12 de enero de 2012 Guía para Directores de Seguridad … Guía para Directores de Seguridad de la...

Making Leaders Successful Every Day

12 de enero de 2012

Guía para Directores de Seguridad de la Información (CISO) sobre seguridad en entornos virtualespor Rick Hollandpara profesionales de seguridad y riesgos

www.forrester.com

© 2012 Forrester Research, Inc. Reservados todos los derechos. Forrester, Forrester Wave, RoleView, Technographics, TechRankings y Total Economic Impact son marcas comerciales de Forrester Research, Inc. Todas las demás marcas comerciales pertenecen a sus respectivos propietarios. La reproducción o distribución de este contenido en cualquier forma sin permiso previo por escrito está estrictamente prohibida. Para adquirir copias de este documento, escriba un correo electrónico a [email protected]. Para obtener más información sobre la reproducción y el uso de la información, consulte la Política de citas de Forrester que podrá encontrar en www.forrester.com. Información basada en los mejores recursos disponibles. Las opiniones reflejan un juicio de valor en el momento de la redacción, y están sujetas a posibles modificaciones.

Para profesionales de seguridad y riesgos

ReSumen e jeCutIvOEn los centros de datos de hoy en día, a menudo el departamento de TI virtualiza las nuevas aplicaciones y cargas de trabajo de manera predeterminada. La virtualización se ha convertido en la norma; mientras que implementar un servidor físico es ahora la excepción. A pesar de que la tecnología está madurando y de que poco a poco va siendo adoptada por las empresas, los responsables de seguridad aún no se centran lo suficiente en los aspectos de la seguridad de los entornos virtuales. Dada la convergencia de los entornos virtuales, los incidentes de seguridad pueden ocasionar importantes daños; por lo que es de vital importancia que los profesionales de seguridad intensifiquen sus esfuerzos y tengan como prioridad la seguridad de su infraestructura virtual. Esta guía describe los retos de seguridad de los entornos virtualizados y muestra cómo aplicar los conceptos del modelo Zero Trust de Forrester sobre la seguridad de la información para proteger de manera eficaz el entorno virtual.

ÍnDICeEl nivel de seguridad de la virtualización queda a la zaga de las operaciones

Los incidentes de seguridad en un entorno virtual pueden ser desastrosos

Los profesionales de seguridad se ponen al día con la virtualización

Todo el mundo conoce las ventajas de la virtualización, pero no sus riesgos

Más vale tarde que nunca: Cómo entrar en el juego de la seguridad de la virtualización

elimine los puntos débiles de su entorno virtual

tenga en cuenta la tecnología de seguridad de la virtualización

tome un enfoque “Zero trust” para la gestión de identidades con privilegios

Incorpore la gestión de vulnerabilidades a su entorno virtual

Aumente el conocimiento que tiene su equipo sobre la virtualización

¿QuÉ SIGnIFICA?

Colabore estrechamente con sus compañeros de TI

Material adicional

nOtAS Y ReCuRSOSForrester a entrevistado a empresas proveedoras y a empresas usuarias de entornos virtualizados; incluyendo a expertos en seguridad y riegos y a arquitectos de redes empresariales.

Documentos de investigación relacionados“Pull Your Head Out Of the Sand And Put It On A Swivel: Introducing network Analysis And visibility”24 de enero de 2011

“no more Chewy Centers: Introducing the Zero trust model Of Information Security”14 de septiembre de 2010

“Fear Of A Hyperjacked Planet”16 de octubre de 2009

12 de enero de 2012

Guía para Directores de Seguridad de la Información (CISO) sobre seguridad en entornos virtualesPóngase en marcha y observe su entorno virtualpor Rick Hollandcon Stephanie Balaouras, john Kindervag y Kelley mak

2

4

6

9

10

10

www.forrester.com

http://www.forrester.com/go?docid=58445&src=61230pdf






© 2012, Forrester Research, Inc. Se prohíbe la reproducción12 de enero de 2012

Guía para Directores de Seguridad de la Información (CISO) sobre seguridad en entornos virtuales 2

El nIvEl DE sEguRIDAD DE lA vIRTuAlIzACIón quEDA A lA zAgA DE lAs opERACIonEs

La virtualización de servidores es casi omnipresente. De acuerdo con los datos de nuestra encuesta, el 85 % de las organizaciones han adoptado o piensan adoptar la virtualización de servidores x86 (véase la figura 1-1). Además, el 79 % de las empresas ha establecido o tiene planes de establecer una política de “primero la virtualización”.1 La mayoría de los clientes a los que entrevistamos para este informe solicita que se justifique cualquier implementación física de servidores x86; la virtualización es la norma, y hemos pasado el umbral de virtualizar únicamente las cargas de trabajo no críticas. Actualmente, los profesionales de TI han virtualizado de media el 52 % de los servidores x86 en entornos empresariales; dentro de dos años, esperan que ese número ascienda al 75 % (véase la figura 1-2).

Estos datos confirman lo que ya sabemos: durante años la virtualización ha sido la prioridad de profesionales de TI como, por ejemplo, los arquitectos empresariales (EA, por sus siglas en inglés) y los profesionales de infraestructuras de TI y operaciones (I+O). ¿Y qué pasa con los profesionales de seguridad? ¿Han tenido presente la virtualización? Muchos directores de seguridad de la información (CISO, por sus siglas en inglés) no son conscientes de los riesgos de seguridad que supone la virtualización; otros, sin embargo, se preocupan en gran medida por sus entornos virtuales, pero no siempre tienen la autoridad de influir sobre los profesionales de I+O para imponer políticas o implementar nuevos controles de seguridad.

los incidentes de seguridad en un entorno virtual pueden ser desastrosos

Examinemos el incidente de seguridad ocurrido recientemente en la empresa farmacéutica japonesa Shionogi. En febrero de 2011, Jason Cornish, administrador de TI despedido por la empresa, utilizó una cuenta de servicio para acceder a la red de la empresa. Una vez conectado, utilizó una instalación no autorizada de VMware vSphere para eliminar 88 servidores virtuales. Según la querella criminal: “los servidores eliminados almacenaban la mayor parte de la infraestructura informática americana de Shionogi, incluidos el correo electrónico de la empresa y los servidores de BlackBerry, su sistema de seguimiento de pedidos y su software de gestión financiera. El ataque paralizó las operaciones de Shionogi durante días, provocando que los empleados de la empresa no pudieran enviar los productos, recibir pagos ni comunicarse por correo electrónico”.2

© 2012, Forrester Research, Inc. Se prohíbe la reproducción 12 de enero de 2012


Figura 1 La virtualización es casi omnipresente

Fuente: Forrester Research, Inc.61230

Fuente: Forrsights Hardware Survey, tercer trimestre de 2011

Base: Directivos y responsables de la toma de decisiones en materia tecnológica de Norteamérica y Europa en empresas de más de 20 empleados encargados de los servidores x86

Servidores virtuales: 52 %

Hardware del

servidor: 48 %

1 % 5 % 9 % 7 % 6 % 11 % 61 %

“Actualmente, ¿qué porcentaje de instancias del SO del servidor x86 estima que funcionan

como servidores virtuales en lugar de ejecutarse directamente a través del hardware del servidor?”

(N = 771)

Servidores virtuales: 75 %

Hardware del

servidor: 25 %

“Dentro de dos años, ¿qué porcentaje de instancias del SO del servidor x86 cree que funcionarán

como servidores virtuales en lugar de ejecutarse directamente a través del hardware del servidor?”

(N = 768)

El porcentaje de la virtualización de servidores x861-2

Base: 1201 directivos y responsables de la toma de decisiones en materia tecnológica de Norteamérica y Europa encargados de los servidores x86

“¿Qué planes tiene su empresa de adoptar la virtualización de servidores x86?”

Adopción de la virtualización de servidores x861-1

85 %

Interesada, pero sin planesImplementación efectuada, pero no en expansión

No interesadoPlanes de implementación dentro de un año o más

No sabe

Ampliación o mejora de la implementación



los profesionales de seguridad se ponen al día con la virtualización

Mientras los profesionales de I+O han virtualizado rápidamente el entorno para reducir los costes y aumentar la flexibilidad, los profesionales de seguridad se han mantenido al margen, bien por elección propia o bien porque se han visto excluidos por los profesionales de I+O. Esto suele ocurrir independientemente del tamaño de la organización. Las entrevistas que hemos mantenido para este estudio con profesionales de TI en arquitectura empresarial, operaciones de TI y seguridad, han revelado diversas cuestiones problemáticas:

· Las actividades empresariales tal y como las conocemos están en statu quo. Los departamentos de TI confían en las soluciones tradicionales de seguridad para proteger sus entornos virtuales. Por ejemplo, utilizan agentes de seguridad de punto final y dispositivos de seguridad de red diseñados para entornos físicos para proteger las cargas de trabajo virtuales. Un encargado de seguridad comentó: “Confiamos en nuestras soluciones existentes; todavía no hemos modificado nuestro enfoque con respecto al entorno virtual”.

· Muchos profesionales de seguridad no conocen las soluciones que tienen a su disposición. Descubrimos que la mayor parte de los profesionales de seguridad tienen un conocimiento muy limitado de la eficacia y de la disponibilidad de las soluciones de virtualización, las cuales pueden ofrecer una mejor protección para sus entornos virtuales. Pongamos el ejemplo de un director de seguridad de la información que no sabía que el proveedor de software antivirus de su empresa ofrecía una solución para la virtualización de extremo.

· Muchos profesionales de seguridad no se sienten cómodos con la virtualización. Algunos profesionales del sector de la seguridad que han tenido que enfrentarse al rápido desarrollo de la tecnología, no se sienten del todo cómodos con su conocimiento sobre la virtualización. Este caso se da especialmente cuando comparamos la virtualización con áreas de seguridad más desarrolladas como, por ejemplo, la seguridad de red. Un director de seguridad de la información comentó: “No hemos tenido todo el contacto que hubiésemos querido con esta tecnología. Tenemos que sentarnos físicamente frente a la consola de operaciones para ver el entorno”.



ToDo El MunDo ConoCE lAs vEnTAjAs DE lA vIRTuAlIzACIón, pERo no sus RIEsgos

Entre las ventajas que ofrece la virtualización cabe citar: menor coste total de propiedad (TCO), flexibilidad, funciones de disponibilidad mejorada, funciones de recuperación de desastres y menor plazo de comercialización. No obstante, todos los profesionales de TI y especialmente los profesionales de seguridad deben conocer los riesgos. Entre ellos se incluyen:

· Visibilidad limitada del tráfico interno de las máquinas virtuales. En función de su arquitectura de red, la virtualización puede crear puntos ciegos en su red, y muchos profesionales de seguridad no cuentan con las herramientas necesarias para inspeccionar la comunicación interna de las máquinas virtuales (VM, por sus siglas en inglés); por ejemplo, el tráfico entre dos máquinas virtuales en el mismo servidor virtual. Todos los profesionales de seguridad a los que entrevistamos confían en sus dispositivos tradicionales de seguridad de red, pero si el tráfico interno de las máquinas virtuales nunca se dirige hacia la red física, ¿cómo se puede examinar? Nuestras entrevistas reflejaron que muchos directores de seguridad de la información no se sienten cómodos con el nivel de visibilidad que tienen de sus entornos virtualizados. Uno de ellos confirmó: “Sé que solo tengo una visión parcial, aún no hemos estudiado el sistema a fondo”.

· Mayor vulnerabilidad a amenazas internas. El incidente de Shionogi refleja la trascendencia de una amenaza interna. La naturaleza de los entornos virtuales agrava el impacto de las amenazas internas. Forrester estima que casi la mitad de los incidentes de seguridad fueron resultado de las acciones, malintencionadas o involuntarias, llevadas a cabo por socios internos o socios comerciales “de confianza”.3 No podemos olvidar esta situación: el empleado ejemplar que hace clic en el lugar incorrecto en el momento equivocado. Tal y como indican las estadísticas, esta situación ocurre con mucha más frecuencia que una amenaza interna malintencionada.

La amenaza interna eleva la gestión de usuarios con privilegios a un nivel completamente nuevo: “Veré al administrador de su dominio y le crearé una cuenta de administrador de virtualización.” En nuestras entrevistas, descubrimos que la mayoría de los profesionales de TI tienen funciones de administración relativamente bajas y demasiados permisos. Un arquitecto empresarial de una gran multinacional nos comentó lo siguiente: “Nuestros administradores tienen acceso completo al entorno; todos los administradores tienen acceso a todas las zonas. Comprendemos que esta situación no es la ideal”. Cuando no desea lidiar con sus usuarios con privilegios; el administrador es el enlace más débil.

· Incapacidad para mantener controles de seguridad en un entorno dinámico. La administración de la configuración y los cambios puede suponer un desafío en un entorno virtual. Incluso los profesionales de TI con un rango inferior pueden establecer y eliminar rápidamente una máquina virtual, con lo que la proliferación de máquinas virtuales es una realidad en muchas organizaciones. Asimismo, ¿cómo puede estar seguro de haber analizado y solucionado las vulnerabilidades de las máquinas virtuales sin conexión a Internet?



Las tecnologías como la migración directa ayudan a las organizaciones a aprovechar la potencia de la virtualización y hacer que el entorno sea sumamente dinámico. Actualmente, el 50 % de las empresas utiliza la migración directa, y el 13 % planea implementarla en los próximos 12 meses.4 ¿Hasta qué punto confía en que la configuración de seguridad de una máquina virtual se mantiene cuando un profesional de TI la migra de un servidor virtual a otro?

· Mayor nivel de cumplimiento. La virtualización también incrementa nuestros esfuerzos de cumplimiento. Como con cualquier tecnología nueva, los auditores deben ponerse al día. En junio de 2011, el PCI Security Standards Council (foro mundial de normas de seguridad para la protección de datos de cuentas) publicó su primera guía de orientación sobre la seguridad de la virtualización. Sin embargo, hay gran diversidad en la forma en que los auditores interpretan y las organizaciones cumplen estas directrices de virtualización del DSS (Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago) del PCI.5 Existen contradicciones entre las empresas asesoras de seguridad cualificadas: algunas permiten el modo mixto de segmentación virtual, mientras que otras no. También es posible que otras organizaciones de cumplimiento sigan el ejemplo de PCI y ofrezcan orientación sobre entornos virtuales.

· El requisito de asegurar más niveles de infraestructura y gestión. La virtualización incorpora nuevos niveles que hay que asegurar. Disponemos de más niveles de infraestructura y gestión que debemos proteger, así como el hipervisor en sí. Si una amenaza interna o un ciberdelincuente compromete cualquiera de estos dos elementos, todo estará perdido. Los sistemas virtuales no son exclusivos y son tan vulnerables como cualquier otro código de ejecución de sistemas. Si funcionan con un código, cualquier persona puede ponerlo en peligro. El 17 de diciembre de 2011, VMware hizo públicos 14 avisos de seguridad.6 En su informe X-Force 2010 sobre tendencias y riesgos (X-Force 2010 Trend and Risk Report), IBM investigó 80 vulnerabilidades y encontró que más del 50 % de ellas podrían poner en peligro la máquina virtual administrativa o producir escapes del hipervisor (véase la figura 2).7

En una investigación anterior estudiamos la seguridad del hipervisor y llegamos a la conclusión de que, a pesar de que introduce un riesgo mínimo para el entorno del servidor, es una cuestión ampliamente sobrevalorada.8 Tal y como afirmó un director de seguridad de la información de una gran multinacional: “¿Que si me preocupan los ataques al hipervisor? Por supuesto, pero ese riesgo es mínimo comparado con muchas otras situaciones más frecuentes.”



Figura 2 Clases de vulnerabilidades de la virtualización de IBm X-Force

MÁs vAlE TARDE quE nunCA: CóMo EnTRAR En El juEgo DE lA sEguRIDAD DE lA vIRTuAlIzACIón

Debe luchar por que la seguridad virtual esté, como mínimo, a la altura de su enfoque de seguridad tradicional, así como buscar oportunidades para implementar una mayor seguridad dentro de su entorno virtual. Para ello, Forrester recomienda lo siguiente: 1) aplicar el modelo Zero Trust de seguridad de la información a su arquitectura de red; 2) valorar las soluciones de seguridad para virtualización que vayan apareciendo; 3) implementar la gestión de identidades con privilegios; y 4) incorporar la gestión de vulnerabilidades en el entorno del servidor virtual.

Elimine los puntos débiles de su entorno virtual

El modelo Zero Trust de seguridad de la información de Forrester debe servir como la base de su infraestructura virtual.9 En el modelo Zero Trust, se elimina el concepto tradicional de seguridad del centro de datos con una estructura externa resistente y un núcleo flexible. En Zero Trust, ya no existe una red interna de confianza y una red externa de poca confianza. En Zero Trust, todo el tráfico de red es poco fiable. Además, en este modelo los arquitectos de TI y de seguridad rediseñan la red jerárquica tradicional y la segmentan, paralelizan y centralizan. En las próximas investigaciones de Forrester se estudiará en mayor profundidad la virtualización dentro del contexto del modelo Zero Trust.


Indeterminado 6 %

Hipervisor 1 %

Fuente: “IBM X-Force 2010 Trend and Risk Report” (Informe IBM X-Force 2010 sobre tendencias y riesgos), IBM, marzo de 2011

Base: 80 vulnerabilidades que afectan a los productos de virtualización de clase de servidor

Escape de hipervisor 38 %

Máquina virtual de administración

18 %

Consola de gestión 16 %

Servidor de gestión 6 %

Máquina virtual alojada

15 %

Distribución de las vulnerabilidades del sistema de virtualización



Tenga en cuenta la tecnología de seguridad de la virtualización

No tendrá que confiar únicamente en las soluciones tradicionales de seguridad para proteger sus entornos virtuales; en el mercado existen muchas otras soluciones para la seguridad de la virtualización. A pesar de que las tecnologías siguen desarrollándose, estas pueden:

· Ofrecer un valor empresarial aumentando la densidad de servidores virtuales. La mayoría de los profesionales de seguridad utilizan soluciones tradicionales de seguridad de extremo en sus entornos virtuales. Veamos este ejemplo: Dispone de un servidor virtual que ejecuta 15 máquinas virtuales. Cada una de esas 15 máquinas virtuales cuenta con un agente de seguridad de extremo que necesita una memoria y una CPU. Esos recursos no están disponibles para otros servidores virtuales, por lo que se reduce el número de máquinas virtuales que se pueden ejecutar eficazmente en el servidor. El director de las tecnologías de la información de una empresa con un alto grado de virtualización comentó que: “Hemos llegado al 80 % de virtualización, y buscamos cualquier oportunidad para incrementar la densidad y la rentabilidad de la inversión (ROI) de nuestra inversión en virtualización”.

Para eliminar la necesidad de implementar un agente de extremo en cada máquina virtual, plantéese la introspección del hipervisor. La introspección del hipervisor permite que proveedores externos como Bitdefender, Kaspersky Lab, McAfee y Trend Micro desarrollen una única aplicación de seguridad virtual en el servidor virtual que, a continuación, asumirá las responsabilidades de seguridad de extremo. Esto libera espacio en la memoria y en la CPU que las máquinas virtuales podrán utilizar, incrementando así su densidad y mejorando la rentabilidad de la inversión (véase la figura 3).10

· Proporcionar una mejor visibilidad y más seguridad. Las tecnologías de virtualización ofrecen toda la visibilidad necesaria de la comunicación interna entre máquinas virtuales. Existen muchas soluciones de seguridad, entre ellas la solución Virtual Security Gateway de Cisco Systems, la aplicación virtual FortiGate de Fortinet y la solución vGW Virtual Gateway de Juniper Networks. Las soluciones para virtualización también pueden proporcionar una gran riqueza de datos operativos que el personal de seguridad y operaciones de TI puede aprovechar. Por ejemplo, Reflex Systems ofrece funciones de seguridad virtual así como de planificación y previsión de capacidad de uso.



Figura 3 Seguridad de extremo sin agente


Hipervisor

Hipervisor

Enfoque de la seguridad de extremo sin agente

Enfoque tradicional de la seguridad de extremo

VMVM

VMVM

VMVM

VMVM

VMVM

VMVM

VMVM

VMVM

VM

VMVM

VMVM

VM

VMVM

VMVM

VSA

Cada sistema alojado se protege a sí mismo.

Una aplicación de seguridad virtual protege a todos los sistemas alojados.



Tome un enfoque “zero Trust” para la gestión de identidades con privilegios

Las bases del modelo Zero Trust son fundamentales para la gestión de identidades y accesos (IAM, por sus siglas en inglés) de su entorno virtual. Como refleja el incidente ocurrido en Shionogi, la gestión de usuarios con privilegios es una de las tareas más importantes en un entorno virtual. Por lo tanto, recomendamos lo siguiente:

· Asegúrese de que los usuarios tienen acceso seguro a todos los recursos independientemente de su ubicación. Sus usuarios con privilegios deberían utilizar una autentificación bifactorial para acceder al entorno virtual y administrarlo. Además, debe asegurarse de que las cuentas de servicio no tienen acceso de manera externa al entorno.

· Adopte una estrategia de “privilegios mínimos” e imponga un estricto control de acceso. Elimine el acceso administrativo general donde sea posible y establezca un único plano de gestión para administrar el acceso a su entorno virtual. Debe tener en cuenta el acceso a la red virtual, los servidores virtuales y el almacenamiento virtual. CA y HyTrust ofrecen una solución conjunta que controla el acceso al plano de gestión, así como el seguimiento de los usuarios con privilegios. La solución PowerBroker for Virtualization de BeyondTrust también trata la gestión de usuarios con privilegios en entornos virtuales.

· Registre todo el tráfico para poder llevar a cabo rápidamente acciones de respuesta y recuperación. Cuanto mayor sea el nivel de acceso de sus administradores, más importancia cobrarán sus servicios de registro y auditoría. Si sufre una amenaza interna accidental o malintencionada, debe disponer de las herramientas adecuadas para detectar rápidamente infracciones de políticas o actividades sospechosas. El hipervisor o el nivel de gestión de virtualización puede ofrecer algunos servicios de registro. Las funciones de auditoría y registro son imprescindibles para las organizaciones con un alto grado de regulación; las soluciones de Catbird Networks pueden ayudar a que las organizaciones logren el cumplimiento normativo en los entornos virtuales.

Incorpore la gestión de vulnerabilidades a su entorno virtual

Debe ampliar su programa de gestión de vulnerabilidades a su entorno virtual. La protección del servidor, incluidas la gestión de parches y la gestión de la configuración, es un elemento clave de la gestión de vulnerabilidades. Existe un gran número de recursos útiles que pueden ayudarle a reforzar sus servidores virtuales.11 También debe asegurarse de que realiza evaluaciones regulares de la vulnerabilidad, así como pruebas de exploración y penetración del entorno. Rapid7 ha dado a conocer recientemente Nexpose 5, que se integra con VMware para ofrecer funciones de análisis de cargas de trabajo tal y como entran online.12 Debe incluir pruebas de penetración específicas de virtualización para validar los controles de protección y seguridad del entorno.



AuMEnTE El ConoCIMIEnTo quE TIEnE su EquIpo sobRE lA vIRTuAlIzACIón

Nada de lo citado anteriormente puede hacerse si su equipo no cuenta con los conocimientos adecuados. Analice a su equipo y valore hasta qué punto están familiarizados con la virtualización. ¿Carecen del conocimiento necesario? Con toda probabilidad, tendrá que confiar plenamente en el conocimiento de los profesionales en arquitectura empresarial e infraestructuras de TI y operaciones (I+O) de su empresa. No es necesario contratar a un experto en virtualización. Más bien, necesitará empleados competentes que colaboren en la virtualización y conozcan las implicaciones de seguridad. Busque la manera de incrementar la formación de su equipo en virtualización. Puede hacerlo de dos formas:

· Asuma un enfoque orgánico. Requiere más tiempo, pero podrá desarrollar las habilidades desde dentro de la empresa. Hay numerosas organizaciones de formación que ofrecen cursos sobre la seguridad de la virtualización; entre ellas, el Instituto SANS.13 VMware también oferta cursos sobre la seguridad de las tecnologías VMware.14 Además, la colaboración con los profesionales de su equipo de arquitectos empresariales y profesionales de I+O ayudará a desarrollar estas habilidades de manera orgánica.

· Traiga la sabiduría del exterior. Cada vez hay una mayor demanda de profesionales de seguridad de la información que cuenten con un amplio conocimiento sobre virtualización pero, si está dispuesto a pagar un salario competente, podrá dar con ellos. Busque a aquellos empleados que provengan de entornos de proveedores de servicios gestionados o en la Nube. Desde el punto de vista económico, estos proveedores cuentan con enormes centros de datos virtualizados. Estos profesionales trabajan en entornos de múltiples plataformas y suelen contar con un amplio conocimiento sobre seguridad de las cargas de trabajos de múltiples empresas. Este conocimiento se puede transferir fácilmente a su entorno.

¿ Q u É S I G n I F I C A ?

ColAboRE EsTRECHAMEnTE Con sus CoMpAñERos DE TI

Seguro que ya lo ha oído antes, pero cabe repetirlo: debe colaborar con sus compañeros de tI en los campos de la arquitectura empresarial y las infraestructuras de tI y operaciones. Si no mantiene un contacto regular con los encargados de tI en estos campos, debería hacerlo ya. Asimismo, debe establecer una interacción regular entre su equipo y el equipo de virtualización. Organice una reunión sobre virtualización y reúna a los equipos para que intercambien experiencias sobre la virtualización. Según nuestras entrevistas, los miembros de los equipos de seguridad que se integran y trabajan estrechamente con sus compañeros obtienen una mayor familiaridad con los entornos virtuales de sus organizaciones. un profesional de seguridad y riesgos comentó:

“Somos mucho más conscientes de nuestro entorno virtual gracias a la estrecha vinculación que mantenemos con las operaciones. nuestras constantes reuniones han merecido la pena”.



MATERIAl ADICIonAl

Metodología

El estudio Forrsights Hardware Survey de Forrester del tercer trimestre de 2011 se realizó a 2 343 directores de TI y responsables de la toma de decisiones empresariales en materia tecnológica de empresas de dos o más empleados en Canadá, Francia, Alemania, Reino Unido y Estados Unidos. Este estudio forma parte de Forrsights for Business Technology de Forrester y se llevó a cabo durante los meses de julio y agosto de 2011. LinkedIn Research Network fue la encargada de hacer las encuestas online en nombre de Forrester. Entre los incentivos que recibieron los participantes de esta encuesta, se incluye una selección de vales de regalo o donaciones caritativas. En este informe hemos ofrecido proporciones exactas de la muestra, pregunta a pregunta.

Forrsights for Business Technology de Forrester realiza cada año natural 10 estudios de tecnología entre empresas en 12 países. Para el control de la calidad, analizamos detenidamente a los encuestados según el puesto de trabajo y su función. Forrsights for Business Technology de Forrester garantiza que la población final de la encuesta comprende únicamente a aquellas personas que mantienen una relación significativa con respecto a la planificación, financiación y adquisición de productos y servicios de TI. Asimismo, hemos establecido cuotas en lo que concierne al tamaño de las empresas (número de empleados) y al sector como medio para controlar la distribución de los datos y establecer una alineación con el gasto de TI calculado por los analistas de Forrester.

En este documento solo hemos reflejado una parte de los resultados de la encuesta. Si desea obtener los resultados completos de la misma, póngase en contacto con [email protected].

Empresas entrevistadas para este documento

BeyondTrust

Catbird Networks

CA Technologies

Cisco Systems

Citrix Systems

Fortinet

HyTrust

IBM

Juniper Networks

McAfee

Microsoft

Rapid7

Reflex Systems

Trend Micro

VMware



noTAs FInAlEs1 Fuente: Forrsights Hardware Survey, tercer trimestre de 2011.2 Fuente: “Former Shionogi Employee Sentenced To Federal Prison For Hack Attack On Company Computer

Servers”, The United States Attorney’s Office (Fiscalía de Estados Unidos), comunicado de prensa del distrito de Nueva Jersey del 9 de diciembre de 2011 (http://www.justice.gov/usao/nj/Press/files/Cornish,%20Jason%20Sentencing%20News%20Release.html).

3 De acuerdo con los datos de la encuesta de Forrester, el 43 % de las brechas de seguridad tuvo lugar como consecuencia de las acciones intencionadas o involuntarias llevadas a cabo por los socios internos o socios comerciales “de confianza”. El reciente incidente de WikiLeaks pone de manifiesto cómo un usuario de confianza con acceso ilimitado a una amplia cantidad de información confidencial basta para producir un escándalo internacional. La protección frente a este tipo de infracciones es muy difícil si cuenta con enormes volúmenes de datos para proteger almacenados en muchas ubicaciones y, más aún, cuando la tasa de crecimiento de estos datos es tan elevada. Los profesionales de seguridad a menudo adoptan tecnologías tales como la prevención contra la pérdida de datos (DLP) y la gestión de derechos de empresa (ERM), pero dichas tecnologías no funcionan adecuadamente sin un contexto de identidad. Necesita tener un conocimiento completo de la manera en la que los usuarios se unen, se mueven y dejan la empresa, de manera que pueda asignar y cancelar el acceso a los conjuntos de datos confidenciales. Para evitar infracciones de seguridad es vital añadir un contexto de identidad para la protección de la información, asignar grupos de Active Directory a archivos compartidos y ralentizar el crecimiento de la información no estructurada. Consulte el informe del 27 de junio de 2011, “Your Data Protection Strategy Will Fail Without Strong Identity Context”.

4 Fuente: Forrsights Hardware Survey, tercer trimestre de 2011.5 Fuente: Virtualization Special Interest Group PCI Security Standards Council, “Information Supplement:

PCI DSS Virtualization Guidelines”, PCI Security Standards Council, junio de 2011 (https://www.pcisecuritystandards.org/documents/Virtualization_InfoSupp_v2.pdf).

6 Fuente: “Security Advisories & Certifications”, VMware (http://www.vmware.com/security/advisories).7 Fuente: “IBM X-Force 2010 Trend and Risk Report”, IBM (https://www.ibm.com/services/forms/signup.

do?source=swg-spsm-tiv-sec-wp&S_PKG=IBM-X-Force-2010-Trend-Risk-Report).8 Los directores de TI, obligados a hacer más con menos, utilizan la virtualización para incluir más servicios

en menos espacio físico, reducir el consumo energético y proporcionar mayor flexibilidad. No obstante, a los profesionales de seguridad y riesgos les preocupa que, en el precipitado cambio hacia la virtualización, sus empresas no puedan proteger sus nuevas infraestructuras virtuales. Entre estas preocupaciones se incluyen el secuestro del hipervisor (hyperjacking) y los riesgos de implementación de las máquinas virtuales (VM) en la zona desmilitarizada (DMZ, demilitarized zone). Forrester piensa que los riesgos de que secuestren el hipervisor están sobrevalorados. El peligro real está en las actividades operativas. Se puede mantener la seguridad de las infraestructuras virtuales mediante: 1) la separación del tráfico administrativo, del hipervisor y de la migración directa y el tráfico de producción; 2) el mantenimiento de las máquinas virtuales con distintas clasificaciones de seguridad en distintos hosts físicos, y 3) la aplicación de límites de zonas con un hardware aparte. Consulte el informe “Fear Of A Hyperjacked Planet” del 16 de octubre de 2009.






9 Hay un antiguo dicho con respecto a la seguridad de la información: “Queremos que nuestra red sea como un M&M, con una estructura externa crujiente y un núcleo suave y flexible”. Para una generación de profesionales de la seguridad de la información, este es el lema con el que hemos crecido. Era un lema que se basaba en la confianza y en el supuesto de que las personas malintencionadas no traspasarían la

“crujiente estructura externa”. En el nuevo concepto de amenazas actual, esto ya no representa una manera eficaz de cumplir con los requisitos de seguridad. Una vez que un atacante traspasa esta estructura externa tiene acceso a todos los recursos existentes en nuestra red. Aunque hemos creado perímetros resistentes, hay ciberdelincuentes que están bien organizados que cuentan con agentes infiltrados y han desarrollado nuevos métodos de ataque que pueden burlar nuestras protecciones de seguridad. Para hacer frente a estas nuevas amenazas, los profesionales de la seguridad de la información deben eliminar el núcleo flexible mediante un sistema de seguridad general en toda la red, no solo en el perímetro. Para que los profesionales de la seguridad puedan llevar esto a cabo de manera eficaz, Forrester ha desarrollado un nuevo modelo de seguridad de la información denominado Zero Trust. Este informe, el primero de su serie, presentará la necesidad y los conceptos clave del modelo Zero Trust. Consulte el informe del 14 de septiembre de 2010,

“No More Chewy Centers: Introducing The Zero Trust Model Of Information Security”.10 VMware ha proporcionado acceso a sus API, y la empresa Trend Micro fue una de las primeras en hacer

uso del mismo. VMware ha anunciado recientemente sus nuevos socios, entre los que se incluyen Kaspersky Lab y Bitdefender. Fuente: Ellen Messmer, “VMware strives to expand security partner ecosystem”, Network World, 31 de agosto de 2011 (https://www.networkworld.com/news/2011/083111-vmware-security-partners-250321.html).McAfee y Citrix han anunciado una asociación similar para utilizar la introspección del hipervisor en la plataforma Xen. Fuente: “McAfee, Inc. and Citrix Deliver First Phase of Virtual Desktop Security Partnership”, comunicado de prensa de Citrix Systems, 6 de octubre de 2010 (http://www.citrix.com/English/NE/news/news.asp?newsID=2304351).

11 Hay una serie de recursos útiles a su disposición que pueden ayudarle a proteger sus servidores virtuales:El manual para la seguridad de las tecnologías de virtualización del NIST (National Institute of Standards and Technology, instituto nacional de estándares y tecnología) ofrece orientación independiente sobre la seguridad de los entornos virtuales. Fuente: Karen Scarfone, Murugiah Souppaya y Paul Hoffman, “Guide to Security for Full Virtualization Technologies”, National Institute of Standards and Technology (NIST), enero de 2011 (http://csrc.nist.gov/publications/nistpubs/800-125/SP800-125-final.pdf).The Center for Internet Security (centro para la seguridad de Internet) ofrece parámetros de seguridad tanto para VMware como para XenServer. Fuente: “Security Configuration Benchmark For VMware ESX 4”, The Center for Internet Security, 30 de diciembre de 2010 (https://benchmarks.cisecurity.org/tools2/vm/CIS_VMware_ESX_Server_4_Benchmark_v1.0.0.pdf) y “Center for Internet Security Benchmark for Xen 3.2”, The Center for Internet Security, mayo de 2008 (https://benchmarks.cisecurity.org/tools2/xen/CIS_Benchmark_Xen_32_v1.0.pdf).El manual sobre la protección de la seguridad de VMware vSphere 4.1 proporciona una orientación específica sobre la seguridad de vSphere 4.1. Actualmente no se ha creado todavía un manual de protección para vSphere 5. Fuente: “VMware vSphere 4.1 Security Hardening Guide”, VMware, junio de 2011 (http://www.vmware.com/resources/techresources/10198).La DISA (Defense Information Systems Agency, agencia de sistemas de información de defensa) cuenta con una plantilla para la protección de sistemas virtuales según especificaciones militares que también podrían ser útiles para organizaciones con baja tolerancia al riesgo y altos requisitos de seguridad. Fuente: Defense Information Systems Agency (http://iase.disa.mil/stigs/os/virtualization/esx.html).

12 Fuente: Sean Michael Kerner, “Nexpose 5 Goes After Virtual Security”, eSecurity Planet, 20 de septiembre de 2011 (http://www.esecurityplanet.com/malware/rapid7-goes-after-virtual-security-in-nexpose-5.html).

13 Fuente: The SANS Institute (https://www.sans.org/security-training/virtualization-security-fundamentals-1412-mid).

14 Fuente: VMware (http://mylearn.vmware.com/mgrreg/courses.cfm?ui=www_edu&a=one&id_subject=19217).


Forrester Research, Inc. (Nasdaq: FORR) es una

empresa de investigación independiente que

ofrece asesoría pragmática con vistas al futuro

a los líderes mundiales del mundo de la

empresa y la tecnología. Forrester trabaja con

profesionales de 19 posiciones clave en

empresas importantes para ofrecer

investigación privada, análisis de clientes,

asesoría, actos y programas de directivos

dirigidos a otros directivos. Durante más de 28

años, Forrester ha contribuido cada día al éxito

de los líderes en los sectores de tecnología,

marketing y TI. Si desea obtener más

información, visite www.forrester.com.

Sede central

Forrester Research, Inc.

60 Acorn Park Drive

Cambridge, MA 02140 EE. UU.

Tel.: +1 617.613.6000

Fax: +1 617.613.5000

Correo electrónico: [email protected]

Símbolo de Nasdaq: FORR

www.forrester.com

m a k i n g L e a d e r s S u c c e s s f u l e v e r y D a y

61230

Para obtener información sobre la adquisición de copias impresas o electrónicas,

póngase en contacto con el servicio de atención al cliente

llamando al +1 866.367.7378, +1 617.613.5730 o escribiendo a [email protected].

Ofrecemos descuentos por volumen y precios especiales para instituciones educativas y sin ánimo de lucro.

Oficinas de investigación y ventas

Forrester dispone de centros de investigación y oficinas de ventas

en más de 27 ciudades de todo el mundo, incluidas Ámsterdam

(Países Bajos), Pekín (China), Cambridge (Massachussets), Dallas

(Texas), Dubái (Emiratos Árabes Unidos), Fráncfort (Alemania),

Londres (Reino Unido), Nueva Delhi (India), San Francisco (California),

Sydney (Australia), Tel Aviv (Israel) y Toronto (Canadá).

Para averiguar la ubicación de la oficina de Forrester

más cercana, visite:

www.forrester.com/locations.

www.forrester.com

mailto:[email protected]

12 de enero de 2012 Guía para Directores de Seguridad … Guía para Directores de Seguridad de la...

Documents

Transcript of 12 de enero de 2012 Guía para Directores de Seguridad … Guía para Directores de Seguridad de la...