El datacenter ha evolucionado tanto que se ha convertido en un escaparate, una herramienta de preventa, con la seguridad como protagonista de los mismos. Algunos son auténticas obras de arte, pensadas para demostrar el potencial que tienen, afirman los asistentes a la mesa de trabajo sobre seguridad en el centro de datos que la revista Director TIC organizó en las instalaciones de TAI Editorial. Tanto es así que los clientes más profesionales incluso acuden a los mismos para cerrar los proyectos y verlos “in situ”.
El año pasado el centro de datos se convirtió en protagonista por el ”boom” que vivió con la apertura de un gran número de ellos, siendo uno de los pocos sectores dentro del mercado de TI que ha tenido un crecimiento estable y continuado. Este año todo apunta a que siga la línea de crecimiento y ante esta tendencia, la seguridad empieza a tener un gran protagonismo en el mismo.
Para Acacio Martín, director general de Fortinet, este protagonismo tiene que darse porque los data center están creciendo mucho y el tráfico también. “La seguridad siempre ha existido, asociada a los mismos”, dice, por lo que considera una labor por parte de las empresas dedicadas a esta materia ser invisibles desde el punto de vista del rendimiento. Por lo tanto, opina que los fabricantes de seguridad tienen que evolucionar para ser lo más discretos posibles, a medida que van incrementándose, creciendo ellos al mismo tiempo. Aunque también considera importante su evolución desde el punto de vista de la inteligencia, ya que los ataques son cada vez más sofisticados y ellos tienen que enfrentarse a esto con la misma sofisticación.
Agustín López, product manager DC Professional Iberia&latam DCD Group, avala el crecimiento de los data centers, con datos de un censo que realiza su compañía. “Al igual que con el dinero, hemos pasado de tener los datos en casa a llevarlos a un data center porque no podemos perderlos, ante el gran perjuicio que significaría para nuestro negocio”, explica. “Además las empresas ya empiezan a ganar confianza con respecto a la privacidad, al ver que sus datos están seguros. Pero lo fundamental es que estén disponibles”, añade, al tiempo que recuerda que el factor humano es fundamental y en este sentido opina que el personal no está lo suficientemente formado, “no hay una profesionalización. Hay demanda pero la madurez que se exige no es suficiente, por lo que apostamos por la formación para que haya menos caídas y de menor gravedad”, señala. En este sentido coincide con José Manual Armada, director de ingeniería de clientes de Interoute Iberia, quien dice que el concepto está cambiando gracias al cloud computing, ya que el cliente antes no se planteaba la flexibilidad que permite contratar servicios en momentos de picos de demanda. “Esto solo ocurre cuando hay grandes centros de datos con gran escalabilidad, algo que se traduce también en la seguridad, que puede ser la misma o mayor que la que tiene un centro de datos de un cliente. La diferencia estriba en que quien tiene centros de datos con muchos clientes, dispone de un departamento de seguridad que trabaja constantemente en la misma, sin embargo un experto en seguridad de un cliente no tiene los mismos recursos”, explica, por lo que considera que ”la evolución del mercado se desarrolla en este sentido. Y donde no seamos buenos, tendremos que apoyarnos en quien sabe más, que pueden ser los fabricantes de dispositivos y de servicios. Al final los integras en tu oferta porque no puedes ser al mejor en todo pero puedes saber quién lo es y contratarle. Ahí está la diferencia”.
Aunque para Francisco Gala, director comercial de la zona centro de Adam, en el tema de la disponibilidad hay que dejar claro que lo que se garantiza a los clientes es una mayor disponibilidad, no el 100% de la misma porque los centros de datos dependen de muchos factores como el humano, el hardware… José Manuel Armada apunta a la posibilidad de distribuir la información en varios puntos para que si hay un fallo que no afecte o hacer que reaccione la red automáticamente. “Lo importante es que la red se recupere sola y la seguridad también, teniendo en cuenta el factor humano porque los atacantes son humanos”, especifica.
Volviendo al tema de la seguridad, Bosco Espinosa de los Monteros, key presales manager de Kaspersky, destaca que si se cuenta con personal especializado, la inversión en seguridad es mucho más potente. Los centros de datos tienen que estar preparados en este sentido, dice, porque si no tienen un problema. Recuerda que al cliente le da igual lo que hay por detrás. “Lo que quiere es que sus datos estén disponibles, seguros y que si tiene un problema, el proveedor de servicios del centro de datos lo solucione. Estamos ante una importante medida de seguridad que nos viene muy bien a todos: a ellos para poder dar unos servicios y a los fabricantes de seguridad porque sabemos que tenemos profesionales detrás.
Mario García, director general para Iberia de Check Point, es más radical en el sentido de que todos los servicios que no estén pensados para que sean seguros no deberían ni existir. Al tiempo que recuerda que alguien que piense en un servicio y no haya tenido en cuenta la seguridad a la hora de montar el mismo, no lo habrá hecho bien. “El especialista en esta materia tiene que estar desde el primer momento..”
Otro detalle importante es la respuesta que das al cliente cuando tiene un problema, añade Armada, ahí es cuando el cliente valora la relación con un proveedor. Por otro lado considera que a los clientes profesionales les importa dónde tienen sus datos por los temas legales. Recuerda que la UE tiene una legislación homogénea que hace más fácil hacer negocios que en países de otros continentes, aunque cada vez tienen más usuarios que indican dónde quieren que estén los mismos.
¿La información debería estar encriptada?
El encriptado depende del dato, del entorno y del sitio y el precio en la seguridad, comenta Acacio Martín. “Cuantas más cosas protejas será más complicado atacar y retardar el acceso a la información para que el equipo humano pueda reaccionar”.
Y es que el modelo tradicional de la seguridad va por capas, recuerda Agustín López. El nivel de capas te asegura que lo vas retardando y detectando. Se tiende a retener la información importante de primera mano porque la responsabilidad es muy alta, aunque reconoce que otros servicios que son del día a día no son tan sensibles. Y recuerda que hay un freno importante de inversión en el cloud por el freno legal de las garantías. “Hay una parte muy importante de dinero que está esperando a que esas garantías sean tangibles y estén en el contrato”, dice.
Y todo ello sin olvidar que en cuanto a seguridad se refiere, va a depender mucho de lo que se contrate. “La paleta en la que puedes apoyarte en un proveedor es muy variada y cuanto más vas dejando en manos de otros más garantías”.
EL problema, para Mario García, es quién accede a cada dato. Para ello lo mejor es que nadie pueda llegar hasta ellos. Tú tienes que controlar quién accede a qué, cuándo y cómo. “Los dueños del data center tendrán que poner las medidas suficientes de seguridad para que nadie que no sea ese cliente pueda entrar y el propio cliente, hasta cierto punto, tendrá que poner sus propias medidas de seguridad para que no roben sus datos”, advierte.
Aunque Francisco Gala explica que en el acceso a la información, cuando un cliente contrata a un centro de datos, dentro del contrato marco de servicios hay una claúsula que dice que los trabajadores no pueden acceder nunca. “El dueño de la empresa será el que dictamine el dinero que quiere invertir en seguridad. El centro de datos se responsabiliza de la infraestructura y a partir de ahí hay una gama de servicios en la que se puede asesorar al cliente”.
Y es que, según Agustín López, el problema de seguridad en un centro de datos es un tema cultural. Hay muchos casos de retirada de equipos que se reutilizan, al igual que los discos duros o máquinas de hosting de otros clientes, por lo que el nuevo cliente está viendo datos del anterior que no han sido borrados. “El problema es que la propia fiebre de instalar máquinas, la rapidez hace que muchos temas se lleven al descuido, incluso teniendo medios”.
La solución, para Armada, está en que el esfuerzo que debe dedicar quien está interesado en la información sea mayor que la recompensa, el problema es que la recompensa es cada vez mayor, piensa. En tecnología hay que estar al día de todo, el problema es que los ciberdelincuentes también lo están. Esto es una carrera en la que se necesitan profesionales muy buenos, con una gran recompensa. Con ciberdelincuentes muy profesionales, dice Espinosa de los Monteros, que hacen un ROI, con un entorno muy hetereogeneo porque también se subcontratan servicios. No en vano, dependiendo de las plataformas, hay listas de precios, apunta García. “Hay un mercado muy profesionalizado de cada una de las fases del ataque. Y estamos detectando que cuando existe un ataque novedoso, personalizado a una empresa, se propaga en muchos sitios”.
Prevención
¿Y la prevención ante estos ataques? ¿Por qué se deja que los nos roban la información vayan un paso por delante?
Para Mario García en el mundo de la tecnología no van por delante. La cuestión es cuánto está dispuesto a invertir un cliente a la hora de poner medidas de seguridad porque la zona gris que subcontratan es donde está el mayor riesgo de las empresas, advierte. Al tiempo que alude a las herramientas existentes para detectar que quieren quedarse con tus contraseñas, que te están haciendo un ataque social o que te están robando la información.
Agustín López alude a un problema existente: el judicial, ya que hay que presentar pruebas de que te han robado y dar con un juez que tenga un mínimo de cultura sobre este tema. Aunque, la especialización ya está llegando de la mano de determinados abogados, según Francisco Gala, enfocados a las TIC. Sin embargo advierte que hay que avanzar más en la digitalización, la huella, la firma electrónica…
¿Cómo tapar los agujeros?
Se da por supuesto que los ataques están ahí y esto es algo que está siendo aceptado. Java es uno de los agujeros por donde suelen entrar y esto se puede tapar, afirman los asistentes al evento.
El problema es que muchos clientes no saben ni que han sido atacados, confirman. Y aquí es donde se empiezan a dirimir responsabilidades. El gran juego está en la capa 7 de la aplicación, explican. Todos los clientes quieren firewall pero hay que explicarles que hay que ir al siguiente paso, a la capa de desarrollo, incluso ver cuál es el flujo de datos y de metadatos. Aseguran que hay que hacer la seguridad inherente, aunque reconocen que en muchas ocasiones el mercado no percibe la seguridad como un valor añadido y ante la rapidez con la que vive el mercado, hay que sacar constantemente nuevas funcionalidades. El resultado suelen ser, en muchas ocasiones, pruebas básicas, con producto que pueden no estar garantizados. Y todo ello sin olvidar que el usuario no suele utilizar el software más conveniente o plataformas mal programadas en las que no se ha comprobado su robustez.
Sin embargo, todos ellos confirman que hay herramientas para analizar todo: las vulnerabilidades de Java, de escaneo de vulnerabilidad, de parcheo, firewall de capa 7… Se pueden poner sistemas de seguridad con los que la información esté a salvo, accediendo de forma completamente segura a los datos. “No puedes llevarte los datos y cuando acabes la conexión se borra todo”.
¿Cuál es la sensibilidad actual en las empresas hacia las medidas de seguridad?
Aunque para Armada, todo depende del sector al que te dediques, Martín confirma que los fabricantes, a la hora de proporcionar herramientas, llegan a la capa 7, que es clave, porque los fabricantes tienen que ofrecer herramientas más sofisticadas. “A medida que los ataques se empiezan a sofisticar, se reducen porque resulta más caro, por lo que los ciberdelincuentes, en ese momento, se plantean un ataque de fuerza bruta”, argumenta. “Los ataques se pueden parar y la operadora tiene un papel importante en este sentido. Hay que poner herramientas concretas dentro de la propia empresa o en el datacenter y medidas de antidenegación de servicio distribuido para las aplicaciones más sensibles”. Aunque no se debe olvidar que los operadores también ponen sus herramientas en el punto de origen, recuerda Gala
En 2013 se perdieron más datos críticos que nunca. ¿Cómo puede ser esto?
Porque cada vez hay más datos críticos, explica Agustín López. Y es que cada vez hay más dispositivos, dice Bosco Espinosa de los Monteros. “Todas las empresas pensamos más en la disponibilidad, el acceso de donde sea y como sea a los datos… y eso al final también crea agujeros de seguridad. Antes solo podía acceder a los datos el director general y ahora cualquier comercial tiene acceso a los mismos. Al final hay muchos puntos débiles y el más importante es el usuario. Los grandes ataques pueden venir por un simple pen drive. Y nosotros tenemos una gran responsabilidad en este sentido en cuanto a concienciación”, afirma.
Otro gran peligro va a venir de la mano de “el Internet de las cosas”, advierte Mario García, porque das toda tu información. Y es que, como Agustín López indica: cada vez habrá más información crítica y más cazadores a la búsqueda de la recompensa.
¿Vamos hacia un centro de datos virtual?
Para Francisco Gala, cuando se habla de que los centros de datos serán virtuales, él lo confirma pero añade que un centro de datos virtual será algo físico. “Lo que antes eran diez ahora son dos y a esos hay que dotarles de todos los mecanismos de seguridad que antes se le daba a 15”. <por lo tanto centros de datos virtuales sí pero siempre apoyados en una infraestructura física.
Y es que, tal y como José Manuel Armada reconoce: “el centro virtual es un servicio que adquiere el cliente que antes tenía un punto de red propio y ahora lo tiene virtualizado, pero está soportado sobre uno físico o sobre muchos, siendo esta una de las grandes ventajas. Es la externalización, virtualización y partición de los recursos para que lo utilice el cliente”.
¿Hacia dónde va a evolucionar el centro de datos y cómo va a ser la seguridad en los mismos?
Para José Armada va a evolucionar hacia los centros de datos distribuidos, con edificios muy seguros y la mejor tecnología. Y es que, en su opinión, el centro de datos no va a ser un edificio en sí sino el servicio que ofrece y que no tiene porqué ser el edificio que esté al lado sino que pueden ser varios que funcionen como uno solo, asegurando la disponibilidad de la información a los clientes. Algo con lo que está de acuerdo Francisco Gala, tiene que se distribuído para que cumpla un servicio global, ante todo aunque añadiría la eficiencia. Tienen que ser más optimizables a nivel de consumo energético.
Hay que tener en cuenta también a los que venderán los centros de datos virtuales, comenta Mario García, al igual que ocurre con los operadores virtuales móviles.
Agustín López apunta, además, que según un censo que hicieron en 2013 se ven dos mercados: uno más maduro que comprende Norteamérica , EEUU, Canadá, Europa y la parte de Asia, cuyo consumo energético en centros de datos el año pasado ascendió a un 7,2 %, frente al 19% el año anterior. Ha bajado el consumo, aunque las instalaciones han crecido. Ha habido cierta contención en Asia por un freno de la inversión. En Europa, por su parte, se ha venido pidiendo hacer lo mismo por menos dinero. Esto se ve en los cursos profesionales, muchos de ellos de eficiencia energética. Y la calidad de la energía es algo que preocupa cada vez más, sobre todo a los operadores de los centros de datos. La calidad de la misma es cada vez menor.
En cuanto al crecimiento, cada vez hay más dispositivos, por lo que la evolución de datacenter pasa también por un crecimiento, se verá una mayor profesionalización de servicios, centralizada en los nuevos centros de datos que se están abriendo a nivel de seguridad, disponibilidad, a nivel del personal que maneja las instalaciones… centro soportado de un datacenter cada vez más difuso porque el cliente final lo va a tener como una comodity,.. Además, ahora hay una evolución hacia la memoria sólida como sistema de almacenamiento más eficiente y económico.
A lo que Mario García añade el factor de la seguridad, que tiene que estar imbuida en cualquiera de los servicios que se están proveyendo, al tiempo que la misma se va a vender cada vez más como un servicio manejado por especialistas porque faltan técnicos de datacenters y técnicos que realmente controlen la seguridad. En este sentido Francisco Gala apostilla que las empresas ya empiezan a hacer outsourcing de personal y ese personal técnico está manejando infraestructuras que no tienen nada que ver con los centros de datos, por lo que hay que formarles.
Todo ello adaptándose los proveedores de seguridad al modelo de negocio. Los proveedores de seguridad tenemos que ser capaces de dar respuesta a la hora de aumentar la capacidad.
