TIPS TECNOLÓGICOS, DE CONFIGURACIÓN Y NEGOCIO QUE COMPLEMENTAN TU SEGURIDAD

Diez verdades que TI debe aprender a aceptar

Escrito por Grupo Smartekh on 6/09/11 13:53

En un mundo perfecto, la red no sufriría de periodos de inactividad y estaría bien asegurada. Usted estaría en regla con todas las regulaciones gubernamentales, y todos sus usuarios serían autosuficientes. La nube se haría cargo de casi todas sus necesidades de infraestructura, y no habría un solo dispositivo que acceda a la red sin que primero haya pasado por su control. También: ¡Por fin conseguiría el respeto y la admiración que usted merece!

Buena suerte con eso. La brecha entre sus sueños y la realidad contante y sonante se ensancha cada día. Eso no significa que debe darse por vencido, pero sí significa que tiene que ser realista sobre lo que puede cambiar y lo que debe aceptar.

Aquí le presentamos diez cosas con las que debe aprender a vivir.
La revolución del iPhone está aquí para quedarse Los lugares de trabajo cada vez se asemejan más a una fiesta geek del tipo BYOD (lleva tu propio dispositivo, por sus siglas en inglés). ¿El problema? Muchos departamentos de TI o nunca han sido invitados o no han confirmado sus asistencia. Encuestas realizadas por IDC y Unisys en mayo del 2011 encontraron que el 95% de los trabajadores de la información utilizaron tecnología auto-adquirida en el trabajo -o aproximadamente el doble que lo que los ejecutivos estimaron en esos estudios. IDC predice que el uso de smartphones, propiedad de los empleados, en el trabajo se duplicará para el año 2014. Nathan Clevenger, arquitecto principal de software en la firma de gestión de dispositivos móviles ITR Movility y autor de “iPad in the Enterprise” (iPad en la empresa), dice que el iPhone y la iPad son los catalizadores del consumismo en TI. Los departamentos de tecnología pueden permitir que se utilicen de forma segura o arriesgarse a las consecuencias. “A menos que TI de soporte a los dispositivos y las tecnologías que demandan los usuarios, ellos simplemente ignorarán a TI y utilizarán sus dispositivos personales para fines comerciales”, señala Clevenger. “Esa es una situación mucho más peligrosa, desde el punto de vista de la seguridad, que darle soporte a los dispositivos de consumo en primer lugar”. Los departamentos de tecnología necesitan seguir un camino intermedio entre intentar (y equivocarse) mantener la tecnología de consumo fuera del lugar de trabajo, y permitir el libre acceso a la red desde cualquier dispositivo, señala Raffi Tchakmakjian, vicepresidente de gestión de productos de Trellia, un proveedor de dispositivos móviles basado en la nube. “BYOD es un escenario con el que los departamentos de TI están aprendiendo a vivir, pero luchan para administrarlos desde una perspectiva de seguridad, costo, y operaciones”, añade. “Se hace muy difícil garantizar el cumplimiento de los estándares corporativos y aun así satisfacer las necesidades del negocio. Ellos necesitan una solución de gestión que garantice la seguridad de datos corporativos y les permita administrar los costos con un impacto mínimo sobre las operaciones y la infraestructura”.
Usted ha perdido el control sobre cómo su compañía utiliza la tecnología No solo los dispositivos de consumo están invadiendo el lugar de trabajo. Hoy en día un usuario de negocios sin ningún tipo de visión sobre tecnología puede desplegar un servicio empresarial de terceros en la nube con una llamada telefónica y una tarjeta de crédito o, en muchos casos, un formulario web y hacer clic en un botón. TI ha perdido el control sobre las TI. Eso no es necesariamente algo malo. El creciente universo de nubes y aplicaciones móviles pueden ofrecer acceso a los recursos tecnológicos que necesitan los usuarios frustrados del negocio, sin poner una carga adicional para el personal de TI o los presupuestos. “Durante años, TI ha controlado todos los dispositivos, aplicaciones y procesos en torno a la tecnología”, señala Jeff Stepp, director general de la consultora Copperport. “Pero con las unidades de negocio cada vez más expertas técnicamente y frustradas con las TI, se han ganado el apoyo ejecutivo para ir por su cuenta en la investigación, adquisición e implementación de nuevas aplicaciones y gadgets. Estas unidades de negocio, con este nuevo poder, suelen tener más éxito en conseguir una rápida, y menos costosa, ejecución de lo que necesitan que a través de su propio departamento de TI”. Su trabajo ya no es ofrecer soluciones desde arriba, sino permitir que los usuarios del negocio tomen las decisiones correctas, señala Scott Goldman, CEO de TextPower, fabricante de plataformas de mensajería de texto para empresas. “En vez de luchar para recuperar el control, los departamentos de tecnología deben esforzarse por algo más valioso: la influencia”, agrega. “Cuando los departamentos de TI tratan a sus usuarios como clientes, reciben más resultados de los que desean. Los días del departamento todopoderoso de TI que impone máquinas y métodos se han ido. Tan pronto como se den cuenta de ello, recuperarán cierto nivel de control”.
Siempre tendrá tiempo de inactividad Eventualmente, incluso el centro de datos mejor conservado se apagará. ¿Cree tener redundancia en exceso? Es uno de los pocos afortunados. En una encuesta de septiembre del 2010 a más de 450 gerentes de centros de datos, patrocinada por Emerson Network Power y realizada por el Instituto Ponemon, un 95% dijo haber sufrido al menos un cierre imprevisto durante los últimos 24 meses. La duración media del tiempo de inactividad: 107 minutos. En un mundo perfecto, todos los centros de datos se construirían en torno a una alta redundancia, arquitecturas de doble bus en las que la carga máxima a ambos lados nunca supere el 50%, señala Peter Panfil, vicepresidente de Liebert AC Power, una división de Emerson Network Power. Serían capaces de manejar picos de carga, incluso cuando los sistemas críticos y otros no estén en servicio por mantenimiento, con una planta separada de recuperación lista para entrar en funcionamiento en caso de un desastre en toda la región. En el mundo real, sin embargo, un tiempo de actividad del 100% solo es posible si está dispuesto a pagar por ello, y la mayoría de las empresas no lo están, agrega Panfil. Eso obliga a los gerentes de los centros de datos a entrar en el juego del “pollo de TI”, esperando que los cortes no ocurran cuando los sistemas están más allá de la capacidad del 50%. En las organizaciones en las que el tiempo de actividad es esencial para la supervivencia, están segmentando sus centros de datos, añade, reservando la alta disponibilidad de sus sistemas más críticos y estableciendo menos en otros lugares. Si su correo no funciona por media hora, es molesto pero no fatal. Si cae su sistema de transacciones en tiempo real, están perdiendo miles de dólares por minuto. “Siempre es mejor tener la capacidad y no necesitarla, que necesitarla y no tenerla”, comenta. “Pero la gente que está firmando los cheques no siempre hace esa elección”.
El sistema no será totalmente compatible Al igual que con el tiempo de actividad, la compatibilidad o cumplimiento al 100% es un noble objetivo que es más teórico que práctico. En muchos casos, centrarse demasiado en la compatibilidad le puede hacer daño de otras maneras. Su nivel de cumplimiento variará dependiendo de la industria en que se encuentre, señala Mike Meikle, CEO del Grupo Hawkthorne, una empresa de consultoría y gestión de tecnologías de la información. Las organizaciones de campos fuertemente regulados, como la salud o las finanzas, probablemente no se ajusten plenamente al cumplimiento debido a la frecuencia con que cambian las reglas y las diferentes formas que pueden ser interpretadas. “Es seguro decir que así como no hay una red 100% segura, ninguna organización puede estar segura de ser 100% compatible”, agrega. “Si un vendedor está tratando de vender un producto que garantiza el cumplimiento perfecto, está mintiendo”. Otro peligro es caer en la trampa del cumplimiento, cuando las organizaciones gastan demasiados recursos tratando de mantenerse en sintonía con las normas sin tener en cuenta otras partes, más vitales de sus operaciones, añade Meikle. “Las organizaciones que luchan por el cumplimiento de las regulaciones a menudo fallan en otras áreas”, anota. “Ser compatible con las normas no significa necesariamente que usted esté haciendo las cosas bien en su negocio. En realidad, el cumplimiento es solo un componente de la administración de riesgos, que en sí es un componente de la gestión empresarial. Es un asunto general de los negocios y tiene que ser tratado como tal”.
La nube no arreglará todo (e incluso puede romper algunas cosas) La nube está en el horizonte de TI. De acuerdo con la encuesta Agenda CIO 2011 de Gartner, más del 40% de los CIO espera poder ejecutar la mayoría de sus operaciones de TI en la nube hacia el año 2015. Pero incluso la nube no es la solución definitiva. La fiabilidad, seguridad, y la pérdida de datos seguirán causando dolores de cabeza en los departamentos de TI – que solo tendrán menos control sobre las cosas que están en la nube. “La pérdida de datos es inevitable en cualquier organización, y también puede suceder en la nube”, señala Abhik Mitra, director de producto de Kroll Ontrack, una consultoría especializada en gestión de la información y recuperación de datos. “Las empresas deben prepararse para lo peor, trabajando con su proveedor para planificar el tiempo de inactividad, la recuperación de datos, la migración, y la pérdida catastrófica. La seguridad de los datos siempre será una preocupación, a pesar de que los avances en soluciones cloud atenúen el riesgo a medida que el tiempo avanza”. La nube también introduce un nuevo problema: cómo es que las organizaciones pueden medir con precisión su inversión en TI, especialmente cuando los usuarios del negocio despliegan servicios en la nube sin supervisión de TI. La contabilidad para este tipo de “TI en las sombra” le puede causar dolores de cabeza a las empresas y forzar a que los departamentos de alta tecnología tengan una mirada dura en el valor de los servicios que prestan, señala Chris Pick, director de marketing de Apptio, un proveedor de soluciones tecnológicas de gestión empresarial. “Por primera vez, los usuarios de negocios pueden elegir entre los servicios que está ofreciendo TI y lo que los usuarios pueden requisar por su cuenta”, añade. “Pero hasta que los CIO tengan una idea firme sobre lo que cuesta ofrecer TI, él o ella no será capaz de darle opciones significativas a los usuarios del negocio. Esto solo servirá para suministrar más oxígeno al fuego de TI en las sombra”.
Nunca tendrá suficientes manos en la superficie Los departamentos de TI a menudo quieren una fuerte sacudida en lo que respecta a la externalización y la reducción de personal, pero no es probable que lo consigan, señala Meikle. Debido a que la industria del outsourcing tecnológico es mucho más madura que, por ejemplo, los servicios de outsourcing jurídicos o de recursos humanos, a menudo TI es el primero en sufrir cuando las empresas producen derramamiento de sangre. Es probable que eso no cambie. La solución a los problemas de mano de obra de TI, señala Meikle, es aprovecharse de los servicios ofrecidos por terceros, e integrarse a ellos tanto como sea posible. Los cuerpos aún están disponibles, solo que ya no están bajo su techo. Además, agrega Meikle, asegúrese de mirar hacia fuera para el N º 1. Mantenga sus tajadas actuales de tecnología con la vista puesta en el próximo trabajo antes de que el actual se evapore. “Los profesionales de TI necesitan entender que en primer lugar trabajan para sí mismos, en segundo lugar para la organización”, añade. “Tienen que continuar desarrollando su red de contactos y de marketing por sí mismos, y desarrollar una marca personal, incluso cuando están empleados. Nos guste o no, los profesionales de TI pueden tener que poner de su dinero para pagar su educación y su propio marketing personal, pero eso les pagará dividendos cuando la suerte esté echada”.
La red ha sido comprometida Todo el mundo quiere que sus redes sean fáciles de manejar y difíciles de penetrar. Sin embargo, lo que suelen instalar son bastidores y bastidores de aparatos de seguridad que son difíciles de manejar y fáciles de comprometer, señala Joe Forjette, un gerente senior de proyectos en la empresa fabricante de equipos de seguridad Crossbeam. “Lo peor es que cada aparato tiene que estar constantemente parchado y actualizado”, agrega. “El resultado es una infraestructura de seguridad en expansión, muy compleja y costosa.” Tampoco está trabajando tan bien. Según la encuesta más reciente del Instituto de Seguridad Informática, cuatro de cada 10 organizaciones ha experimentado un incidente como una infección de malware, ataques botnet, o dirigido en el 2010; otro 10% no sabe si sus redes habían sido violadas. Un enfoque más inteligente es empezar con la suposición de que la red ha sido comprometida y diseñar la seguridad sobre esa base, señala Wade Williamson, analista senior de amenazas de seguridad en la empresa de seguridad de redes Palo Alto Networks. “El malware moderno se ha vuelto tan penetrante y tan hábil en ocultarse en nuestras redes que cada vez es más común que las empresas asuman que ya han sido violadas”, agrega. En lugar de colocar otra capa de parches en los servidores de seguridad corporativos, los profesionales de la seguridad pueden pasar más tiempo buscando en dónde pueden estar acechando los indeseables, por ejemplo dentro de una aplicación peer-to-peer o en una red social cifrada. La noción de una “arquitectura de cero confianza” está ganando terreno en muchas organizaciones, señala Williamson. “Esto no quiere decir que estas empresas estén tirando al tacho su seguridad”, agrega, “pero también están dirigiendo su atención hacia el interior en busca de signos reveladores de los usuarios o sistemas que pueden estar ya infectadas o en peligro.”
Los secretos más profundos de su empresa a solo un tweet de distancia Sus empleados están utilizando las redes sociales en el trabajo, así se les permita o no. De acuerdo con el informe de riesgo y uso de aplicaciones hecho por Palo Alto Networks en mayo del 2011, Facebook y Twitter son usados en alrededor del 96% de las organizaciones. ¿El problema? De acuerdo con el índice 5 de riesgos en los medios sociales de Panda Software, un tercio de las pequeñas y medianas empresas han sucumbido a las infecciones de malware distribuidas a través de las redes sociales, mientras que casi una de cada cuatro organizaciones ha perdido datos sensibles cuando los empleados revelaron un secreto en línea. “El comportamiento de las personas que utilizan los medios sociales es igual al comportamiento que tenían frente al correo electrónico hace diez años”, señala Rene Bonvanie, vicepresidente de marketing mundial en Palo Alto Networks. “Con el correo electrónico, hemos aprendido a no hacer clic en cualquier cosa. Pero dentro de los medios sociales, los usuarios hacen clic en cada pequeña URL, ya que confían en el remitente. Es por eso que los botnets que fueron rechazados con éxito hace cinco años, ahora están volviendo a través de los medios sociales. Es un gran riesgo y lo vemos todo el tiempo”. Incluso las organizaciones que utilizan soluciones de seguridad para medios sociales o herramientas de prevención de pérdida de datos no pueden hacer que los fans de Facebook o Twitter publiquen los secretos de la compañía u otros hechos embarazosos, agrega Sarah Carter, vicepresidente de marketing de Actiance, un fabricante de herramientas de seguridad para la Web 2.0. “Lo más importante es la educación”, indica Carter. “Educar, reeducar y educar de nuevo. Ponga las soluciones de capacitación tecnológica en su lugar, para que los usuarios recuerden con regularidad los riesgos y la política de la compañía en lo que respecta a visitar sitios que no son relevantes para la empresa.”
Los usuarios nunca se ayudarán a sí mismos Es el sueño de todo departamento de TI. Si pudieran sacarse de la espalda a esos usuarios necesitados, podrían hacer bien su trabajo real. Pero a pesar de las inversiones en bases de conocimiento en línea y soluciones de soporte automatizado, la noción de que las organizaciones puedan deshacerse de sus servicios de asistencia sigue siendo un tema de ciencia ficción, señala Nathan McNeill, jefe de estrategia de Bomgar, un fabricante de aparatos de soporte remoto. “TI puede desviar una gran parte de los problemas comunes – como el restablecimiento de contraseñas – con un auto-servicio, pero siempre será más rentable que los seres humanos controlen los problemas simples y complejos”, agrega. “Incluso si la tecnología funciona milagrosamente el 100% del tiempo, los usuarios no serán capaces de darse cuenta el 100% de las veces. Mientras la tecnología siga evolucionando, los seres humanos necesitan estar cerca para evolucionar el soporte de TI”. En vez de soluciones de auto-servicio, las organizaciones deberían invertir en soluciones de asistencia remota, señala Chris Stephenson, co-fundador de la firma de consultoría Arryve. “Muchas organizaciones construyen una base de datos de preguntas y flujos de trabajo de influencia para ayudar a impulsar una respuesta en línea para los usuarios finales”, añade. “En realidad, los usuarios finales se frustran más cuando finalmente hablan con una persona de soporte. Sería mucho mejor reemplazar la inversión en soporte de auto-ayuda por asistencia remota en muchas situaciones donde el personal de soporte pueda acceder a la computadora del usuario de forma inmediata y resolver el problema directamente”.
Nunca obtendrá el respeto que se merece Llamémosle el síndrome de Rodney Dangerfield: No importa lo duro que trabajen o lo vitales que sean para la existencia de una empresa, los profesionales de TI no deben esperar obtener mucho respeto fuera de sus propias filas. “Lo que la gente de TI quiere es ser apreciada, valorada y comprendida”, señala Steve Lowe, fundador y CEO de Innovator, un desarrollador de software personalizado. “Y pocas veces lo son.” Dependiendo de las circunstancias, por lo general TI es percibido como Santa Claus (con los juguetes nuevos para todas las chicas y los chicos del negocio), Dr. No (solo interesado en mantener a los usuarios fuera de los recursos que necesitan para hacer su trabajo), o el NSA (vigilando todos sus movimientos en Internet para detectar actividades sospechosas y cortarlas), agrega Lowe. ¿La mejor manera de conseguir, finalmente, un poco de respeto? Ganárselo todos los días, añade Lowe. “Lo más importante que los líderes de TI pueden hacer para enfrentar estos errores es centrarse en ofrecer un valor extraordinario a la empresa en todas las formas que puedan”, señala Lowe. “Encontrar un lugar donde un poco de tecnología tendrá una rentabilidad enorme, y hacerlo. El éxito es muy difícil de discutir. Si puede demostrar que TI hace una diferencia, es más fácil que los ejecutivos le den a TI el respeto que se merece”. Fuente:
http://www.cwv.com.ve/?p=2625  

Topics: Lo más nuevo


Deja un comentario

No te pierdas lo mejor en Seguridad ¡Suscríbete al blog!

Lists by Topic

see all

Lo que se dice en Smartekh

ver lo mejor en Seguridad
CyberSecTrends2023
Smartekh Cloud Happy Hour
15-3
TikTok

¿Quieres hablar con un Consultor de Ciberseguridad?

Acerca de Smartekh

Creemos en en el poder que tiene la tecnología para hacer a las empresas más competitivas, desarrollar estrategias de seguridad de alto nivel y profesionales de TI expertos.

Creando sinergia entre tecnología, análisis y consultores expertos; generamos y complementamos la estrategia de seguridad con los más altos niveles de calidad, optimizando el desempeño y la operación del negocio.

Y lo hacemos de la mano de los líderes del sector TI, con un obsesivo compromiso a acelerar su éxito en cada paso al camino.

¿Listo para conocernos? ->

No te pierdas lo mejor de Smartekh

Contacto

[fa icon="phone"]  55 5047 1030

[fa icon="envelope"]  informacion@smartekh.com

[fa icon="home"]  Heriberto Frías 1451 Int. 101, Benito Juárez CDMX 03100

[fa icon="facebook-square"]Facebook [fa icon="linkedin-square"]Linkedin [fa icon="twitter-square"]Twitter [fa icon="pinterest-square"]Pinterest

Copyright 2024 | Diseñado con [fa icon="heart"] a la Seguridad por Smartekh
[fa icon="chevron-up"]Back to top