lo haremos? Finalizando, se brindaron las conclusiones: lo importante no es el nombre (buzzword) sino entender la transformación (revolución) que implica el cambio, existen servicios que por su criticidad no pueden ser trasladados a la nube, evaluar que aún no es posible garantizar el cumplimiento normativo y requerir herramientas de administración centralizadas audiencia, entre otras. Una frase para destacar: “No debemos permitir que el “bajo” costo y la “simplicidad” de Cloud Computing no nos permita ver la tormenta en la nube. Analicemos los riesgos”.
--- La presentación completa puede ser obtenida desde este link (1)
Para mayor información:
(1) Para poder realizar la descarga de las presentaciones (archivos PDF) podrá acceder a la sección “Documentos” donde se encuentran cada uno de los contenidos indicados, previo inicio de sesión en el sitio.
CXO Community, http://www.cxo-community.com/, info(at)cxo-community.com
DIXIT Comunicaciones, http://www.dixitcomunicaciones.com.ar/ , info(at)dixitcomunicaciones.com.ar
| < Prev | Próximo > |
|---|
Próximas Jornadas
 |
 |
 |
 |
 |
Revista Impresa #16
Kiosco Digital
 |
Ingreso de usuarios
Registrados
Esta semana: 1 registrados
Este mes: 13 registrados
Visitas
 | Hoy | 3910 |
 | Ayer | 8983 |
 | Esta semana | 12893 |
 | Ultima semana | 45779 |
 | Este mes | 154310 |
 | Ultimo mes | 238584 |
 | Todos los días | 8385859 |
Hoy: May 22, 2012