seguridad - Cisco · tro de red; a medida que las empresas han ido conso-lidando sus centros de...
28
TCN C A M N TCN TCN C A M N TCN TCN C A M N TCN TCN C A M N TCN seguridad de principio a fin SUPLEMENTO DEL Nº 280
Transcript of seguridad - Cisco · tro de red; a medida que las empresas han ido conso-lidando sus centros de...
TCN C A M N TCN
TCN C A M N TCN
TC
N C
AM
N
TC
NT
CN
CA
MN
T
CN
seguridadde principio a fin
SUPLEMENTO DEL Nº 280
TCN C A M N TCN
TCN C A M N TCN
TC
N C
AM
N
TC
NT
CN
CA
MN
T
CN
TCN C A M N TCN
TCN C A M N TCN
TC
N C
AM
N
TC
NT
CN
CA
MN
T
CN
Los directores de comunicaciones e informática detodo el mundo siguen dando máxima prioridad a laseguridad en la red. Merrill Lynch realizó un estudioen junio de 2005 en el que se preguntaba a directo-res de comunicaciones e informática, de los cuales el40% eran europeos, en qué áreas iban a invertir supresupuesto y, como resultado, debemos resaltarque la seguridad en red ocupaba el primer puesto ylas soluciones de VPN (redes virtuales privadas) elsegundo.
FACTOR ESENCIALEn las empresas de hoy en día, especialmente en
esta era de actividad reguladora, preservar la inte-gridad, confidencialidad y longevidad de la infor-mación empresarial es un factor esencial para lograrel éxito. A medida que nos dirigimos a una econo-mía global basada en la información, el valor y tra-tamiento adecuado de la misma son cada vez másimportantes. El objetivo de cualquier infraestructu-ra de TI es crear sistemas que puedan detectar y pro-tegerse contra los accesos no autorizados sin queello comprometa la entrada a los usuarios legítimos.La simple denegación del acceso frente a un ataqueya no es aceptable y las redes actuales deben sercapaces de responder a los ataques con el fin demantener su disponibilidad y fiabilidad al tiempoque se garantiza la continuidad del negocio. La metade la seguridad debe ser crear redes más robustashaciéndolas también más flexibles.
La mayoría de las empresas españolas apoyan sunegocio en las comunicaciones avanzadas propor-cionadas por la red que además permite una mejo-ra en la productividad motivos ambos por los quees fundamental asegurar su privacidad. Actual-mente, la extensión de las aplicaciones de red a susoficinas, teletrabajadores, e incluso a terceras par-tes, es una práctica habitual por lo que los admi-nistradores de TI se enfrentan al reto de protegertodos estos entornos y ubicaciones. Uno de losmayores desafíos actuales consiste en ofrecer una
protección eficaz contra los diferentes tipos deataques posibles sin que esto impacte en la opera-tiva diaria de la empresa.
MEDIDAS MÁS COMUNESLas medidas de seguridad más comunes en las
redes españolas son la activación de filtros en losrouters, la instalación de cortafuegos y la activaciónde soluciones de VPNs tanto en conexiones entreredes como en comunicaciones remotas. No obstan-te, estas medidas representan una mínima parte delas posibles soluciones y no atajan la mayoría de losataques que intentan vulnerar las partes más despro-tegidas de la red. Ante este panorama Cisco aportauna solución de seguridad completa con dispositivosde detección y prevención de intrusos, securizaciónde puestos de trabajo y servidores, control de admi-sión (NAC – Network Admisión Control), seguridaden transmisión de voz, detección y contención de ata-ques de tipo denegación de servicio, seguridad enentornos WiFi, gestión de identidades en red, siste-mas de monitorización y análisis, etc.
La estrategia general de Cisco denominada Red deInformación Inteligente o IIN (Intelligent InformationNetworks) engloba la estrategia de seguridad de RedAuto-Defensiva (Self-Defending Network), cuyo obje-tivo principal es el de dotar a la red de una capacidadúnica para identificar, prevenir y adaptarse a las ame-nazas de seguridad actuales y futuras. De este modo,la red que incorpore los elementos definidos en la solu-ción global de seguridad de Cisco será capaz de auto-defenderse ante posibles ataques.
En definitiva, las empresas se enfrentan a una granvariedad de riesgos para la seguridad de su red, quepueden provenir tanto de elementos externos o inter-nos. Por ello deben saber cuáles son sus puntos vulne-rables y cómo minimizar los riesgos. La única defensaeficaz frente a los ataques actuales, dada su compleji-dad y rapidez de expansión, es mitigar estos riesgos enla propia red.
Cisco hace realidad laautodefensa de las redes
Yolanda Lamilla, directora de desarrollo de negocio de CiscoSystems en España
– 3 –
TCN C A M N TCN
TCN C A M N TCN
TC
N C
AM
N
TC
NT
CN
CA
MN
T
CN
– 4 –
TC
N
C
AM
N
TC
NNos guste o no, las tecnología de seguridad han cam-
biado más en los últimos tres años que en los diez ante-riores. La extensión de estos cambios, así como sudirección, ha complicado las tareas de los departamen-tos de seguridad de TI. Antes de considerar el control,vamos a tratar la evolución de este paisaje cambiante.
EL PERÍMETRO DE SEGURIDAD DE REDSe trata de uno de los puntos en los que se ha pro-
ducido mayores cambios, debido al modo en que el
sector enfocaba la seguridad de las redes y la forma enque lo hace ahora tras el cambio en la naturaleza de laspropias redes. Y es que en estos momentos una red nopuede protegerse simplemente asegurando su períme-tro de red; a medida que las empresas han ido conso-lidando sus centros de datos, creando redes conver-gentes y adoptando Internet, lo que una vez fue unentorno controlado y auto-contenido está ahora abier-to a los socios y colaboradores a través de las extranetsentre corporaciones, las conexiones con los puntos de
El cambiante paisajede la seguridad
TC
N C
AM
N
TC
N
TCN C A M N TCN
TCN C A M N TCN
TC
N C
AM
N
TC
NT
CN
CA
MN
T
CN
– 5 –
venta y los empleados que trabajan en casa, por citaralgunos ejemplos. Al ampliar la red de la empresa, cre-cen los límites de confianza para con las redes interme-diarias y entornos no controlados. Con frecuencia, losdispositivos que se conectan a la red empresarial a tra-vés de estas rutas de acceso no son compatibles con lasdirectivas de la empresa. Además, los usuarios utilizansus dispositivos para acceder a otras redes que puedenno estar controladas antes de conectarse a la red empre-sarial. Como resultado de esta acción, los dispositivospueden convertirse en canales por los que penetran ata-ques o se producen errores por el uso inadecuado.
TECNOLOGÍA INALÁMBRICA Y MOVILIDAD En la actualidad, los equipos portátiles, los PDA o
Personal Digital Assistant y los teléfonos móviles cuen-tan con más de una conexión de red. Todos ellos soncapaces de establecer redes inalámbricas ad-hoc parahabilitar la comunicación con otros dispositivos simila-res. Además, al nivel de la aplicación, los paquetes deinformación se pueden enviar eficazmente entre los dis-positivos. Como resultado, es mucho más ambiguoconocer dónde empiezan o terminan los límites de unared. Como consecuencia, las empresas tienen que sercapaces de ampliar su control sobre estos dispositivosmóviles a fin de administrar el sistema de forma seguray mantener la disponibilidad de la red.
COMERCIO ELECTRÓNICO Y EXTRANETSLa aparición de interfaces comunes de aplicaciones
basados en protocolos de mensajería, como Extensi-ble Markup Language (XML) y Simple Object AccessProtocol (SOAP), ha significado un catalizador para elcomercio electrónico y la productividad empresarial.Sin embargo, como pasa con la mayoría de las nuevastecnologías, estos protocolos de mensajería han traídoconsigo un nuevo conjunto de vulnerabilidades y vec-tores de ataque a los que las empresas deben enfren-tarse. Los datos que antes se difundían a través devarios protocolos de red y podían filtrarse con facili-dad a través de directivas de firewall, están ahoracombinados dentro de uno o varios protocolos detransporte como, por ejemplo, HTTP en el puerto 80de TCP. Como resultado, gran parte de los datos quesolían residir en las cabeceras de los paquetes seencuentran ahora en su contenido o “payload”. Estocrea importantes problemas de procesamiento quepermiten a un atacante sortear con relativa facilidadlas defensas clásicas de la red. Además, a fin de cum-plir con los requisitos de confidencialidad e integridadde los datos empresariales, cada vez más tráfico deeste nivel de aplicación se cifra a través de los proto-colos SSL/TLS (Secure Socket Layer/Transport LayerSecurity) y HTTP Secure Socket (HTTPS). Un efectocolateral de esta tendencia es que resulta mucho másdifícil para los departamentos TI forzar el cumpli-miento de las directivas empresariales de acceso en lared, debido a que no pueden inspeccionar el conteni-do de los paquetes de estos flujos cifrados.
VIRUS Y GUSANOS El número y la variedad de virus y gusanos que han
aparecido en los últimos tres años es asombroso.Pero hay dos factores que tienen un enorme impactoen las empresas y su eficacia operativa: el lapso cadavez menor entre el momento en que se detecta la vul-nerabilidad y aquel otro en el que se produce el ata-que y se expande por toda la empresa. Este hecho haproducido niveles inaceptables de interrupción en eltrabajo, además de la necesidad de caros proyectosde recuperación que consumen tiempo, personal yfondos que no estaban originalmente presupuestadospara esas tareas.
NORMAS DE REGULACIÓN El comportamiento con consecuencias maliciosas
que se genera de forma interna en las empresas haexigido que los organismos de regulación de muchossectores dicten reglas para la administración del ries-go de la información empresarial. En España existendos leyes fundamentales en el entorno de la seguri-dad: la LOPD o Ley Orgánica de Protección de Datosde carácter personal, que tiene por objeto proteger ygarantizar las libertades y los derechos fundamenta-les de las personas físicas, su honor e intimidad per-sonal y familiar; y la LSSI o Ley de Servicios de laSociedad de la Información y de Comercio Electróni-co, que regula las actividades de las personas que rea-lizan actividades económicas por Internet u otrosmedios telemáticos (correo electrónico, televisióndigital interactiva...).
Aunque muchas organizaciones asumen de formaerrónea que si cumplen con las regulaciones su infra-estructura será más segura, no siempre es así. La leyde las consecuencias involuntarias hace que el propiohecho de crear una norma pueda introducir nuevasvulnerabilidades. Por ejemplo, los gusanos y viruspueden expandirse con mayor eficacia en una red queadmita las VPNs de extremo a extremo, dado que losnodos intermedios no tienen visibilidad del tráficotransversal. Este tráfico puede llevar gusanos a losservidores empresariales en un paquete cifrado yseguro. Además de que realizar un diagnóstico delataque lleva más tiempo, dichas VPNs pueden difi-cultar la resolución del problema.
Llegados a este punto queremos preguntarnos:¿Puede realmente una red defenderse a sí misma? Larespuesta es "Sí". La seguridad de red ha evoluciona-do desde productos desplegados de forma indepen-diente (como los firewalls) al concepto de sistemaglobal de seguridad. Y Cisco Systems® está en la van-guardia del desarrollo tecnológico que ha hecho quela autodefensa de las redes sea una realidad.
Esta guía que tiene en sus manos describe las razo-nes de Cisco Self-Defending Network, sus fundamen-tos y los métodos que Cisco Systems ha adoptadopara ofrecer este conjunto de capacidades.
TC
N
C
AM
N
TC
N
TCN C A M N TCN
TCN C A M N TCN
TC
N C
AM
N
TC
NT
CN
CA
MN
T
CN
– 6 –
En su apuesta por optimizar el despliegue de aplicaciones yservicios sobre la infraestructura de red, Cisco Systems pro-pone una contundente filosofía denominada Red de Informa-ción Inteligente o Intelligent Information Network (IIN). Conella, la multinacional suma mayor inteligencia a la red, altiempo que logra la optimización de la interacción entre losdispositivos y aplicaciones conectados a la misma. Esta clari-dad de pensamiento también está articulada en la proposiciónSelf Defending Network, la estrategia de seguridad incluidaen IIN con la que el fabricante añade la protección necesariaa la red inteligente.
Cisco Systems es la compañía con la oferta más completa del mercado
de seguridad en red. Éstas son las razones para decidirse por su propuesta.
8razones para elegir Cisco
1 Inteligencia segura en la red
El modo en que Cisco Systems articula su propuesta de dotarde mayor inteligencia a la red es un criterio claramente diferen-ciador con respecto a otras compañías. Y es que, esta proposi-ción permite abordar las necesidades actuales a nivel de seguri-dad y posibilitar la protección ante ataques de toda índole pre-sentes y futuros. Asimismo, la ingeniería tecnológica de Cisco escapaz de garantizar que las soluciones adquiridas por el clienteen el pasado entren a formar parte de la nueva infraestructurade red que el fabricante propone.
2 Protección presente y futura
Cisco Systems es capaz de responder del suministro detoda la infraestructura de red y de la seguridad de la misma.Además, al estar todas las soluciones desarrolladas por el mis-mo fabricante y disponer de similares interfaces de comunica-ción y configuración, las labores de implementación, gestión,etc. son más sencillas. En un entorno como la seguridad dondelas labores son ya de por sí bastantes complejas, los clientesagradecen enormemente estas facilidades –que se han converti-do en uno de los requerimientos clave de todo tipo de usua-rios–. Además, esta apuesta por la sencillez también redundaen una importante disminución de los costes, tal y comoqueda reflejado en el siguiente punto.
3 Soluciones completas de un único proveedor
TCN C A M N TCN
TCN C A M N TCN
TC
N C
AM
N
TC
NT
CN
CA
MN
T
CN
TC
N C
AM
N
TC
N
Al recurrir a Cisco Systems como único proveedor, unacompañía sólo necesitará instruir a su responsable de red enla tecnología de este fabricante, lo que evita tener que invertiringentes recursos en la formación de profesionales. Además,trabajar con la propuesta de Cisco significa aprovecharse dela activación de todas las funcionalidades de las soluciones deeste fabricante. Por ejemplo, la que se refiere a la característi-ca que la compañía ha incorporado en sus conmutadores,Identity Based Networking, con la que consigue que estos dis-positivos se relacionen con un servidor de autenticación paraparticipar de las tareas de control de acceso a la red. Así, losswitches de Cisco aprovechan las benevolencias de 802.11x altiempo que aportan funcionalidades extra como la autentica-ción del usuario en el acceso a redes virtuales o VLANs.
Otro importante ahorro de costes se consigue al ser capaz deoptimizar las capacidades de protección de la propia red; y, porconsiguiente, minimizar los riesgos de sufrir ataques y tenerque afrontar costosos planes de recuperación ante desastres. Eneste sentido, se evita que la actividad corporativa se vea afecta-da, asegurando el funcionamiento de la compañía y evitandoque la misma tenga que enfrentarse a un periodo de inactivi-dad. Según un informe de Sage elaborado en 2003 y facilitadopor Cisco, aquellos clientes que se decidieron por un únicofabricante para desplegar una red segura redujeron en un 29%los gastos totales de su infraestructura. En comunicaciones IP,el estudio arrojaba un ahorro del orden del 47%.
4 Ahorro en inversión, operación y gestión de la seguridad
Cisco Systems es consciente de los beneficios que, para sutecnología y sus clientes, pueden derivarse de las relaciones conotros fabricantes. La naturaleza de los ataques es tan variadaque un solo fabricante no puede disponer de soluciones deseguridad que solventen todas las situaciones de ataques. Porello, la colaboración con terceras compañías se convierte en unaspecto clave para proporcionar una solución de seguridad glo-bal. En su propuesta NAC (Network Admission Control), Cis-co colabora con más de 60 empresas del sector, tales comoComputer Associates, F-Secure, IBM, McAfee, Trend Micro,Symantec, Infoexpress, Senforce, WholeSecurity, Panda, etc.
5 Capacidad de colaboracióncon terceros
Los ingenieros de Cisco de Systems participan en los gruposde trabajo de los principales comités de estandarización paraaportar su experiencia en la definición de nuevos protocolos yestándares. Con este movimiento el fabricante consigue que susdispositivos se adhieran al estándar con mayor rapidez y queéste aporte finalmente valor puesto que en su definición se tie-nen en cuenta los requerimientos del mercado. No obstante, enocasiones Cisco tiene que desarrollar su propuesta sobre unasolución propietaria, mientras espera a su estandarización.
6 Compromiso con los comités de estandarización
Cisco Systems presta especial atención a que sus soluciones deseguridad cumplan con las certificaciones internacionales deman-dadas en países donde comercializa su porfolio de productos. Lacertificación de los productos garantiza al cliente que lo publica-do por el fabricante en la documentación y descripción de fun-cionalidades de producto está realmente disponible ya que así seha comprobado en el proceso de certificación. Cisco es actual-mente el único proveedor de conmutadores y routers que dispo-ne de certificación de criterio común EAL-4 para la cualificaciónde su solución Ipsec en sus routers. La lista de certificaciones porproducto Cisco puede consultarse en: http://www.cisco.com/en/US/netsol/ns340/ns394/ns171/networ-king_solutions_audience_business_benefit0900aecd8009a16f.html
7 Productos certificados
Uno de los aspectos en los que Cisco Systems consigue apor-tar mayor valor añadido a su propuesta es en el entorno de laformación e incentivos a su red de distribución. Con respectoal primer aspecto la multinacional diseña cursos específicospara acercar a su canal todas las particularidades de sus solu-ciones. En cuanto a los incentivos, la compañía cuenta con unprograma que premia con un porcentaje de margen adicionallas ventas realizadas en tecnologías como seguridad y voz.
Asimismo, la firma destaca el importante margen con queopera el canal al trabajar con su catálogo.
8 Compañía por y para el canal
– 7 –
TCN C A M N TCN
TCN C A M N TCN
TC
N C
AM
N
TC
NT
CN
CA
MN
T
CN
TC
N
C
AM
N
TC
N
– 8 –
Bajo el paragüas de Intelligent Information Network (IIN o Red de Información Inteligente), Cisco Systems define
su particular visión de sumar a la red mayores niveles de inteligencia para optimizar la integración de aplica-
ciones y servicios sobre la misma. Para su implantación, IIN necesita una solución de seguridad capaz de
garantizar el funcionamiento optimizado del sistema completo; y eso es lo que aporta Self Defending Network
(SDN o Red Auto-Defensiva). Con esta estrategia de seguridad, el fabricante adereza este movimiento de inte-
ligencia en la red y abre las puertas a un futuro donde las infraestructuras asumen su propia protección. Self
Defending Network posibilita la introducción de funcionalidades de protección en todos los dispositivos de la
red, facilita la conexión a aquellos dispositivos (portátiles, PDAs, etc.) que dispongan de antivirus y parches
actualizados, y permite que la red se autodefienda y se adapte a ataques presentes y futuros.
LAS CLAVES DE SELFDEFENDING NETWORK
TRÍADA DE FASESSelf Defending Network está articula-
da en torno a tres fases, en las que, segúnse va escalando, se alcanza un nivel máscompleto de protección. La primera fase(Fase I, o de Seguridad Integrada) serefiere a la integración de las funcionali-
dades de seguridad en todos los produc-tos que desarrolla la compañía, lo queno implica que puedan comunicarse conotros dispositivos de la red. La solucióna esta cuestión llega una vez se alcanza lasegunda fase (Fase II o de SeguridadColaborativa), bautizada así porque
TC
N C
AM
N
TC
N
TCN C A M N TCN
TCN C A M N TCN
TC
N C
AM
N
TC
NT
CN
CA
MN
T
CN
– 9 –
supone el pistoletazo de salida a la pro-puesta de infraestructura NAC (Net-work Admission Control, o Arquitecturade Control de Admisión en la Red) delfabricante, por la cual se facilitan las pri-meras implementaciones de cómo los sis-temas de seguridad pueden interactuarentre sí. Los primeros en llegar a estaetapa de colaboración fueron los routersy concentradores VPN de la compañía,mientras que los switches y solucionesWiFi acaban de arribar, tras el recientelanzamiento de NAC II. Gracias a NAClos routers, concentradores VPN, con-mutadores y dispositivos WiFi, partici-pan en el proceso de admisión o denega-ción de un dispositivo desde el que elusuario quiere acceder a la red. Paraello, los dispositivos de red se comunicancon los servidores de autenticación, queopcionalmente pueden consultar a servi-dores de gestión de políticas de seguri-dad, al servidor de antivirus o al servidorde auditoría para comprobar la identi-dad y el nivel de protección del dispositi-vo. Como vemos, en este estadio, lassoluciones de red mencionadas presumen
de capacidades integradas de seguridad,y además, ahora, de colaboración.
Por último, la tercera fase (Fase III ode Seguridad Adaptativa) da un pasomás y con ella evoluciona el concepto decolaboración para conseguir un entornodonde la propuesta de seguridad se cul-mina con avanzadas facultades de auto-matización y de autodefensa. Se llama“Adaptativa” porque los dispositivos(los cortafuegos, por ejemplo) cuentancon la suficiente inteligencia como para“adaptarse” a una situación de ataquemediante el control y mitigación de losefectos del mismo. Las facultades deautomatización quedan así definidas,mientras que las de autodefensa se refie-ren a la capacidad de responder activa-mente ante las amenazas. En este escena-rio, la red es capaz de reaccionar cadavez con mayor rapidez ante ataques quecon el tiempo se han perfeccionado y sonmás veloces.
Esta tercera fase de la estrategia SelfDefending Network de Cisco acogerá laspróximas soluciones de seguridad que lacompañía introduzca en el mercado.
ESTRATEGIA CISCO SELF-DEFENDING NETWORKMejora de las comunicaciones IP sobre una red más segura
TC
N
C
AM
N
TC
N
TCN C A M N TCN
TCN C A M N TCN
TC
N C
AM
N
TC
NT
CN
CA
MN
T
CN
FASE I
SEGURIDAD INTEGRADA
Como veíamos en las páginasanteriores, la primera de estas tresfases en las que Cisco Systems arti-cula su propuesta Self DefendingNetwork (SDN, o Red Auto-Defen-siva) es la denominada Fase I o deSeguridad Integrada, que se refiere ala integración de las funcionalidadesde seguridad en todos los productosque desarrolla la compañía.
Obviamente, la introducción deunas u otras características de segu-ridad en cada una de estas solucio-nes dependerá de la función de lasmismas en la infraestructura de red.Así, un router podrá beneficiarse decapacidades de filtros de protección,cortafuegos, VPN, etc.; mientrasque éstas serían innecesarias paraun punto de acceso Wi-Fi, que sólorequiere de capacidades de seguri-dad aplicables a una red wireles.
SOLUCIONES INCLUIDASEn esta primera fase, el objetivo es
integrar la seguridad en cualquier pro-ducto o desarrollo sobre el que trabajeCisco; es decir, en todas y cada una delas soluciones de seguridad que diseñany desarrollan sus más de 1.500 ingenie-ros dedicados en exclusiva al área deseguridad. En ella se consiguen, a nivelde aplicaciones, el acceso seguromediante SSL (Secure Socket Layer), yse extienden las benevolencias de IPseca los routers creados en el seno de lacompañía.
De esta manera, en la primera fasese realiza la integración en los pro-ductos de las funcionalidades de segu-ridad IPsec VPN, SSL VPN, y concen-tradores VPN. Las soluciones VPN deCisco son aplicables tanto a la cone-xión entre redes como a la conexiónremota de usuarios. También se incor-
– 10 –
SEGURIDAD A POSTERIORIHace años los coches no incluían suficientes elementos de
seguridad para proteger la vida del conductor y los pasaje-
ros. Es decir, la seguridad no estaba integrada en su diseño
inicial. A día de hoy, eso es lo que ocurre con algunas com-
pañías que no integran la seguridad en sus soluciones, sino
que van resolviendo este problema a base de parches.
SEGURIDAD INTEGRADA Al igual que en la actualidad un automóvil incluye en su diseño inicial toda
una serie de elementos de protección creados para aumentar la seguri-
dad del conductor y de los pasajeros; la arquitectura de Cisco Systems,
Self Defending Network, contempla, ya en su primera fase, la incorpora-
ción de funcionalidades de seguridad para todos los productos que desa-
rrolla la compañía.
TCN C A M N TCN
TCN C A M N TCN
TC
N C
AM
N
TC
NT
CN
CA
MN
T
CN
TC
N C
AM
N
TC
N
pora comunicación LAN/WAN cifrada,y características de cortafuegos en rou-ters y conmutadores.
Este deseo de incrementar la protecciónen el perímetro de las redes está relaciona-do con la transformación natural que hanexperimentado las infraestructuras a lolargo de los últimos tiempos. El cambio enel planteamiento de cómo dotar de segu-ridad a las redes ha sobrevenido una vezque las corporaciones han tenido consoli-dados sus centros de datos, han hechoconverger sus redes internas y han abraza-do Internet. En la actualidad a una redempresarial pueden tener acceso clientes yproveedores gracias a la proliferación deextranets, entre otros motivos.
Dada esta situación, una red necesitadisponer de dispositivos internos con unnivel de seguridad integrada cada vezmás notable. Y cuatro son los apartadosdonde esa integración cobra mayor sig-nificado. El primero de ellos es el relati-vo a la identidad, en virtud del cual seconsiguen soluciones optimizadas en la
periferia. Las soluciones estándar degestión de identidades de usuarios enred basado en puerto de acceso (802.1x)están soportadas por los conmutadoresCisco que opcionalmente permiten laactivación de una versión mejorada dela gestión de identidades en red desarro-llada por Cisco que se denomina Iden-tity-Based Networking Services (IBNS).IBNS realiza la autenticación del usua-rio en base al puerto de acceso y ademáspermite la asignación dinámica deVLANs y filtros por usuario.
El segundo de los apartados en los quese produce la integración de seguridad secentra en la protección de la infraestruc-tura de red, mediante la definición de fil-tros, mecanismos de control del consumode ancho de banda, monitorización deta-llada con la activación de Netflow, etc.
El tercero es el referido a la conectivi-dad segura a través de la incorporacióndel cifrado de los datos; y el cuarto, yúltimo, se ocupa del acceso seguro a lasaplicaciones mediante la solución deSSL VPN que en Cisco se denominaWeb VPN.
– 11 –
TC
N
C
AM
N
TC
N
TCN C A M N TCN
TCN C A M N TCN
TC
N C
AM
N
TC
NT
CN
CA
MN
T
CN
FASE II
SEGURIDAD COLABORATIVA
El segundo estrato de Self DefendingNetwork es el que ha quedado bajo elrótulo de Fase II o Seguridad Colaborati-va. Y es en este espacio bajo el cual seengloba la propuesta de infraestructuraNAC (Network Admission Control, oArquitectura de Control de Admisión enla Red) del fabricante, donde se realizanlas primeras implementaciones para quelos sistemas de seguridad pueden interac-tuar entre sí.
Como manera de consolidar esta entre-ga NAC o de colaboración, Cisco Systemsha dado vida al programa del mismonombre, con el que comparte apuesta tec-nológica con los más de 60 fabricantesque participan en la iniciativa. Bajo ella,los integrantes diseñan y comercializanaplicaciones cliente/servidor, así comopropuestas de servicios que incorporanfuncionalidades compatibles con la infra-estructura NAC. Si desea más informa-ción sobre los partners NAC visite:
http://www.cisco.com/en/US/
partners/pr46/nac/partners.html
APORTACIONESLa segunda fase de la propuesta Self
Defending Network permite controlar el
acceso a la red de los distintos dispositi-vos, imposibilitando la entrada de aque-llos que no cumplen con los requisitosmínimos de protección exigidos por lapolítica de seguridad previamente defini-da por la compañía.
En este sentido, los componentes queintegran la red pueden realizar una laborconjunta de protección de la infraestruc-tura, permitiendo o restringiendo el acce-so de los usuarios en función de su identi-dad y del nivel de protección de su máqui-na: estado de actualización del sistemaoperativo (Service Packs en Windows),versión y estado de actualización del anti-virus, presencia de sofware cliente deseguridad, etc.
En este entorno es donde se despliegatoda la potencia de la solución NAC, en laque interactúan los dispositivos de red:routers, concentradores de VPN, conmu-tadores y dispositivos WiFi con los servi-dores de gestión de política de seguridad.En el instante en el que los dispositivos dered detectan el intento de acceso desde undispositivo cliente a la red, contactan conel servidor de autenticación que, a su vez,y de forma opcional, puede contactar con
– 12 –
TCN C A M N TCN
TCN C A M N TCN
TC
N C
AM
N
TC
NT
CN
CA
MN
T
CN
TC
N C
AM
N
TC
N
– 13 –
el servidor de antivirus, el servidor de ges-tión en políticas de seguridad y el servidorde auditoría. Así comprueban que el posi-ble nuevo inquilino cumple con la políticade seguridad definida. Recordemos queCisco dispone de un servidor de autenti-cación propio denominado Cisco SecurityAccess que soporta tanto RADIUS comoTACACS y es el utilizado dentro de lasolución NAC como servidor de autenti-cación. Asimismo, Cisco distribuye de for-ma gratuita el software cliente denomina-do Cisco Trust Agent que se instala en losordenadores en los que se quiere activar elcontrol de admisión.
Dentro de la fase 2 de NAC reciente-mente incorporada a la solución, existetambién la opción de activación del con-trol de acceso a ordenadores que no dis-ponen del software cliente Cisco TrustAgent. Esto se consigue mediante la cola-boración del servidor de autentificacióncon soluciones de auditoría que se basantípicamente en la utilización de escáneresque comprueban el estado del ordenadorantes de emitir un informe sobre su esta-do de salud.
Además, en la fase 2 se incrementa elcontrol de las condiciones de acceso a lared al mejorar la capacidad de ésta de res-
Gracias a la solución de NAC
appliance o Cisco Clean
Access, se permite la activa-
ción del control de admisión
en redes cuyos dispositivos
de red no incorporen aún la
solución de NAC o sean de
otras marcas.
Ofrecida en modo appliance,
esta alternativa propone una
respuesta similar a la descrita
anteriormente pero es aplica-
ble a redes heterogéneas y de
menor tamaño.
Los componentes de la solu-
ción NAC appliance (Clean
Access Server, Clean Access
Manager, cliente Clean Access
y servicios de subscripción)
permiten un despliegue senci-
llo y rápido de la solución de
control de acceso en redes
pequeñas o en partes de la
red que requieran una actua-
ción inmediata ya que son más
vulnerables ante posibles
infecciones propagadas por
los dispositivos que normal-
mente se conectan a ellas (por
ejemplo, segmentos de red
dedicados a dar conectividad
a dispositivos de terceras
compañías en su tránsito por
la red corporativa).
APPLIANCE NAC
ponder ante ataques. No sólo eso, sinoque, gracias a los acuerdos que Ciscomantiene con sus socios colaboradores enNAC, esta alternativa cuenta igualmentecon remozadas funcionalidades de auto-matización de las distintas funciones deseguridad. Por ejemplo, más allá de con-trolar si el dispositivo cuenta con los par-ches antivirus necesarios para acceder a lainfraestructura, se puede, gracias a la tec-nología de Tivoli, automatizar la descargade las actualizaciones. De este modo, elusuario no tendrá que saber dónde seencuentra el parche, para después proce-der a una descarga manual, puesto que lared asumirá todo el proceso.
En su segunda fase Cisco controla el acceso a lared de los distintos dispositivos, imposibilitandola entrada de aquellos que no cumplen con losrequisitos mínimos de protección exigidos por lapolítica de seguridad previamente definida por lacompañía. En la vida real lo podríamos compararcon lo que ocurre en los aeropuertos con la com-probación de la validez del pasaporte.
TC
N
C
AM
N
TC
N
TCN C A M N TCN
TCN C A M N TCN
TC
N C
AM
N
TC
NT
CN
CA
MN
T
CN
FASE III
SEGURIDAD ADAPTATIVA
La Fase III o de Seguridad Adapta-tiva hace evolucionar el concepto decolaboración para conseguir unentorno donde la propuesta de segu-ridad culmina con avanzadas facul-tades de proactividad, automatiza-ción y de autodefensa.
Una de las soluciones pertenecientesa esta fase que mejor ilustra la adap-tabilidad de la solución ante ataqueses la de mitigación de ataques DDos(Dinamic Denial of Service) que per-mite la detección, control y mitigaciónde los efectos de ataques de denega-ción de servicio en modo dinámico.La solución utiliza dos componentesbasados en módulos instalables en losconmutadores Catalyst 6500: móduloTraffic Anomaly Detector y móduloGuard. El primero funciona a modode sonda ya que monitoriza el tráficode red para crear patrones de tráficos
típicos en la red y es a partir de estainformación como logra detectaraumentos de tráfico anómalos en lared que normalmente proceden deatacantes cuyo objetivo es dejar fuerade servicio un servidor destino. Unavez detectado el posible ataque dedenegación de servicio, el tráfico esredirigido al módulo Guard que ana-liza y limpia todo el tráfico. El módu-lo Guard descarta el tráfico maliciosopara dejar pasar el tráfico legítimohacia el servidor destino de forma quela solución ataja completamente elataque, ya que sin necesidad de desac-tivar el servidor de destino se evitaque dicho servidor procese el tráficoproveniente de la fuente atacante.
EN LA RETAGUARDIAEn esta última entrega, donde se
consigue el nivel más elevado deseguridad, se logra que la red, defi-
– 14 –
TCN C A M N TCN
TCN C A M N TCN
TC
N C
AM
N
TC
NT
CN
CA
MN
T
CN
TC
N C
AM
N
TC
N
nitivamente, asuma su propia defen-sa. Y lo hace apoyándose en solu-ciones del tipo IDS, IPS, cortafue-gos... –tanto en versión appliance,como en su modalidad de placa ins-talable en el conmutador modularCatalyst 6500–, y en soluciones demitigación de ataques de denega-ción de servicio (DoS), etc.
En este estrato hemos de mencionarlas siguientes soluciones: la propuestade mitigación de ataques de denega-ción de servicio mediante la combina-ción de los módulos Cisco TrafficAnomaly Detector y Cisco Guard; lasolución Cisco Security Agent (CSA),que, instalada tanto en servidorescomo en estaciones de trabajo detectaintentos de modificación del sistemaoperativo (por ejemplo, intento demodificación de registros en Win-
dows) o la modificación de paráme-tros del sistema y lanza un mensaje dealarma para que el usuario evite lainstalación del tráfico malicioso; lapropuesta ASA (Adaptive SecurityAppliance), que integra en una solacaja las funciones de cortafuegos, ter-minación de VPN, e IDS-IPS; y lassoluciones antiX (antivirus, antispam,etc.), donde destacan los IDS/IPS y lapropuesta de Cisco Secure Desktop.Tampoco podemos olvidar las aplica-ciones de gestión de Cisco que permi-ten una gestión gráfica y sencilla desus diversas soluciones de seguridad:Security Device Managers, CiscoWorks VMS, Cisco Secure MARS oCS-MARS (Security Monitoring,Analysis and Response System), ySecurity Auditor son algunas de lasaplicaciones disponibles en el porfoliode aplicaciones de gestión de Cisco.
– 15 –
En su tercera fase Cisco lograque la red asuma su propia defen-
sa. De todos modos, la red, aligual que el cuerpo humano, siguefuncionando aún bajo los efectos
de un virus o una infección.
TC
N
C
AM
N
TC
N
TCN C A M N TCN
TC
N C
AM
N
TC
NT
CN
CA
MN
T
CN
– 16 –
Network Foundation Protection es laapuesta de Cisco para proteger la infraes-tructura de red de ataques directos, así comode fallos en configuraciones, o actos involun-tarios que pueden poner en riesgo la infraes-tructura de red. El objetivo de estas funcio-nalidades es proporcionar el funcionamientoo acceso a los dispositivos durante períodosde ataques en la red. Así pues, existen fun-cionalidades como AutoSecure, que permiteminimizar el impacto en errores de configu-ración, así como desactivar servicios no utili-zados que son potencialmente utilizablespara ataques. Control Plane Policing es elnombre de otra funcionalidad muy intere-sante que permite actuar sobre diferentes ele-mentos de la infraestructura para preservar elacceso a los dispositivos de red durante perí-odos de ataques. Otras funcionalidades, talescomo control de uso de CPU y memoria, ges-tión de los datos mediante mecanismos decalidad de servicio, control de acceso a la red,etc., permiten dotar al centro de datos de unainfraestructura de seguridad integrada entodos los dispositivos de red.
Existen otras tecnologías tales como Cis-co Express Forwarding (CEF), Quality ofService (QoS), Private VLAN, Netflow(Gestión del tráfico de red), CAR (Commi-ted Access Rate), etc., que colaboran muyestrechamente en preservar la infraestructu-ra de red de los potenciales ataques a quepuede ser sometida y que están disponiblesen la familia de conmutadores de Cisco.Adicionalmente, Cisco IOS Security es unconjunto de funcionalidades implementadasen plataformas de routers mediante el cualse puede securizar la red. Entre ellas está elIOS Firewall, que es una implementaciónsoftware de cortafuegos en un router.
ROUTERS DE SERVICIOS INTEGRADOSEn septiembre del año pasado, Cisco
presentó su revolucionaria apuesta por los
routers de servicios integrados (ISR, o Inte-grated Services Routers), compuesta enaquel momento por los modelos 1800,2800 y 3800 y que, posteriormente, enmayo de 2005, se completó con el anunciode la familia ISR 800. Se trata de la prime-ra propuesta de toda la industria con vir-tualización incluida que además incorpo-raba funcionalidades de voz y seguridad,facilitando el despliegue y desarrollo de losservicios de convergencia a una velocidadcontinua de banda ancha. Los ISR de Cis-co permiten la activación de forma opcio-nal de servicios de cortafuegos, VPN e IPSdentro de la propia plataforma.
GESTIÓN DE IDENTIDADES EN REDCon las soluciones de gestión de identi-
dades y relaciones de confianza de Cisco,esencialmente se proporciona autorizacióny control de acceso a la red, se obliga alcumplimiento de políticas definidas para elacceso a todos los recursos y se determinanlos privilegios de acceso a la red basadosen las políticas de acceso definidas. Estatecnología comprende a su vez: gestión deidentidades (AAA), servicios de red basa-dos en Identidades (IBNS: Identity BasedNetworking Services) que es una extensiónmejorada de la solución 802.1x, y Controlde Admisión a la Red (NAC: NetworkAdmision Control). Los beneficios de lagestión de acceso a la red son, entreotros, los siguientes: flexibilidad y movi-lidad de usuarios y dispositivos de acce-so; conectividad segura a todos los recur-sos de la red; gestión centralizada deacceso y reducción de costes de imple-mentación.
TAMBIÉN OFRECEN SEGURIDAD... ● VPNs punto a punto: ofrece conecti-
vidad segura para extender la red corpo-rativa a oficinas remotas, teletrabajado-res e intranets y extranets con Cisco rou-
ters, Cisco PIX Security, o Cisco Catalyst6500 Security Services Modules.
● VPNs de acceso remoto: permite alos usuarios conectarse desde internet ala red corporativa independientementedel sitio en el que se encuentre, a cual-quier hora, a través de Cisco VPN 3000Series Concentrators y Cisco VPN Cliento Cisco WebVPN. Otros productos Cis-co que nos proporcionan esta soluciónson también Cisco routers, Cisco ASA5500, PIX Security Appliances, yCatalyst 6500 Series Switches.
● Gestión y monitorización: a través deCiscoWorks VPN/Security Management(VMS), y gestores de dispositivos CiscoSecurity Device Manager (SDM), VPNDevice Manager (VDM), y PIX DeviceManager (PDM). Todas ellas permiten:controlar los costes e incrementar la fle-xibilidad, reducir tiempo de despliegue eincrementar el control con políticas cen-tralizadas, reducir el coste de propiedadutilizando la actual base instalada, dis-minuir los costes en infraestructura deconectividad, e incrementar la producti-vidad. Además, dicha propuesta ofreceuna solución robusta para VPN en IPSecy VPN SSL.
La solución en IPSec permite el accesoremoto a los usuarios que requieren deaplicaciones de datos, voz y vídeo de lared de la compañía desde diferentes loca-lizaciones. La solución Cisco EasyVPNproporciona este tipo de conectividadprivada mediante un entorno cliente/ser-vidor. Por último, Cisco WebVPN es lasolución de acceso remoto desde cual-quier dispositivo basado en SSL, con tansólo un navegador. Dicha herramientaproporciona tres niveles de acceso, sincliente, con plug-in (mapeo de puertos) ocon cliente SSL, dependiendo de las nece-sidades.
Acceso seguro a través de routers y conmutadores
TCN C A M N TCN
TCN C A M N TCN
TC
N C
AM
N
TC
NT
CN
CA
MN
T
CN
– 17 –
TC
N C
AM
N
TC
N
Para nadie es un secreto que una de lastrabas iniciales del desarrollo de la tecnolo-gía inalámbrica fue la falta de confianza enla seguridad de estas infraestructuras. Sinembargo, a día de hoy esta propuesta cuen-ta con todas las soluciones necesarias parallegar a ser tan fiable como la opción cable-ada. La seguridad en entornos WiFi es unacombinación de autentificación y cifradode la comunicación y en estos entornosnormalmente se habla de cifrado WEP(Wired Equivalence Privacy) y autentifica-ción EAP (Extended Authentication Proto-col). Cisco ofrece una seguridad mejoradaa través de la solución Cisco Wireless Secu-rity Suite proporcionando soporte comple-to WPA y WPA2 (Wi-Fi Protected Access).Las características principales de esta solu-ción son la autentificación mutua, la ges-tión dinámica de claves y el cifrado de losdatos a través de AES (Advance EncryptionStandard).
El objetivo es conservar la integridad delos datos, proteger la confidencialidad delos usuarios y dispositivos, y asegurar ladisponibilidad de la red y de las herramien-tas. Para mantener una infraestructura pro-tegida se puede recurrir a la seguridadWLAN. En función de ella, primero hayque aplicar los parámetros previstos para elsistema, monitorizar su funcionamiento,intentar mejorar nuestra propia proteccióny, después, aplicar las mejoras pertinentes anuestro sistema. En este sentido, la seguri-dad debe alcanzar a todos los componentesde esta red wireless: tarjeta de red, punto deacceso, puentes y antenas. Los beneficiosque nos proporciona esta solución sonconectividad segura para redes inalámbri-cas, gestión de identidades y defensa anteamenazas en redes wireless.
CISCO WIRELESS SECURITY SUITEEn este escenario, la solución Cisco Wire-
less Security Suite, para productos de laserie Cisco Aironet y dispositivos clienteCisco Compatible, se presenta como unasolución de seguridad WLAN empresarialbasada en estándares, que proporciona alos administradores de red la privacidad yconfidencialidad que sus datos necesitan.
Por otro lado, la propuesta Cisco Inte-grated Wireless Network, integrada en la
filosofía Cisco Self-Defending Network,redunda en la consecución de una opciónWLAN escalable, gestionable y segura,con uno de los costes totales de propiedadmás bajos. Se trata de una evolución de laalternativa Cisco Structured WirelessNetwork, disponible en el porfolio delfabricante desde 2003. Además, CiscoIntegrated Wireless Network incluye dossoluciones WLAN de clase empresarial:Cisco Distributed WLAN Solution y Cis-co Centralizad WLAN Solution. Tambiénreúne un conjunto de nuevas soluciones,basadas en la tecnología de la firmaadquirida recientemente por Cisco, Airs-pace. Aquí se cuentan los puntos de acce-so Cisco Aironet 1000 Series Lightweight,los controladores Wireless LAN de lasseries 2000, 4100 y 4400, la solución Cis-
co Wireless Control System (WCS) y elappliance Cisco Wireless Location.
EL VALOR DE LA INTEGRACIÓN En la actualidad, el incremento de implan-
taciones de WLAN es notable, tendencia queempieza a tener un alto impacto en las infra-estructuras LAN existentes. Así, cada vez seotorga mayor importancia a componentescomo firewalls; directorios de usuarios; servi-dores de autenticación, autorización y admi-nistración (AAA), directorios de usuarios,etc. Por todo ello es vital integrar la propues-ta wireless con la red cableada de la que sepuede aprovechar todo su potencial de segu-ridad. Lo contrario supondría un pobre usode los recursos corporativos, debido a la ine-ficiencia de un escenario empresarial basadoen redes paralelas.
WLANs protegidas
TCN C A M N TCNT
CN
CA
MN
T
CN
TC
N
C
AM
N
Una de las suposiciones más comunes enel ámbito de la VoIP tiene que ver con lahipotética insuficiencia de seguridad en estasinfraestructuras. Se piensa que una solución“híbrida” de telefonía tradicional y red dedatos IP es más segura que otra que empleela tecnología IP para el total de las comuni-caciones corporativas. Pero esta apreciaciónno es real, ya que las soluciones de comuni-cación basadas en IP son igual de seguras yfiables o más que las soluciones de transmi-sión de voz tradicionales.
En este sentido la seguridad de las comu-nicaciones de voz es también un factor dife-renciador de la solución de Cisco, ya que
todas las medidas de seguridad en la infraes-tructura de datos son aplicables a la trans-misión de la voz una vez que ambas redesconvergen. Adicionalmente en Cisco se aña-den aplicaciones de software de proteccióndel servidor sobre el que se ejecuta el proce-samiento de las llamadas (Call Manager), sepermite el cifrado de las conversaciones devoz, la autentificación de los terminales tele-fónicos e incluso la gestión del sistema pue-de realizarse en modo seguro.
TRES FOCOSPara lograr una infraestructura de comu-
nicación IP segura, Cisco tiene en cuenta lasecurización de la infraestructura de red, la
protección del equipamiento de telefonía IP,y los procesos de autenticación y encripta-ción de la telefonía IP.
En el primero de estos apartados, serequiere una combinación de tecnologías yactuaciones para salvaguardar la infraes-tructura para servicios de datos, voz y vídeo.Entre éstas, destaca la separación de la voz ylos datos en las redes virtuales o VLANs, laactivación de mecanismos de protección enlos conmutadores como la configuración demecanismos de control de QoS, el uso decortafuegos para las transmisiones de voz, lautilización de sistemas de prevención ydetección de intrusiones, la utilización desoluciones de conectividad segura, con tec-nologías como IP Security (IPSEc), SSL yVPN, la incorporación de medidas de segu-ridad a la conectividad sin cable, etc.
En lo que respecta a la protección del equi-pamiento de telefonía IP –donde se hallanlos teléfonos IP y el servidor de procesa-miento de llamadas Cisco Call Manager–,han de salvaguardarse el perímetro y loscanales de comunicación de la infraestructu-ra. Los pasos que han de tomarse en estesentido incluyen el fortalecimiento de losteléfonos IP mediante autentificación de losdispositivos que intervienen en la comunica-ción de voz y datos. Los teléfonos IP inclu-yen una clave que permite la autentificacióndel dispositivo y, de manera opcional, elcliente podrá crear sus propias claves deidentificación. En cuanto a la protección delservidor con Call Manager, que realiza laslabores de procesamiento de llamadas, Ciscoincluye su solución de detección de intrusosen host o Cisco Security Agent, que en com-binación con la solución de detección y pre-vención de ataques de denegación de servi-cios protege al servidor de los ataques mástípicos en los entornos de voz.
Adicionalmente, Cisco aporta solucionesque combaten el fraude en las comunicacio-nes de voz, posibilitando el bloqueo de lla-madas a líneas externas, internacionales, etc.
Comunicaciones de voz segura
– 18 –
TCN C A M N TCN
TCN C A M N TCN
TC
N C
AM
N
TC
NT
CN
CA
MN
T
CN
TCN C A M N TCN
TCN C A M N TCN
TC
N C
AM
N
TC
NT
CN
CA
MN
T
CN
– 20 –
TC
N
C
AM
N
TC
N
1. Trabajar de modo más efi-
ciente y con un grado de cola-
boración mayor
2. Ganar en productividad y
rentabilidad, ya sea en la ofici-
na, en casa o durante un viaje
3. Contar con una infraestructu-
ra que ayude a crear un equipo
y unos recursos de trabajo
interconectados
4. Disponer de un sistema dise-
ñado para proteger los activos
más importantes de la empresa
frente a amenazas internas y
externas
5. Administrar los requerimien-
tos corporativos de voz, datos y
vídeo
6. Herramientas que permitan
simplificar la administración
7. Mayor productividad de los
empleados
8. Mejor satisfacción del cliente
9. Menores costes operativos
Productosy serviciosparapymes
Para Cisco Systems, el términopyme engloba a corporaciones dehasta 250 puestos de trabajo. Dichoentorno integra, junto con el relati-vo a mid-market, el negocio que elfabricante ha bautizado como Cis-co Comercial. Recordemos que losotros dos ámbitos en los que la fir-ma americana estructura su negocioen nuestro país son AdministraciónPública y Enterprise (banca, segu-ros, industria...). El peso de Comer-cial en la facturación de CiscoEspaña al cierre de su año fiscal2005, concluido el pasado 31 dejulio, ascendió a un 40%, segúnFernando Rojo, director de canal deCisco Systems España.
Tras más de dos años de medir susfuerzas en la pyme, Cisco ha conver-tido este entorno en uno de sus focosde negocio más estratégicos. Tal ycomo apunta la propia corporación,las empresas, sea cual sea su tamaño,tienen necesidades básicas similares,aunque las necesidades tecnológicasno son las mismas. Por este motivo,Cisco ha desarrollado un porfolio desoluciones pyme diseñado para darrespuesta a las necesidades de dichasempresas. Esta alternativa ayuda aque las organizaciones obtengan elmáximo partido de sus redes, propor-cionando mejores capacidades en lasáreas de voz, seguridad, movilidad yun mayor retorno de la inversión.
NECESIDADES DE UNA PEQUEÑA YMEDIANA EMPRESA
➣
TC
N C
AM
N
TC
N
TCN C A M N TCN
TCN C A M N TCN
TC
N C
AM
N
TC
NT
CN
CA
MN
T
CN
– 21 –
TC
N
C
AM
N
TC
N
TCN C A M N TCN
TCN C A M N TCN
TC
N C
AM
N
TC
NT
CN
CA
MN
T
CN
– 22 –
SOLUCIONES A MEDIDAEn su esfuerzo de aunar recursos
enfocados al entorno pyme, Cisco pre-sentó a mediados de septiembre su pro-puesta Cisco Business Communica-tions Solutions, en la que contemplatres aspectos. En primer lugar, cincofamilias de soluciones específicas: rou-ters de servicios integrados; switchesCisco Catalyst Express 500; solucionesinalámbricas Aironet; productos espe-cíficos de seguridad –ya sean solucio-nes que integran una o varias funcio-nalidades de protección–; y solucionesde telefonía IP, como Call ManagerExpress. En segundo lugar, el fabrican-te proporciona servicios de soporte ymantenimiento agrupados bajo CiscoSMB Support Assistant. En último tér-mino, Cisco ofrece un servicio de finan-ciación que en España se ha materiali-zado en la iniciativa Easy Renting.
Como primera propuesta dentro delconjunto de Soluciones para pymes,Cisco Business Communications Solu-tions, la multinacional nos presenta laSolución de red sólida y segura de Cis-co o Secure Network Foundation,capaz de transmitir su mensaje al esce-nario de las pequeñas y medianasempresas. “Con ella pretendemosexplicar a todas las pymes españolas enqué consiste esta solución de negocioespecíficamente diseñada para ellas. Lapropuesta es el resultado de una inves-tigación de mercado que realizamoscon nuestros clientes actuales y poten-ciales, gracias a la cual conocimos quétipo de soluciones estaban demandan-do y observamos que los aspectos másvalorados eran la sencillez de utiliza-ción, la seguridad integrada, la fiabili-dad y su asequible precio. En este sen-tido, ideamos un completo porfolio desoluciones para crear una estructura IPsegura; y completamos la propuestacon servicios asociados de manteni-miento y soporte; y otros relativos afinanciación”, explica Xavier Massa,director comercial para pymes de Cis-co.
La Solución de Red Sólida y Segurade Cisco permite tener una infraestruc-tura de red sólida, fiable y segura, queayuda a simplificar las operaciones,reducir costes, protegerse contra las
crecientes amenazas de red y dedicarmenos tiempo a los problemas de man-tenimiento. Dicha solución ha sidodiseñada con protección integrada. Lascaracterísticas de seguridad se han dise-ñado para detener a los intrusos antesde que causen algún daño, eliminandolas interrupciones ocasionadas porgusanos, virus y hackers, de forma quetodo pueda funcionar correctamente.Así, las pymes pueden disponer en sured de características avanzadas, gra-cias a nuevos niveles de sencillez deuso. El nuevo switch Cisco® Catalyst®Express 500 y su interface gráfica deusuario hacen que la instalación yadministración sean sólo cuestión deseleccionar una opción y realizar unsimple click. Para conocer en detalle lasSoluciones Cisco para pymes, BusinessCommunications Solutions, puede visi-tar la siguiente dirección web:
www.cisco.es/basesolida.
PRODUCTOSDentro de su propuesta Cisco Busi-
ness Communications Solutions, lacompañía integra, tal y como veíamos,cinco grupos de productos. Con respec-to al primero de ellos, los routers de ser-vicios integrados (ISR, Integrated Servi-ces Routers), Massa argumenta que“con estos nuevos routers facilitamos elacceso a redes de banda ancha, y lohacemos de forma segura y eficaz. Ade-más, también logramos incorporaramplias funcionalidades de seguridaden los dispositivos”. Bajo estas doscaracterísticas que destaca el directivose presentaron en sociedad los primerosrouters de servicios integrados que lan-zó la compañía en septiembre del añopasado, los modelos 1800, 2800 y3800. Con el modelo 800, Cisco incor-poró capacidad inalámbrica, y, poste-riormente, soporte para telefonía IP.
Concretando las ventajas de estagran apuesta para las pymes, los rou-ters de servicios integrados de Ciscose presentan como un catalizadorque conecta diferentes redes y pro-porciona el soporte necesario para larápida transferencia de datos y vozde un lugar a otro. Estos dispositivos,diseñados para su interacción conuna infraestructura existente, puedenadministrarse de forma centralizada
EEaassyy RReennttiinngg es el nombre
con el que Cisco Systems ha
bautizado su última iniciativa
diseñada específicamente
para el mercado pyme. El
fabricante financia bajo esta
modalidad la adquisición de
sus soluciones en este ámbito
empresarial, facilitando a
estas corporaciones la obten-
ción de importantes incenti-
vos fiscales.
EEaassyy RReennttiinngg propone una
herramienta muy útil que faci-
lita a los distribuidores la soli-
citud de créditos, el cálculo
de cuotas y la petición de
autorizaciones para poder
ofrecer al cliente final la solu-
ción que mejor se adapte a
sus necesidades. Y ello con
una financiación individualiza-
da. Pocos días después, una
vez concluida la operación y
entregados los productos, el
partner recibe el total de la
cantidad, eliminando la ges-
tión de cobros y mejorando el
flujo de caja.
“Una de las ventajas más
importantes del programa
EEaassyy RReennttiinngg para el cliente
de Cisco Systems es que
todos los gastos que realice
son deducibles, con lo que se
reducirán a su vez los impues-
tos sobre beneficios que ten-
ga que abonar”, asegura Fer-
nando Rojo, director de canal
de Cisco Systems España.
“Además, al tratarse de pagos
flexibles, las empresas pue-
den adaptarse a su propio flu-
jo de trabajo de liquidez y dis-
frutar siempre de las últimas
novedades tecnológicas”.
Para más información sobre
el programa Easy renting visi-
te la siguiente dirección web:
www.cisco.es/easyrenting
EASY RENTING ➣
TCN C A M N TCN
TCN C A M N TCN
TC
N C
AM
N
TC
NT
CN
CA
MN
T
CN
TC
N C
AM
N
TC
N
– 23 –
Propuesta para pymes que
incluye:
■ Soluciones específicas paraeste entorno:- routers de servicios
integrados
- switches Catalyst
Express 500
- soluciones inalámbricas
Aironet
- productos específicos
de seguridad (firewall,
IDS-IPS…)
- soluciones de telefonía IP
como Call Manager Express
■ Servicios de soporte y mantenimiento(Cisco SMB Support Assistant)
■ Servicios de financiación (Easy Renting)
Secure Network Foundation, o Solución de red sólida ysegura de Cisco:- propuesta que Cisco presenta
como solución de infraestructu-
ra de red segura, para construir
una base sólida, sencilla y segu-
ra para las pymes
Cisco Business CommunitacionsSolutions
y proporcionan transferencia simultá-nea de datos, voz y vídeo; al tiempoque ofrecen un método flexible y efi-ciente de optimizar las capacidades dela red corporativa.
Por otro lado, la gama de switchesCisco Catalyst Express 500, que llegóal mercado a mediados del mes deseptiembre, asiste a la organización enla obtención de un mayor controlsobre la forma en la que las personasse comunican e intercambian infor-mación. Además, mediante inteligen-cia integrada, estas propuestas puedenimplementar aplicaciones y dispositi-vos con facilidad, ya sea a través deuna PDA, un teléfono IP o un PC. Sinolvidar que con una solución Catalystresulta sencillo implementar nuevosservicios en el futuro, como comuni-caciones IP y dispositivos inalámbri-cos. “Nuestra oferta Catalyst Express500 destaca por su simplicidad, y porsus notables funcionalidades de segu-ridad”, matiza Massa.
También capaces de optimizar lasparticularidades de las pymes son lassoluciones inalámbricas Aironet, y losproductos específicos de seguridad dela firma. Con respecto a estos últimos,destacan propuestas específicas conuna única funcionalidad, como losfirewalls PIX o las soluciones IDS-IPS;y alternativas que combinan diferen-tes aspectos de seguridad, como losproductos ASA, que aúnan funciona-
lidades firewall, VPN e IPS-IDS, y quese adaptan mejor a las necesidades delas empresas medianas.
Finalmente, hay que resaltar la apor-tación de Call Manager Express, “ver-sión de software que se instala en losrouters de servicios integrados paraconvertirlos en una centralita IP conterminales de teléfonos inalámbricos yde sobremesa con una única infraes-tructura de red IP”, sostiene el directorcomercial para pymes de Cisco.
CISCO SMB SUPPORT ASSISTANTPara ayudar a una pyme a obtener
todo el potencial de su red, resultaconveniente contar con un ingenierode Cisco que pueda mantenerla en unestado óptimo de funcionamiento.Cisco SMB Support Assistant ofreceesta clase de servicio a través de herra-mientas on line y soporte técnico.Además, el distribuidor local de Ciscopuede ofrecer servicios adicionales ysoporte posventa.
“Dentro de nuestra propuesta deservicios de soporte y mantenimien-to, incluimos herramientas de sopor-te on site, proponemos la sustituciónde hardware en un día y concedemosla posibilidad de solicitar un equipoalternativo para ese periodo. Asimis-mo, aportamos servicios de repara-ción en el software del equipo, yacceso gratuito a actualizaciones desoftware y corrección de errores”,espeta Massa.
TC
N
C
AM
N
TC
N
TCN C A M N TCN
TCN C A M N TCN
TC
N C
AM
N
TC
NT
CN
CA
MN
T
CN
– 24 –
El canal de seguridad
TCN C A M N TCN
TCN C A M N TCN
TC
N C
AM
N
TC
NT
CN
CA
MN
T
CN
TC
N C
AM
N
TC
N
– 25 –
Llegados a este punto, tenemos quededicar espacio a la piedra angular deCisco Systems para la comercializaciónde su propuesta en el entorno de la segu-ridad: su canal. Sin él, la compañía fra-casaría en su intento de proporcionar alos clientes una infraestuctura de redsegura. Pero, si el canal es una piezabásica en el modelo de Cisco, qué haceque la propuesta de esta compañía seatan atractiva para sus partners. “ParaCisco, la seguridad es innata a la red, asíque en cada proyecto para construir unainfraestructura de red, la seguridad tieneque estar incluida”, explica MiquelFeliu, responsable de desarrollo de nego-cio de canal de Cisco Systems. “Demodo que, si un partner de Cisco estáimplantando una solución de red y noestá incluyendo la seguridad en ella, estáperdiendo una oportunidad de negocioy, además, no está ofreciendo el asesora-miento adecuado a su cliente”.
Las oportunidades que para un part-ner se derivan de la venta de solucionesde seguridad Cisco son múltiples, pues,al tiempo que cubre una necesidad realdel cliente, desarrolla un negocio por elque puede diferenciarse frente a su com-petencia, aumenta sus ventas y obtienemayores márgenes.
SINÓNIMO DE GARANTÍAPara ofrecer al mercado su propuesta
de seguridad con las mayores garantías,el fabricante cuenta con dos especializa-ciones en dicha tecnología: VPN/Securityy Security VPN/Firewall Express. Ambasproveen a los partners de formación enuna tecnología específica que cubre pre-ventas, desarrollo básico y soporte post-venta, con la diferencia de que la prime-ra está dirigida a aquellos partners queatienden grandes cuentas y la segunda aaquellos otros que se ocupan del merca-do de la pequeña y mediana empresa.Con ambas los partners obtienen unconocimiento a fondo de unos productosdeterminados y de sus aplicaciones, y sefocalizan en la obtención de las habilida-des necesarias para implementar y man-tener esa solución. Cuando un partner
obtiene una de las especializaciones men-cionadas logra ser percibido en el merca-do como un experto en dicha tecnología.No sólo eso, sino que la especializaciónle otorga el conocimiento necesario parala integración con aplicaciones de soft-ware complementarias a la tecnologíaelegida. Por su parte, el cliente sabe queun partner especializado en tecnologíaCisco es sinónimo de garantía.
El programa de especialización parapartners de Cisco se actualiza constante-mente, ya que la compañía se preocupade revisar los requisitos necesarios parasu obtención, dependiendo de las condi-ciones del mercado en cada momento.
BENEFICIOS PARA EL PARTNERPara obtener la especialización
VPN/Security, el partner deberá contarcon un responsable comercial, un técnicopreventa y otro postventa, que hayanaprobado los examentes necesarios. Paralograr VPN/Firewall Security Express, elpartner tiene que disponer de un respon-sable comercial y un ingeniero de siste-mas que también han de superar unaspruebas adaptadas al conocimiento nece-sario para el tamaño de empresas quedeberán atender.
Una vez que el partner cuente conuna de ellas, los beneficios que obten-drá son múltiples. Para empezar, sediferenciará de sus competidores; ensegundo lugar habrá migrado hacia unnegocio de valor añadido con márgenesmás altos; como tercer beneficio apare-cerá en el “localizador de partners” deCisco; por último, contará con el apo-yo de la fuerza de ventas de la firma,que recomienda preferentemente part-ners especializados. Sumados a todosestos beneficios, la posesión de unaespecialización concede al partner pun-tos para su certificación como Gold,Silver o Premier, así como acceso allaboratorio virtual y a equipos pararealizar demos ante sus clientes.
Para motivar a los partners en la ven-ta de soluciones de seguridad, Ciscocuenta con hasta tres programas que sonlos que detallamos a continuación:
LOS ESPECIALISTAS
VPN Security:· Unitronics Comunicaciones
· Telefónica Soluciones de
Informática y Comunicaciones
de España
· Getronics
· BT España
· Telindus
· Fujitsu ICL
· Dimension Data
· SATEC SA/CONVEX
· T-Systems ITC
· HP
· Soluziona
· NextiraOne
· Eurocomercial Informática y
Comunicaciones
· Scorpion Networking
Solutions
· Amper Medidata
· Avanzit Tecnología
· Telecomunicaciones
Digitals
· Nexica
· Pronet Programación y
Networking
· IBM
· Davinci Consulting
Security VPN/FirewallExpress · Alhambra System
· Infogroup Sistemas
TCN C A M N TCN
TCN C A M N TCN
TC
N C
AM
N
TC
NT
CN
CA
MN
T
CN
– 26 –
LOS EVENTOS
Con el objetivo de seguir ahon-
dando en la formación de sus
partners, Cisco cuenta con hasta
tres eventos dedicados al entor-
no de la seguridad. “Challenge &Reward es una reunión que
organizamos trimestralmente
tanto para los partners que parti-
cipan en Challenge & Reward
Seguridad como para los que lo
hacen en Challenge & Reward
Voz”, especifica Miquel Feliu.
Con él se pretende que dichas
empresas dispongan de las últi-
mas herramientas técnicas y
comerciales, así como de la infor-
mación sobre las novedades de
productos. Para ello, la compañía
organiza demostraciones, pre-
sentaciones, etc.
El segundo evento en torno a
dicha área recibe el nombre de
Senator Club, y fue concebido
para los partners especializados
de Cisco, con el fin de avanzarles
las últimas novedades y tenden-
cias en el entorno de seguridad.
El tercero y último de los esce-
narios es Cisco InnovationTour, que, con una periodicidad
anual, se desarrolla en distintos
países de EMEA. “En el caso de
España, a la última edición cele-
brada en junio asistieron un total
de 500 participantes, entre clien-
tes y partners, que pudieron
acudir a las ponencias sobre
seguridad y visitar a los exposi-
tores”, en palabras de Miquel
Feliu, que anticipa que el tercer
Cisco Innovation Tour se cele-
brará en el primer trimestre de
2006, y que, como novedad,
contemplará también las com-
petencias de Wireless y
Telefonía IP.
CHALLENGE & REWARD SEGURIDAD
Es el programa principal en esta áreay fue diseñado para el desarrollo tantocomercial como técnico de los partnersen el área de seguridad. Para lograrlo,Cisco les ofrece un plan de formación,acceso a laboratorio y a herramientascomerciales para la venta. Otras venta-jas para los partners que forman partedel programa son: la obtención de unincentivo en forma de descuento y laayuda directa de un channel accountmanager de Cisco.
“Para formar parte de este progra-ma el requerimiento principal es con-seguir la especialización en VPN/Secu-rity Express en 6 meses”, explicaMiquel Feliu.
En la comunicación a los partners dela información relativa a Challenge &Reward, así como en el reclutamientode los mismos, Cisco cuenta con la cola-boración de sus mayoristas: Comstor,Diasa, Ingram Micro y Tech Data.
OIP (OPPORTUNITY INCENTIVE PROGRAM)
El programa OIP ofrece incentivoseconómicos a aquellos partners queidentifican, desarrollan y cierran unanueva oportunidad de negocio. Sinembargo, como explica Miquel Feliu,“dicha oportunidad tiene que encon-trarse en el área que Cisco denomina‘Commercial’, organizaciones de hasta2.500 puestos de trabajo”. Eso sí, unavez identificada, el partner tiene queregistrar dicha oportunidad en la webdel programa. El incentivo económicoconsiste en un 6% de descuento, “queel partner decide si repercutir o no en laoperación con su cliente, y que se man-tiene para los siguientes proyectos quese ese partner realice en ese cliente”.
VIP6 (VALUE INCENTIVEPROGRAM)
Este programa incentiva en formade rebate las ventas realizadas por unpartner en seguridad. En concreto,consiste en que el reseller vendedurante seis meses y, si consigue unacifra de más de 100.000 dólares enproductos de seguridad, recibe unrebate de entre un 7 a un 14% a pos-teriori de estas ventas.
Cisco también ha desarrollado dichoprograma para las especializaciones deIP Communications, e IP Communica-tions Express.
TCN C A M N TCN
TCN C A M N TCN
TC
N C
AM
N
TC
NT
CN
CA
MN
T
CN
Challenge and Reward Seguridad
Desarrollo comercial y técnico en seguridad para los partners
OIP (Opportunity Incentive Program)
Incentivos para los partners que identifican y cierran una operación
VIP6 (Value Incentive Program)
Bonificación de entre un 7 y un 14% por las ventas logradas
EVENTOS
Challenge and Reward
Evento trimestral para ofrecer herramientas técnicas y comerciales
Senator Club
Dirigido a los partners de consultoría para avanzarles novedades
Cisco Innovation Tour
Encuentro anual con ponencias y área de exposición para
clientes y partners
ESPECIALIZACIONES
VPN Security
Especialización para partners que atienden proyectos de seguri-
dad en la gran cuenta
Security VPN/Firewall Express
Especialización para partners que atienden proyectos de seguri-
dad en la pyme
cien
por
cie
n se
guri
dad
– 27 –
Para más información contacte con su Cisco Account Channel Manager
DIRECTORA
REDACTORA JEFE
JEFE DE SECCIÓN
REDACCIÓN
DISEÑO
FOTOGRAFÍA
WEBMASTER
COLABORADORES
PUBLICIDAD
INTERNACIONAL
COMERCIALES
SECRETARIA
PUBLICIDAD
MADRID
SECRETARIA
PUBLICIDAD
BARCELONA
DISTRIBUCIÓN
Y SUSCRIPCIONES
EDITORA
GERENTE
ADMINISTRACIÓN
OFICINA EN MADRID
DISTRIBUYE
OFICINA EN MADRID
IMPRESIÓN
Gemma Sahagún
Silvia Torres
Manuel Hernando
Mónica Marugán
Paula Szerman
Eva Herrero
Sebastián Romero Márquez
Eduard Couchez
Manuel Navarro
Carmen Ruiz
Esther García
Albert Albalat
Mar Morato
Orense, 11. 28020 Madrid
Teléfono: 91 417 05 13. Fax: 91 417 05 18
Montse Jiménez
Paseo San Gervasio, 16-20
08022 Barcelona
Teléfono: 93 254 12 50. Fax: 93 254 12 61
Fernando García
Elena Delgado
Susana Cadena
Jordi Fuertes
Paseo San Gervasio, 16-20.
08022 Barcelona
Tel.: 93 254 12 50. Fax: 93 254 12 60
c/ Orense 11, bajos. 28020 Madrid
Tel.: 91 417 04 83. Fax: 91 417 04 84
COEDIS S.L.
Av. Barcelona,225
08750 Molins de Rei. Barcelona
c/ Alcorcón, 9. Pol. Ind Las Fronteras
28850 Torrejón de Ardoz. Madrid
Printone
Nº 280 9 - 15 de noviembre de 2005
Depósito legal: B-23190-99
“TCN” puede contener artículos licenciados por CMP Media Inc., dichos artículos han sidotraducidos e impresos con el permiso de “Computer Reseller News”.
Copyright © 2002 CMP Media LLC Todos los derechos están reservados
www.mcediciones.net/tcn
Difusión controlada por
PROGRAMAS
TCN C A M N TCN
TCN C A M N TCN
TC
N C
AM
N
TC
NT
CN
CA
MN
T
CN
