Tag Archives: FISMA
Office 365: Cuando la seguridad de la nube es un problema terrenal
Por: Federico Tokman, Softline Latam Cloud Technologies Lead
Buenos Aires, 24 de diciembre del 2013.— En artículos anteriores mencioné las capacidades de Office 365 como solución de productividad y cuáles son los beneficios para los clientes de ir a la nube. Hoy me toca hablar de seguridad, tema que preocupa a cada cliente cuando decide o empieza a evaluar un proyecto de tecnología basada en nube.
Una realidad
La capacidad de las organizaciones de controlar y personalizar las funciones de seguridad de los servicios basados en la nube, tales como correo electrónico, calendarios, gestión de contenidos, colaboración y comunicaciones unificadas, se está convirtiendo en un requisito imprescindible hoy en día.
Las áreas de TI se encuentran con el desafío de dar acceso a la información desde dispositivos no provistos por la compañía, algo que se conoce como BYOD (Bring Your Own Device), lo que representa un problema si no se cuenta con una solución que permita hacer una buena gestión de esos dispositivos, que al final del día pueden ser un peligro inminente para el manejo de información confidencial.
Esta más que claro que la movilidad hace a la productividad del empleado al fin del día y es por eso que las organizaciones requieren un servicio de nube que tenga características de seguridad robusta incorporadas y una amplia variedad de funciones personalizables que permitan satisfacer necesidades individuales.
Office 365: La seguridad
La seguridad de Office 365 consta de tres partes fundamentales:
- Es un servicio que tiene funciones de seguridad incorporadas al servicio por defecto. Estas funciones permiten identificar proactivamente y mitigar las amenazas de seguridad antes de que se convierten en riesgos para los clientes.
- Ofrece controles de seguridad que permiten a los clientes personalizar su configuración de seguridad, esto aplica a clientes de todos los tamaños a través de prácticamente todas las industrias, incluyendo industrias altamente reguladas tales como salud, finanzas, educación y gobierno.
- Cuenta con procesos de seguridad escalables que permiten la verificación independiente y cumplimiento de estándares de la industria.
Seguridad Integrada
Los datos en Office 365 se almacenan en datacenters ubicados estratégicamente alrededor del mundo. Estos centros de datos se construyen especialmente para para proteger datos y servicios ante daños por desastres naturales o acceso no autorizado. Están replicados en varias partes del mundo para garantizar la redundancia y la alta disponibilidad de la información alojada en ellos.
El acceso al centro de datos está restringido para que sólo el personal autorizado tenga acceso a servicios y aplicaciones del cliente. El acceso físico utiliza múltiples procesos de autenticación y seguridad, incluyendo insignias y tarjetas inteligentes, escáneres biométricos, agentes de seguridad local, video vigilancia continua y autenticación de dos factores.
Los centros de datos son monitoreados mediante sensores de movimiento, video vigilancia y alarmas de seguridad de incumplimiento.
Una de las razones por las cuales Office 365 es escalable y de bajo costo es que es un servicio de multi-tenant (es decir, datos de diversos clientes los mismos recursos de hardware). Es un servicio que está diseñado para manejar información de múltiples clientes en una forma altamente segura mediante aislamiento de datos.
El almacenamiento y procesamiento de los datos está regulado por las capacidades y la estructura de Active Directory, lo que permite proteger los datos de un cliente para que no puedan ser accedidos ni comprometidos por otra persona. Por un costo adicional, está disponible una versión de Office 365 que almacena datos en hardware dedicado.
Las redes dentro de los centros de datos de Office 365 están segmentadas para proporcionar la separación física de servidores críticos y dispositivos de almacenamiento de las interfaces públicas. La seguridad perimetral permite la capacidad de detectar intrusiones y signos de vulnerabilidad.
Las conexiones de cliente de Office 365 utilizan SSL para asegurar el tráfico de datos desde y hacia Outlook, Outlook Web App, Exchange ActiveSync, POP3 e IMAP. Estas conexiones se encriptan con seguridad del tipo TLS y SSL. Los clientes pueden configurar TLS entre Office 365 y servidores externos para el correo electrónico tanto entrante como saliente. Esta característica está habilitada de forma predeterminada. Todos los contenidos enviados mediante el correo electrónico están cifrado en disco utilizando encriptación AES de 256 bits. Office 365 también transporta y almacena mensajes del tipo S/MIME.
Mencionamos la cuestión de las normas y Office 365 se ajusta perfectamente a aquellos clientes que están siendo auditados o tienen que cumplir con ciertas normativas internacionales. Alineado con esta cuestión Office 365 está basado en los estándares definidos por la ISO 27001 y opera bajo FISMA.
Por último y no menos importante ciertos planes de Office 365 incluyen DLP (Data Lost Prevention) lo que permite a los clientes a partir de reglas evitar la pérdida o fuga de información.
Conclusión
Las empresas de hoy necesitan servicios de productividad que ayudan a los usuarios a hacer más cosas desde prácticamente cualquier lugar, sin descuidar la seguridad frente a las amenazas en constante evolución.
Office 365 es compatible con ambas necesidades a la vez con una plataforma de productividad basada en la nube de alta seguridad. Desde un centro de confianza incluido en la consola web de administración del servicio se pueden gestionar la seguridad, la privacidad, el cumplimiento, la transparencia y la continuidad del servicio. Hoy en día, cada vez son menos las organizaciones que tienen la capacidad de mantener el nivel de seguridad requerido a un costo razonable.
Attachmate lanza Luminet 4.4, solución para control del fraude empresarial
Luminet se integra con NetIQ® Sentinel™ 7 para mejorar la operación SIEM y proporcionar mejor visibilidad en la actividad de Oracle Forms. Luminet es una herramienta de análisis que revela los patrones de actividad del usuario, tendencias y sus complejas
relaciones a través de las diversas aplicaciones empresariales.
Lima, 21 de septiembre, 2012.— Attachmate Corporation anunció el lanzamiento de Attachmate® Luminet® 4.4, solución líder en control del fraude empresarial que ayuda a combatir el abuso y a los empleados fraudulentos. Las mejoras incorporadas auxilian a las organizaciones con sus necesidades de visibilidad de datos, ampliando el panorama en la actividad del usuario a través de los sistemas principales y múltiples canales de datos dentro de la compañía.
Estas nuevas capacidades y los cortos ciclos de implementación de Luminet permiten obtener visibilidad y beneficios en cuestión de semanas. Otras mejoras y capacidades clave en la versión 4.4 de Luminet incluyen:
- Integración de los datos de actividad del usuario dentro de mecanismos SIEM tales como NetIQ® SentinelTM 7: Luminet 4.4 proporciona la información que hace falta en los sistemas actuales basados en registros (logs). Esta integración ofrece una mejor investigación del fraude, ayudando a las compañías a detener el abuso de información importante, obtener y mantener el cumplimiento con las regulaciones de la industria, y crear con más facilidad auditorías detalladas sobre la actividad del usuario en sus datos.
- Visibilidad dentro de aplicaciones existentes de Oracle Forms: Luminet 4.4 le permite a los clientes empresariales ver lo que los usuarios están haciendo en sus existentes aplicaciones Oracle Forms 10 y Oracle Forms 6.5. Esta nueva visibilidad otorga beneficios adicionales de sus existentes aplicaciones Oracle Forms, sin migrar o modificar código.
- Monitoreo continuo: Luminet 4.4 captura en tiempo real y vigila muy de cerca la actividad del usuario en todas las aplicaciones empresariales —empezando por el mainframe y llegando a la Web. Luminet también graba la actividad del usuario en tiempo real—pantalla por pantalla, tecla por tecla—creando un registro de auditoría directamente desde la red. Este registro de auditoría incluye las acciones de actualización y de solo lectura tanto de usuarios normales como privilegiados. Este recurso rico en información, puede servir para el descubrimiento de fraudes y ayuda a las organizaciones a manejar su cumplimiento con diversas regulaciones incluyendo HIPAA, PCI DSS, el Acta Sarbanes-Oxley, FISMA, Basilea II y directivas de confidencialidad.
- Detección de amenazas, auditorías y análisis forense: La implementación oportuna de Luminet 4.4 ayuda a organizaciones de todo el mundo a detectar amenazas con rapidez antes de que ocurran graves consecuencias. Su poderoso mecanismo de análisis puede determinar con precisión las acciones sospechosas—en base a reglas de negocios y ponderación de calificaciones que los clientes empresariales han definido—y generar alertas en tiempo real relacionadas a los patrones de actividad dudosa. Toda la actividad de análisis es registrada, lo cual significa que las empresas pueden recabar evidencia forense clara y procesable para apoyar auditorías o acciones legales semanas o meses después de ocurridos los hechos.
“El control del fraude empresarial y el abuso de información continua sigue siendo un mercado en crecimiento ya que cada vez más empresas se dan cuenta de la necesidad de hacerse cargo del fraude a través de múltiples canales,” afirmó Avivah Litan, vicepresidente y analista de Gartner. “La tecnología para el control del fraude empresarial y el abuso de información puede ahorrarle a las organizaciones de todo el mundo millones de dólares al habilitar estas eficiencias operativas, dando soporte al cumplimiento así como descubriendo el fraude y el abuso de información que podría de otra forma seguir sin detectar.”
“Estamos emocionados en compartir esta completa solución de seguridad con nuestros clientes,” comentó Tom Bice, vicepresidente de marketing y gestión de productos de Attachmate. “La integración con SIEM fue emprendida debido a la fuerte demanda del mercado, y a solicitud de clientes existentes, para agregar los datos de actividad del usuario provenientes de Luminet a todas las soluciones SIEM en general. Al tomar este paso, hemos hecho posible para los mecanismo SIEM tradicionales, ver datos que típicamente no se observan, lo cual crea contexto alrededor de la actividad del usuario y mejora en general los datos de monitoreo. Trabajando juntos, Luminet y las soluciones SIEM, como Sentinel 7, brindan una nueva dimensión al cumplimiento y el monitoreo de aplicaciones, y disminuyen el tiempo necesario para obtener la información procesable de inteligencia que es necesaria para aminorar el riesgo operativo y garantizar la integridad de los sistemas empresariales.”
Acerca de Attachmate Corporation
Attachmate Corporation, con base en Seattle, Washington, ofrece software avanzado para la emulación de terminales, la modernización legacy, la administración de transferencias de archivo y el control del fraude empresarial. Tres décadas de innovación IT y una sólida reputación en la satisfacción del cliente han distinguido a Attachmate en el mercado. De hecho, la vasta mayoría de la lista de compañías Global 10,000 usa nuestras tecnologías para realizar diariamente miles de millones de transacciones.
La nube, un camino irrenunciable
Por Pablo Massis, Country Manager de Soluciones Orión
Lima, 13 de septiembre del 2012.— Ya mucho se ha hablado de las maravillas, en términos de eficiencia, de migrar las diferentes plataformas y software de las empresas a la Nube. Hace algunos años las compañías que lo hacían, resultaban ser pioneras y rupturistas en subir su información a Internet, pero hoy esto ha cambiado de manera radical. El mercado del cloud computing se está expandiendo en el Perú más rápido de lo que los expertos pensaban y dentro de los próximos años será un camino irrenunciable.
Migrar a la nube significa adoptar una estrategia de negocios que resultará ser una ventaja competitiva clave para el nuevo escenario mundial. La decisión importante será a qué velocidad se hace el traspaso al cloud computing. Si se comienza por partes, se podrá gozar de algunos beneficios; pero si se adquiere de una vez, se avanzará a la par con los gigantes.
Tres de las grandes tendencias tecnológicas (según ha consignado la consultora internacional Gartner) de hoy —el Big Data, la Movilidad y el Social Media—, necesariamente existen en base a el Cloud Computing como agente clave y articulador de las anteriores.
El Big Data, o los sistemas que manejan gran cantidad de información, deben sortear una serie de dificultades para mantenerse y operar. La captura, almacenamiento, búsqueda, el compartir, analizar y visualizar los datos son algunos de los obstáculos que el Big Da
ta deberá sortear y que son expresión de la gran cantidad de recursos requeridos para su correcto manejo. Este es un proceso que se facilita con el modelo cloud cuya flexibilidad, disponibilidad y ventajas económicas son claras y reconocibles. En algunos años más, esto sólo será posible a través de la Nube o de megainfraestructuras de alto costo imposibles de proponer en economía en desarrollo.
La movilidad es otro gran tema. Día a día, nos invaden publicidad de dispositivos móviles con múltiples herramientas y ventajas que facilitan nuestra labor en cualquier momento y lugar. Sin embargo, la movilidad no sólo se refiere a recibir correos y mantenerse online. Las plataformas basadas en la Nube hoy permiten, incluso, utilizar ERP, CRM, o software centrales de las empresas a través de móviles. Incluso tecnología como MDM (Mobile Device Management) para el control de dispositivos y recursos móviles ya se están utilizando con fuerza en las grandes empresas. La movilidad como habilitador de la toma de decisiones y productividad en cualquier lugar.
Por último, actualmente el cloud computing hace posible el desarrollo de redes sociales y nuevas maneras de interacción individual y colectiva, dinámicas complejas y nuevos estilos de comunicación que han modificado los conceptos de lo privado y lo sociabilizado, y han redefinido la expresión de las nuevas generaciones. Incluso ya se usa de modo corporativo algunas redes como G+ para la comunicación efectiva de los colaboradores en una empresa, siendo un canal más para la interacción empresarial, sumando a las nuevas generaciones (Y) a la práctica de la empresa del futuro, en donde varias generaciones se encontrarán en una misma sala de reuniones virtual y social.
Existen tres grandes usos en la Nube: Infraestructura como Servicio (IaaS), Plataforma como Servicio (PaaS) o Software como Servicio (SaaS). Para los que quieren comenzar pueden buscar los clásicos usos de SaaS como CRM en la nube, BI en la nube, incluso suite de escritorio completo en la nube. Sin embargo, para los que quieran hacer un cambio profundo y realmente rupturista, existen opciones que permiten simplemente mudar todo como infraestructura, plataformas y aplicaciones a la Nube.
Hay para todos los gustos, tamaños y necesidades. La plataforma en la nube de Amazon Web Services (AWS) por ejemplo, ofrece la flexibilidad necesaria para instalar los sistemas según las necesidades de cada compañía, independiente de la industria a la que pertenezcan. Es por eso que grandes líderes mundiales como la NASA usan la nube de AWS. Además de las ventajas que ya hemos mencionado, el ahorro en tiempo y dinero son factores muy importantes. Con AWS no es extraño encontrar reducciones de costos, sobre el 70%.
Grandes estudios a nivel mundial, de compañías como Gartner e IDC, sitúan a AWS como el líder en IaaS, y lo catalogan de ágil e innovador, económicamente accesible, sensible al mercado y con una gran cartera de productos IaaS. Gartner lo ha considerado líder en su cuadrante mágico, mientras que para The 451 Group AWS es líder indiscutido en Market Share con el 60% del mercado mundial.
En cuanto a la seguridad, AWS ha obtenido una gran cantidad de certificaciones y auditorías, incluyendo PCI, FISMA, SOC, ISO 270001, garantizando a sus clientes el máximo resguardo posible.
Tarde o temprano; de una sola vez o de a poco; para grandes, medianas y pequeñas empresas. El traspaso a la Nube será un paso obligado para no quedarse atrás. El cloud computing es la nueva forma de vivir la tecnología y que permitirá a las grandes corporaciones avanzar hacia un camino mucho más eficiente y flexible, y a las pequeñas y medianas evolucionar junto a las primeras con posibilidades antes inalcanzables por si solas, es la democratización de la tecnología al alcance de todos…
