Las organizaciones se enfrentan a una cantidad cada vez mayor de amenazas a la seguridad que pueden afectar a sus entornos, que ponen en peligro el cumplimiento de políticas y normativas y que representan, en definitiva, un serio peligro para toda la empresa. Los directores y administradores de TI necesitan contar con las herramientas y con la información necesarias para permitirles valorar su seguridad y desarrollar un plan coherente y bien pensado para responder a las amenazas permanentes. El creciente problema asociado con el aumento del código malicioso, los virus y el spam obliga a las empresas a disponer de soluciones de seguridad adecuadas que ya se perfilan como indispensables para la mayoría de las compañías, que dependen en buena parte de sus sistemas de información.
Por otra parte, incluso las organizaciones más disciplinadas no cuentan con todas las personas, procesos, tecnologías y tiempo necesarios para gestionar un programa de respuesta ante incidentes proactivo y con capacidad para satisfacer el cumplimiento de políticas y normativas.
En este sentido, los servicios gestionados de seguridad han surgido en los últimos años como una alternativa para dar respuesta a la situación de complejidad tecnológica en la que estamos inmersos.
María Ramírez, ingeniero Preventa de Seguridad de Dimension Data, explica como «en esta década, factores como la convergencia, la movilidad y los protocolos wireless, las amenazas internas y la constante evolución de los ataques, hacen que las redes corporativas virtuales necesiten una profunda revisión del enfoque tradicional de monitorización y gestión de la seguridad».
Por estas razones, existe una tendencia creciente de los servicios de seguridad gestionada, confirmada por los datos de los analistas. Así, Gartner estima que el gasto en servicios de seguridad de TI ascenderá a 24.600 millones de dólares en 2009, e IDC prevé que el segmento de la seguridad gestionada será el que experimente un crecimiento más rápido en el mercado global de servicios de seguridad.
Estudios sobre servicios de seguridad gestionada en Europa, realizado por fabricantes y entidades de seguridad europeos, revelan que el 86 por ciento de los directores de TI españoles consultados no externalizan su infraestructura global de TI, pese a que el 68 por ciento manifiesta la importancia de contar con un plan de seguridad como parte de una estrategia de externalización y mejor aprovechamiento de los recursos.
«La encuesta señala María Ramírez-, realizada a más de 500 directores de TI de España, Italia, Reino Unido y Francia, señala que el 68 por ciento de los participantes españoles reconoce la importancia de disponer de un programa completo de seguridad que incluya gestión y monitorización continua e inteligencia de seguridad en tiempo real como parte de su estrategia. España se posiciona cerca de Francia (71 por ciento) e Italia (70 por ciento) en la percepción acerca de las amenazas de seguridad, pero los remedios no se toman de manera eficaz. Nuestro país está por detrás de otros en el despliegue de estos servicios».
Los participantes españoles consideran que los firewalls gestionados son lo más importante en su organización, seguido por la detección gestionada de intrusiones, servicios gestionados de protección contra vulnerabilidades, alerta ante vulnerabilidades, VPN gestionada, servicios de análisis forense y de respuesta ante incidentes, y los servicios de protección del negocio. Otro punto del estudio recoge que el 96 por ciento de los responsables de TI españoles piensa que las nuevas normas regulatorias tendrán algún tipo de impacto en su estrategia global de TI.
El mercado español es uno de los más prometedores en cuanto a utilización de servicios de seguridad gestionada, alejándose en gran medida de los países de su entorno. Se trata de un modelo alternativo a la seguridad tradicional que está avanzando considerablemente entre las empresas de nuestro país. Según The Managed IT Services Market Outlook, España tiene un crecimiento superior al 25 por ciento en cuanto a este tipo de servicios, mientras que Italia y Reino Unido se sitúan en torno a un 20 por ciento.
Juan Miguel Velasco Lopez-Urda, director asociado de Servicios de Seguridad de Telefónica, remarca a este respecto que «dada la proliferación de multitud de dispositivos de seguridad en las empresas (antivirus, antispam, firewall, IDS, IPS, filtrado de contenidos…), se está haciendo más necesario gestionar todos esos dispositivos, pero principalmente en las grandes cuentas. En dichos clientes, actualmente entre el 50 y 60 por ciento utilizan servicios de seguridad gestionados por terceros (no sólo Telefónica)». Según una encuesta elaborada a grandes clientes durante los encuentros de Seguridad de Telefónica de 2006 en Sintra (Portugal), el 53 por ciento de estos clientes estarían dispuestos a externalizar toda o parte de su seguridad.
Estos resultados se reafirman con otro estudio de Forrester a grandes empresas en Europa en 2006, en el cual se percibe que el 43 por ciento de los clientes también eran susceptibles de dicha externalización.
La concienciación de las compañías a este respecto se va incrementando paulatinamente, aunque España está aún lejos de la inversión necesaria sobre todo en el caso de las pymes- para no poner en riesgo los negocios.
El outsourcing de seguridad es un servicio relativamente joven pero que ha experimentado una fuerte y progresiva demanda por parte del mercado. En sus comienzos, el concepto de seguridad gestionada debió vencer la oposición de ciertos sectores, escépticos ante la posibilidad de que sistemas tan críticos para una empresa como los de la seguridad lógica estuvieran a salvo en manos de terceros. Juan Carlos Crespo Zaragoza, director del Centro Experto Sistemas C4I Telecomunicaciones y Seguridad de Informática El Corte Inglés, explica como tradicionalmente se ha pasado «de un escenario en el que era impensable dicha delegación hasta el actual en que se asume sin que suponga un hecho traumático para la compañía. El argumento de la eficiencia y el mejor foco del capital humano de la empresa en su misión de negocio, delegando aspectos necesarios pero molestos en su gestión, es aplastante y no suele requerir mayor argumentación».
Poco a poco, este tipo de razonamientos sostenidos tanto por los fabricantes e integradores como por la propia evolución de los sistemas de TI- fueron calando en la dirección de las empresas. José Ramón Riera, presidente del Grupo Ágora Solutions, sostiene que «la razón más poderosa para contratar seguridad gestionada es dejar esta área crítica en manos de expertos, con lo que la empresa cliente gana en calidad, mantendrá al día sus sistemas y aplicaciones y podrá optimizar sus recursos. Acompañamos a las empresas en su evolución; pueden empezar contratando determinados servicios y más tarde ir ampliándolos cuando sus necesidades cambien». En este sentido, Xabier Mitxelena, director general de S21sec, comenta que en el proceso de externalización «muchas empresas empiezan por facilitar la gestión de los elementos más complicados para ellas, los IDS, que tienden a generar un alto volumen de logs y falsos positivos». Según afirma Mitxelena, cuando se dan cuenta de que la experiencia es óptima, los mismos clientes contratan más soluciones y no se necesita convencerlos; primero quieren un servicio que cubra la gestión de vulnerabilidades, luego la monitorización y, finalmente, la gestión de firewalls.
Sixto Heredia, director de Expansión de Panda Software Spain, comenta como desde su compañía se utilizan varios argumentos a la hora de explicar los esfuerzos invertidos en asegurar la confidencialidad e integridad de los datos de sus clientes, para así vencer la resistencia a contratar los servicios de seguridad gestionada. Uno de ellos se refiere a la metodología y códigos de buenas prácticas que hoy en día siguen de forma rigurosa los fabricantes e integradores cualificados. «Gracias al cumplimiento de la norma ISO 17799 (futura ISO 27002) aseguramos el más alto nivel de seguridad tanto en la información como en el espacio físico». La norma ISO 17799 es un código de buenas prácticas para la gestión de la seguridad de la información. Da recomendaciones sobre cómo gestionar la seguridad a través de 12 secciones, cada una de las cuales tiene una serie de objetivos, que se alcanzan implantando ciertos controles. Algunos de los aspectos que tiene en cuenta son: comunicaciones y operaciones, análisis de riesgos, RRHH, conformidad legal, control de accesos, etc.
«Por otra parte subraya Sixto Heredia-, es posible firmar acuerdos de confidencialidad con los clientes. Este procedimiento parece dar la tranquilidad necesaria para que muchas compañías decidan confiar en la seguridad gestionada y en la empresa que la ofrece».
La simplicidad en la gestión y el ahorro de costes son otros dos valores a tener en cuenta. Rodolfo Lomascolo, socio director general de ipsCA, pone de relieve como el outsourcing de seguridad proporciona una gestión centralizada y única, de manera que una acción en un sentido repercute en el resto de funciones de seguridad. «De esta forma puntualiza el directivo-, se evitan las incompatibilidades y el tener que contar con un amplio presupuesto destinado a la seguridad y su mantenimiento, al simplificarse en gran medida el proceso».
También en referencia al coste, como señala Eusebio Nieva, director técnico de Check Point, es importante el hecho de poder establecer un monto dedicado a seguridad dentro de unos márgenes conocidos y predecibles.
Las tendencias en el mercado de la seguridad apuntan en distintas direcciones ya sean las compañías clientes grandes cuentas o pequeñas y medianas empresas. Mientras que las primeras tienden a la búsqueda de proyectos específicos adaptados a su negocio y con un alto nivel de personalización, las segundas buscan un «todo en uno» dotado de las características de simplicidad y transparencia.
Pese a estas diferencias, ambos perfiles pueden beneficiarse de los servicios de seguridad gestionada. Las empresas pequeñas desean disponer de los servicios básicos con garantías (web, email, acceso a internet, pago online), y disponer de informáticos que atiendan las necesidades de seguridad es compleja y costosa. «Las pymes, son los más susceptibles de decepcionar positivamente la seguridad como servicio, es una tendencia muy implantada por toda Europa desde los operadores», afirma Juan Miguel Velasco, de Telefónica, quien añade que «en las empresas grandes es distinto, las necesidades son más complejas y requieren atención y proyectos personalizados, no sirve el café para todos, no hay dos clientes iguales, aunque lo parezca, hay que adaptar los servicios y darles SU solución». Su exigencia es el cuadro de mando de seguridad y poder alinear su gasto en Seguridad IT con sus objetivos de negocio y afianzar su ROSI (Return on Security Investment), explica el directivo.
Por su parte, Raúl Izquierdo, responsable de Desarrollo de Negocio de Alhambra-Eidos, aconseja a las pequeñas y medianas empresas que «afronten proyectos modestos pero muy enfocados a los aspectos de seguridad que más necesiten, y que vayan incrementándolos poco a poco. La seguridad gestionada implica un amplio campo de opciones, y siempre se puede ir a escalado de soluciones, priorización, etc».
Uno de los aspectos fundamentales en el outsourcing de la seguridad es la flexibilidad. De esta forma, es el servicio, y no la empresa, el que se adapta a las necesidades concretas, con lo que no existe un perfil predeterminado para decantarse por esta opción. «Existen desde pequeñas oficinas que precisan la gestión de los accesos a Internet, antispam y antispyware hasta empresas con múltiples delegaciones interconectadas por VPN con servicios centralizados», describe Javier Ascunce, director del departamento técnico de Grupo NCL.
Otro aspecto importante radica en que la gestión de la seguridad requiere de personal específicamente cualificado de forma que las empresas pequeñas no suelen poder permitirse un perfil dedicado. En este caso, según Javier Jurado, ingeniero de Desarrollo de Servicios de Telindus, el servicio demandado encaja más con un modelo de gestión remota por parte de personal especializado en un proveedor externo. En el caso de la empresa grande, prosigue Jurado, la arquitectura final suele ser más mixta: el servicio gestionado de forma remota asume una carga sustancial de trabajo, por tanto una reducción de costes, del departamento de seguridad TI correspondiente, que en cualquier caso puede de forma progresiva tender hacia una externalización completa.
Joseph Micolau, Customer Solution Architect de CA, incide en esta distinción de necesidades en función del tamaño de la empresa, y afirma que «en la pequeña y mediana empresa se aprecia todavía una falta de consideración de la seguridad como parte integral del negocio, y de la necesidad de disponer de una política de seguridad que permita una gestión adecuada del riesgo. La necesidad de externalización en estas empresas está basada en la falta de recursos propios y la necesidad de un servicio de gestión de la seguridad con personal especializado y con una disponibilidad del servicio 24×7.» La motivación de outsourcing para la gran empresa está más ligada a razones económicas y organizativas, según Micolau, quien considera que «habitualmente para estas empresas la externalización del servicio de seguridad está relacionada con políticas reducción de costes. Asimismo, otro aspecto a considerar es la posible transferencia del riesgo mediante estrictos contratos de nivel de servicio que deben recibir».
Por otro lado, destaca Jorge Puerta, experto en Seguridad de Audema, los beneficios en los grandes proyectos aumentan ya que aunque las empresas se aprovechen de las economías de escala, las arquitecturas son prácticamente las mismas y únicamente aumentando la envergadura del core, la capacidad de gestión crecerá a nivel logarítmico.
Cada compañía proveedora o integradora de soluciones de seguridad pone el foco en los servicios gestionados que más demandan los clientes. Poco a poco, la cartera de tareas de prevención y eliminación de amenazas que se externalizan va incrementándose paulatinamente. Desde Grupo NCL, por ejemplo, se desarrollan tareas de mantenimiento preventivo y reactivo de los sistemas de seguridad, auditorías programadas del correcto funcionamiento y propuestas de mejora de los sistemas ya instalados. Estas actividades representan un tercio de los servicios que factura la compañía, cuyo objetivo es crecer un 10 por ciento este año. Un caso similar es el representado por Informática el Corte Inglés. «Dentro del portfolio de soluciones y servicios que ofrece Informática el Corte Inglés al mercado español sólo una parte de su negocio va dirigida en la línea de la gestión, si bien esta tendencia va en aumento y el volumen de negocio se ve incrementado en la actualidad. Se prevé que esta tendencia siga al alza. Algunos de los servicios de seguridad gestionada que destacan son el correo seguro, UTM, análisis y gestión de redes seguras, etc.», augura Juan Carlos Crespo Zaragoza, de Informática el Corte Inglés. En cuanto a los servicios que mejor funcionan, Zaragoza ha observado que, desde el punto de vista del negocio, aquellos basados en paquetes definidos y sencillos tienen una mayor aceptación de cara al usuario final y también ventajas claras respecto a la operación y la gestión; «estos proyectos implican el establecimiento de procesos acotados que nos permiten asumir un mayor control de los clientes y por ende de los proyectos».
En esta misma línea se mueven las conclusiones de Raúl Izquierdo, de AlhambraEidos, que señala como cada vez se demandan soluciones más globales y transparentes. Además, Izquierdo advierte que hay una mayor conciencia hacia la seguridad entre las empresas, aunque sea diferente según su tipo. Mientras que en las grandes corporaciones son conscientes de que un antivirus no es suficiente y ponen en marcha otra serie de medidas, como pueden ser las auditorías de seguridad, backups, firewalls, VPNs, filtros antispam, planes de recuperación ante desastres, etcétera; en el caso de las pequeñas por lo general- se suelen limitar a la instalación de un antivirus y copias de seguridad. «Ésta es la tendencia globalidad y transparencia- que, desde nuestro punto de vista, marcará el desarrollo de este mercado a corto y medio plazo. Asimismo, la seguridad de las redes va cobrando poco a poco una mayor importancia en las empresas, con la entrada de nuevos dispositivos y tecnologías» apunta el técnico. Para la empresa S21sec, la gestión de dispositivos es también un entorno en constante evolución. Otro servicio muy demandado, en palabras de Xavier Mitxelena, es «el servicio de gestión de IDS/IPS, que está en constante crecimiento debido a la dedicación en recursos que el cliente ha de emplear para su correcto funcionamiento y posterior obtención de resultados sobre la organización.
Los servicios de seguridad gestionados ofrecen, in situ o en remoto, la gestión con monitorización, protección, escalabilidad y respuesta en tiempo real. Habitualmente este tipo de servicios son realizados de forma remota y sobre la base del sistema 24×7. Entre ellos se encuentran servicios de cortafuegos, VPN, detección de intrusión, antivirus, gestión de servidor público, o filtrado de contenidos y páginas web. María Ramírez de Dimension Data destaca que, según diversos estudios de mercado, «los servicios que mejor funcionan» son firewalls, VPN y antivirus gestionados.
Juan Miguel Velasco Lopez-Urda, director asociado Servicios de Seguridad de Telefónica, amplía el arco de servicios más demandados y los identifica con aquellos más maduros, es decir, » los que llevan casi cuatro años, como el antiphishing, el tráfico seguro Internet, el correo limpio o la certificación digital (certs. SSL) y firma digital». Asimismo Velasco asegura que los servicios de seguridad gestionada integral están creciendo a ritmos muy importantes dado el aumento de madurez del mercado.
Por su parte, Rodolfo Lomascolo, de ipsCA, da su visión con respecto a las tendencias que marcarán la certificación e identidad digital un área mucho más avanzada en España que en países como Estados Unidos por temas legislativos- y el papel de los servicios. A este respecto el directivo destaca que «se reforzarán los sistemas de autentificación fuerte, se extenderán las herramientas de identidad digital y se optará más por servicios que por productos».
Siguiendo con las tendencias más relevantes, en el apartado de la seguridad perimetral es fundamental la unión de todos los datos procedentes de los ataques a miles de usuarios en todo el mundo. Así, «el objetivo de Panda Software para el corto y medio plazo es seguir explotando el nuevo enfoque de Inteligencia Colectiva, una forma de abordar la seguridad informática utilizando la información sobre elementos sospechosos que se recoge de la comunidad formada por usuarios, empresas y entidades colaboradoras».
Y es que la experiencia acumulada por las empresas de seguridad y sus partners a lo largo de los años es un activo que promete un fuerte crecimiento de la seguridad gestionada en los próximos años.
Además la seguridad gestionada es un método eficaz porque actúa lejos de la red de los clientes y emplea plataformas redundantes y sistemas de detección con la última tecnología, además de contar con personal cualificado que permite tomar las acciones más oportunas; por otro lado no requiere de inversión en sistemas específicos, de forma que se reducen los requerimientos de inversión en comunicaciones y existe un coste predecible para las empresas, por lo que esta nueva iniciativa de seguridad, basada en un «outsourcing» de servicios, se convierte en una alternativa muy eficaz y rentable para las empresas.
