martes, 26 de abril de 2016

Seguridad de la Información es responsabilidad de todos

No importa la posición que el profesional está en el mercado, sea él CEO de una empresa de seguros, líder de operaciones en industria de automotriz, responsable por el marketing de una industria de tejidos o propietario de una hacienda de caña de azúcar, basta con estar conectado a la internet para ser co-responsable por las estrategias de seguridad de la información en su ámbito de actuación.

La Internet de las Cosas está provocando una verdadera resolución, en lo que se refiere al impacto que la seguridad de TI tiene en la vida de las personas y en la rutina de sectores económicos, hasta entonces tradicionales y puramente analógicos.

Muchas consultoras hablan en mil millones de cosas que ya están conectadas y en como este universo va a crecer exponencialmente en poco tiempo. Pero, grandes números no traducen, necesariamente, el impacto causado en la rutina de las personas, cuando dispositivos de rutina pasan a ganar inteligencia y a ofrecer servicio al usuario. Un ejemplo es la televisión de su casa que, posiblemente, ya se conecta a la red Wi-Fi. También es posible controlar sistema de aire acondicionado o portales por medio de un aplicativo móvil, gracias a los sensores instalados en los equipos. Hay también neveras que informan el momento de ir a comprar y, las más modernas, ya son programadas para hacer esta tarea directamente desde el e-commerce del supermercado, sin la intervención de sus dueños. Los marcapasos que envían datos de salud de pacientes directamente a los sistemas de urgencias ya no son historia de ficción. Todo esto es IoT.

En un futuro no muy lejano, gran parte de las cosas que nos rodean serán inteligentes y van a comunicarse entre ellas. Su coche "avisará su casa" que estás a camino, para que el portal se abra justo en el momento exacto de su llegada al garaje, las luces se van a encender y el agua del té ya estará hirviendo cuando llegues al salón. Para este escenario hacerse realidad, basta una combinación muy sencilla: internet y direcciones IP. Estas tecnologías, con todas las facilidades y comodidad, traen un punto negativo: más puertas de entrada para los hackers.

Industrias de línea blanca, como neveras y lavadoras, automotriz, de aire acondicionado y otras que se valen de IoT para añadir valor a sus ofertas van a tener que pensar, necesariamente, en seguridad de la información, desde la concepción hasta el desarrollo del producto. Los ataques por ransomware – malware que bloquea un dispositivo, secuestra sus datos y pide pago de rescate - se convierten cada vez más comunes y deben ganar todavía más proyección, a la medida que la IoT avance. Ya está probado que los hackers son capaces de frenar un coche remotamente, solamente invadiendo el sistema en el cual él está conectado. Imaginen, entonces, recibir una amenaza de interceptación de marcapaso y la modificación consecuente del ritmo de su latido cardíaco. ¿Cuál la responsabilidad de las empresas que desarrollan productos inteligentes que, ahora, se pueden utilizar también para amenazar la vida de las personas?

Con el fin de las barreras que separan el mundo físico del virtual, queda cada vez más claro que proteger sus datos es proteger a sí mismo. Y esto es responsabilidad de todos.

Riesgos y amenazas a la seguridad informática de las empresas son evidentes

Para el caso colombiano en el año anterior se recibieron 7.118 denuncias por parte de víctimas de delitos  informáticos, lo que representó un aumento del 40 % con respecto al 2014. Las pérdidas representaron al país alrededor del 0,14 % del PIB Nacional.

Ante el consecuente aumento de la vulnerabilidad en los sistemas de la información de las compañías debido al imparable crecimiento de la revolución digital, Telefónica Movistar exhibió su propuesta de ciberseguridad destinada a la protección integral de los datos de las empresas y pymes del país.
Según las cifras expuestas por la compañía, para el año 2015 un 94 % de las grandes empresas del mundo reportaron haber sido víctimas de ciberataques y el 82 % percibe estos asaltos como algo que probablemente les suceda, esto refleja que los ataques a la seguridad de la información de las empresas son cada vez más frecuentes.
Para el caso colombiano, en el año anterior se recibieron 7.118 denuncias por parte de víctimas de delitos  informáticos, lo que representó un aumento del 40 % con respecto al 2014. Las pérdidas representaron al país alrededor del 0,14 % del PIB Nacional, cerca de US$500 millones aproximadamente.  Ante esta problemática Telefónica Movistar desarrolló una estrategia que le permitirá fortalecer su liderazgo en el mercado de la seguridad digital para las compañías inaugurando en Colombia un Centro de Operaciones de Seguridad que tiene como finalidad detectar, monitorear y alertar sobre incidentes de seguridad cibernética.

Estrategias para hacer frente a las brechas de la seguridad de la información

La seguridad de la información constituye el conjunto de medidas preventivas y reactivas de las organizaciones y de los sistemas tecnológicos que permiten resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de la misma.
Tal como señala Wikipedia, el concepto de seguridad de la información no debe ser confundido con el de seguridad informática, ya que este último sólo se encarga de la seguridad en el medio informático, pero la información puede encontrarse en diferentes medios o formas, y no solo en medios informáticos.
Para el hombre como individuo, la seguridad de la información tiene un efecto significativo respecto a su privacidad, la que puede cobrar distintas dimensiones dependiendo de la cultura del mismo.
En la seguridad de la información es importante señalar que su manejo está basado en la tecnología y debemos de saber que puede ser confidencial: la información está centralizada y puede tener un alto valor.
Puede ser divulgada, mal utilizada, ser robada, borrada o saboteada. Esto afecta su disponibilidad y la pone en riesgo.
La información es poder, y según las posibilidades estratégicas que ofrece tener acceso a cierta información, ésta se clasifica como:
a). Crítica: Es indispensable para la operación de la empresa
b). Valiosa: Es un activo de la empresa y muy valioso.
c). Sensible: Debe de ser conocida por las personas autorizadas
Existen dos palabras muy importantes que son riesgo y seguridad:
a). Riesgo: Es la materialización de vulnerabilidades identificadas, asociadas con su probabilidad de ocurrencia, amenazas expuestas, así como el impacto negativo que ocasione a las operaciones de negocio.
b). Seguridad: Es una forma de protección contra los riesgos.
La seguridad de la información comprende diversos aspectos entre ellos la disponibilidad, comunicación, identificación de problemas, análisis de riesgos, la integridad, confidencialidad, recuperación de los riesgos.
Precisamente la reducción o eliminación de riesgos asociado a una cierta información es el objeto de la seguridad de la información y la seguridad informática. Más concretamente, la seguridad de la información tiene como objeto los sistemas el acceso, uso, divulgación, interrupción o destrucción no autorizada de información.
Los términos seguridad de la información, seguridad informática y garantía de la información son usados frecuentemente como sinónimos porque todos ellos persiguen una misma finalidad al proteger la confidencialidad, integridad y disponibilidad de la información.
Sin embargo, no son exactamente lo mismo existiendo algunas diferencias sutiles. Estas diferencias radican principalmente en el enfoque, las metodologías utilizadas, y las zonas de concentración.

IMPLEMENTACIÓN DE ESTRATEGIAS

Además, la seguridad de la información involucra la implementación de estrategias que cubran los procesos en donde la información es el activo primordial.
Estas estrategias deben tener como punto primordial el establecimiento de políticas, controles de seguridad, tecnologías y procedimientos para detectar amenazas que puedan explotar vulnerabilidades y que pongan en riesgo dicho activo, es decir, que ayuden a proteger y salvaguardar tanto información como los sistemas que la almacenan y administran.
La seguridad de la información incumbe a gobiernos, entidades militares, instituciones financieras, los hospitales y las empresas privadas con información confidencial sobre sus empleados, clientes, productos, investigación y su situación financiera.
En caso de que la información confidencial de una empresa, sus clientes, sus decisiones, su estado financiero o nueva línea de productos caigan en manos de un competidor; se vuelva pública de forma no autorizada, podría ser causa de la pérdida de credibilidad de los clientes, pérdida de negocios, demandas legales o incluso la quiebra de la misma
Recio ha señalado que desde hace ya algunos años la información está definida como el activo más valioso de una compañía (los costes derivados de pérdida de seguridad no son sólo costes económicos directos, sino que también afectan a la imagen de la empresa), por lo que, cada vez más, la seguridad de la información forma parte de los objetivos de las organizaciones y, sin embargo, y a pesar de esa concienciación generalizada, muchas compañías no se enfrentan a este aspecto con la globalidad con la que debiera tratarse.
Además de esta falta de visión global, existe otro factor que afecta a la estrategia de seguridad de una organización: la dispersión de las inversiones de seguridad en múltiples nichos desalineados con el objetivo global, de modo que la focalización en cuestiones concretas de seguridad hace olvidar el objetivo estratégico.
Cuando una empresa define la seguridad de la información como prioridad, estableciendo medidas que ayuden a conseguirla, de manera inmediata se plantea la necesidad de instalar mecanismos, llamémosles físicos, que permitan controlar los riesgos asociados a la seguridad más inmediata.

OBJETIVO DE LA SEGURIDAD

La Seguridad de la Información, por tanto, según afirma AEC, tiene como fin la protección de la información y de los sistemas de la información del acceso, uso, divulgación, interrupción o destrucción no autorizada.
La seguridad es un concepto asociado a la certeza, falta de riesgo o contingencia. Podemos entender como seguridad un estado de cualquier sistema o tipo de información (informático o no) que nos indica que ese sistema o información está libre de peligro, daño o riesgo. Se entiende como peligro o daño todo aquello que pueda afectar a su funcionamiento directo o a los resultados que se obtienen.
La Seguridad de la Información tiene como fin la protección de la información y de los sistemas de la información del acceso, uso, divulgación, interrupción o destrucción no autorizada. Conviene aclarar que la seguridad absoluta no es posible, no existe un sistema 100 por ciento seguro, de forma que el elemento de riesgo está siempre presente, independiente de las medidas que tomemos, por lo que se debe hablar de niveles de seguridad.
No obstante ello, en la práctica, según pone de manifiesto TicBeat el año 2015 fue un año proclive a la producción de quiebras en la seguridad de la información, pues se produjeron múltiples brechas o fugas de información, que tuvieron una repercusión mediática ciertamente relevante. Entre otras, y como ejemplos más conocidos y relevantes de supuestos de brechas de ciberseguridad, deben destacarse por su importancia las siguientes:
a). Ashley Madison: 37 millones de infieles expuestos.
El portal de citas para personas casadas Ashley Madison vio como este año se hacían públicos los datos e identidad de nada menos que 37 millones de sus usuarios, para los cuales la privacidad era algo clave. Una brecha de seguridad proporcionó acceso no autorizado a un grupo de hackers a información de los usuarios y trabajadores del sitio.
b). T-Mobile.
Hasta 15 millones de personas, muchos de ellos clientes de la operadora T-Mobile, una de las más importantes de Estados Unidos, se vieron afectadas este 2015 por una brecha de seguridad que se ha producido en los servidores de Experian, una multinacional de información crediticia con la que trabaja dicha compañía telefónica.
c). El ‘bug’ en los ordenadores de Dell.
Desde el pasado mes de agosto, algunos modelos de PC del fabricante Dell incluían un fallo de fábrica que permitiría a los hackers interceptar el tráfico encriptado que desde ellos se hacía en la red. Así lo aseguró Joe Nord, un investigador especializado en ciberseguridad, que fue el encargado de poner de relieve este problema.
d). Ni los niños están a salvo.
En este 2015 también constatamos que las ciberamenazas no distinguen de edad. Así, el fabricante de juguetes educativos para niños Vtech informó este año que había sufrido un acceso no autorizado a su base de datos, en el que habían quedado expuestos los datos personales de 4,9 millones de clientes adultos y 6,4 millones menores de edad.
e). Las primarias demócratas en EEUU, a expensas de las ciberamenazas.
Este mismo mes de diciembre conocimos un error técnico en NGP VAN, el software que utilizan los equipos de Hillary Clinton y Bernie Sanders, candidatos demócratas a la Casa Blanca, para acceder a los datos de los posibles votantes, una información crucial para la recaudación de fondos privados.
Dicho fallo provocó que los asesores de Sanders tuvieran acceso temporalmente a los datos deClinton, como John Uretsky, director nacional de datos de la campaña de Sanders, que se habría valido de este fallo técnico para acceder en repetidas ocasiones a la base de datos de los votantes de Clinton.
A juicio de Enigmedia, a pesar de que las empresas estén concienciándose progresivamente y estén empezando a impulsar medidas internas para mejorar van por detrás de los hackers o ladrones de información. Como resultado de esta actividad las fugas de información o brechas en la seguridad digital, más comunes, desde la perspectiva de las causas o elementos que los producen, son las que se citan seguidamente a título de ejemplo:
a). Malwares a través del phishing: un ataque mediante emails. El emisor suplanta la identidad de una empresa conocida (últimamente Correos) e invita al usuario a descargarse un archivo para poder recuperar un paquete. De esta forma instala el malware en nuestro equipo y cifra toda la información. La única forma de recuperarla es pagando el rescate que nos piden (oscila entre 100 y 500€).
b). Comunicaciones inseguras y robo de información: Las empresas manejan una gran cantidad de información que puede ser sustraída con fines delictivos. Credenciales bancarias o información confidencial, todo es susceptible de ataque para sacar un beneficio económico con su venta o por espionaje industrial. Todo ello se facilita si nuestras comunicaciones son inseguras. A pesar de tener poca visibilidad en la sociedad actual, los ataques pueden hacer muchísimo daño y conseguir un beneficio económico multimillonario.
c). Empresas pequeñas también son objeto de ataques: Aunque la gran mayoría de las pequeñas empresas piensen que no son susceptibles de ser atacadas porque los ciberdelincuentes no “perderán su tiempo” con ellos, la realidad es otra. Al considerar que no corren peligro, las pymes no invierten tanto en seguridad y los ataques son mucho más fáciles de perpetrar. Para algunos hackers o ladrones de información es la principal razón de atacar.
d). Software desactualizado: El 19,26 por ciento de empresas siguen utilizando Windows XP, un sistema operativo al que Microsoft dejó de ofrecer soporte técnico hace poco más de un año. Se ha convertido en un nido de malware.
e). Establecer y comunicar la política de seguridad: Dentro de la empresa todos los empleados deben saber cuáles son las decisiones que se han tomado. Es decir, hay que establecer una política común en todos los departamentos para que no haya brechas en la seguridad. Por ejemplo, la forma de conectarse a redes inalámbricas o qué guardar en la nube u otro tipo de almacenamiento y cómo hacerlo. Si no se hace así, puede haber problemas porque cada empleado hará lo que le parezca.

MEDIDAS NECESARIAS

Enigmedia, también señala como medidas necesarias para evitar los ataques a una empresa las que se citan a continuación
a). Crear listas blancas: Además de no confiar en emails que no esperemos o en aquellos que contengan fallos de ortografía o mezcla de idiomas, es aconsejable, crear listas blancas que recogen los objetos conocidos como legítimos. De esta forma cuando un empleado desea abrir un archivo éste pasa automáticamente por una base de datos que certifica que ya se ha utilizado con anterioridad y que no contiene software malicioso. Antes se creaban listas negras, una base de datos con archivos dañinos para impedir de manera automática que estos puedan ejecutarse y afectar a un determinado equipo o red. Pero esta segunda vertiente tiene el problema de que los ciber delincuentes crean ingentes cantidades de malware a diario, en su mayoría pequeñas variaciones de uno. Es más aconsejable ir clasificando lo conocido.
b). Cifrado: el robo de información y las comunicaciones inseguras se pueden evitar cifrando y securizando las comunicaciones. En un informe publicado recientemente por Tecnalia, la empresa vasca aboga por el cifrado completo y el establecimiento de contraseñas robustas como medida obligatoria para todos los ordenadores portátiles y smartphones que se utilicen en una empresa. De esta forma evitaremos que los ladrones de información o hackers puedan hacerse con información privada. Podemos tener un buen sistema de seguridad, pero si nuestras comunicaciones no son seguras los hackers tendrán un acceso muy simple a todo eso que queremos proteger.
c). Invertir en seguridad: Obviamente sin derrochar todo el presupuesto y con proporcionalidad al tamaño de la empresa, pero teniendo en mente que hoy en día cualquiera puede ser víctima de un ataque. Los ciber delincuentes han visto que las empresas pequeñas son mucho más vulnerables y a pesar de que la cuantía del botín es considerablemente menor, optan por la rapidez y las facilidades.
d). Actualizar software: No es la panacea, pero si sus buscadores, el sistema operativo, el antivirus y demás programas están actualizados habrá cerrado una puerta de entrada a los ladrones de información.
e). Política de formación e información: informar periódicamente a los trabajadores de las medidas de seguridad que se van implementando: dónde guardar la información, cómo hacerlo, etc. El diseño de un sistema infranqueable no sirve para nada si aquellos que deben usarlo no saben cómo hacerlo. Al final, ese desconocimiento conllevará problemas y un punto débil ante ataques.
Por tanto, el punto fundamental de partida para el establecimiento y mantenimiento con garantías de éxito de la seguridad de la información es la definición clara de objetivos a partir de los cuales desarrollar las políticas y procedimientos que definan el marco en el que situar las medidas de seguridad a implantar, teniendo en cuenta, tal como afirma Recio, aspectos como las leyes que rigen en materia de seguridad el espacio geográfico en el que se ubica la organización LOPD, por ejemplo, en España), los compromisos con terceros en el cumplimiento de normas que tenga la compañía (SAS70, 27001, etc.) y, por supuesto, el día a día del negocio.

El 'cloud computing', la llave para la movilidad empresarial

Las soluciones en la nube se imponen como palanca para trasladar el lugar de trabajo a cualquier punto y optimizar la productividad.
El cloud computing se impone como un paso ineludible para la transformación digital. La revolución de la movilidad y la aceleración de los procesos convierten al cloud en un soporte atractivo para las compañías en cuanto a ahorro de costes y aumento de la productividad. Sin embargo, el verdadero reto al que ahora se enfrentan es la adaptación a esta nueva forma de trabajo, un tema abordado en el Observatorio sobre Cloud Productivity, organizado por EXPANSIÓN y patrocinado por Hewlett Packard Enterprise (HPE) y Microsoft, que ahondó en este asunto y planteó las claves para esta nueva era cloud.

César Quintana, CIO de OHL, destacó el papel crucial de la nube en momentos puntuales gracias a su "versatilidad". "Lo usamos en procesos transversales, como cuando abrimos una delegación o para una obra concreta, y para otorgar infraestructuras sin hacer una inversión
 ad hoc", apuntó. Rafael Abreu, CIO de Bergé, narró la apuesta por la nube que su compañía lleva a cabo desde 2010: "Vemos el cloud como una palanca de innovación porque da más opciones más especializadas y permite que nuestros departamentos se centren en el negocio y no tanto en tecnología".Para Francisco León Barroso, CIO de Decathlon Spain, la nube ya no es una opción. La razón, defendió, es que otorga velocidad y flexibilidad, dos nociones imprescindibles para adaptarse al escenario digital: "Además, para nosotros también es necesaria la disponibilidad de la información en cualquier punto, y esto hace que el cloud sea una verdadera obligación", detalló.

"Hemos pasado del lado oscuro, donde nada se podía poner en cloud, a que ahora nos animen a ello", comenzaba Esteve Mitjavila, director de Infraestructure Architecture de Banco Sabadell, que citaba algunas causas que han propiciado el cambio de mentalidad: "Incluso la UE y el BCE han hecho movimientos en ese aspecto moviendo tecnología hacia cloud y haciéndolo público, lo que está motivándonos mucho más"
.
La irrupción de la nube parece incontestable y la cuestión no está ya en si adoptar o no este sistema; sino en el proceso de adaptación de cada empresa, donde es esencial el concepto de cloud híbrida, lanzado por Oriol Pujol Romanyà, jefe de Movilidad y Centros de trabajo de HPE, consistente en "repartir las cargas de trabajo entre cloud pública y privada, incluso ir cambiando a lo largo del tiempo según varían las estrategias de compañías".

Esta fórmula gradual también fue defendida por Esther Málaga García, directora de Tecnología de Ferrovial: "El cloud es una solución muy válida, pero no para todo. Nosotros hemos llevado allí procesos de negocio, siempre y cuando no sean procesoscore", sostuvo. En su opinión, "es el momento del sentido común" a la hora de trasladar datos más sensibles del entorno privado al público. "La cloudpública puede dar grandes ventajas pero tienes que tener claro para qué la usas", remachó.
"Nos enfrentamos a realidades muy cambiantes", comenzó Antonio Budia, director de Unidad de negocio de Productividad y Colaboración de Microsoft, que destacó la importancia de "adaptar ese cloud a las necesidades de cada momento" y fijó el objetivo en "facilitar a la compañía y al individuo el poder hacer más en un mundo móvil; con una movilidad centrada en la experiencia del usuario y en dónde se encuentre".La revolución tecnológica ha traído cambios en los hábitos de trabajo, de la mano de una nueva generación, según manifestó Pujol, de HPE: "Losmillennials serán el 50% de la masa laboral en 2020 y quieren encontrar en su trabajo lo que tienen en casa". En este punto Pere Nebot, CIO de CaixaBank, puso el acento en que los nativos digitales "están acostumbrados a hacer todo en cualquier lugar y elcloud permite hacerlo de una forma segura". "Con nuestro cloud interno, este año hemos conseguido movilizar a 20.000 empleados, que con su dispositivo hacen lo mismo que hacían en la oficina, pero en la calle", destacó.

SEGURIDAD Y PYMES


El representante de Microsoft destacó dos motivos principales por los que la opción cloud gana atractivo en pequeñas y medianas compañías: "Les permite acceder a la tecnología de las grandes empresas con un coste mínimo y sin tener a parte de su plantilla gestionando eso", aseguró Budia. La segunda razón es que "les permite crecer a su ritmo con el servicio de pago por uso y dar respuesta a necesidades puntuales sin tener que invertir en CPD (Centro de Procesamiento de Datos) o entornos físicos". "El 81% de las pymes decide irse a la nube porque la ve más segura", afirmó Budia, que definió a la seguridad como "una de las grandes ventajas de la nube, pero a al vez uno de los motivos por los que algunos dudan".

Esta situación fue calificada por Blas Labrador, consejero delegado de ICM, como un "contrasentido". "La seguridad que ofrece la nube es altísima, otra cosa es la percepción", expuso Labrador, que afirmó que "no hay una pérdida de seguridad, sino una pérdida de control". Este cambio consiste en que "ya no te ocupas de que el dato esté ahí, sino que confías en un tercero que presta un servicio de manera segura", destacó Labrador, que puso una analogía: "Pasa igual con las tarjetas de crédito, que dependen de un tercero en el que confías".
Desde Decathlon, León Barroso narró la evolución de las áreas IT y resaltó la necesidad actual de una labor pedagógica: "Ya no tenemos ese rol de control, pero tenemos que enseñar y ser parte de ese cambio cultural", observó. Abreu incidió en el nuevo papel "impulsor" del departamento tecnológico: "Si te cierras en banda, vas a ser desintermediado; la oportunidad ahora es dar un paso adelante y liderar los cambios". Desde ICM; Blas Labrador defendió la importancia de equipos multitarea: "La clave de futuro es que trabajemos conjuntamente con las demás áreas. Ahora que todos quieren participar, aprovechémoslo".La incidencia cloud en la empresa conlleva un cambio organizacional en varios sentidos. "Por encima de la tecnología, es muy importante el aspecto cultural", señaló Budia. Desde HPE, Pujol Romanyà insistía en la importancia de "educar y conseguir un cambio en los hábitos de los empleados. Así, incidió en que esta revolución cloud"no es sólo un cambio tecnológico, sino otros aspectos que hay deben acompañar".

6 alertas rojas de seguridad para identificar la solución perfecta de almacenamiento en la nube

Por mucho tiempo, la nube fue considerada como la “ola del futuro”. Pero el futuro ya llegó. Una gran solución de almacenamiento en la nube no solo permite que sus empleados tengan acceso a los archivos en cualquier momento, en cualquier lugar, y también facilita el sincronizar archivos, trabajar sobre la marcha, compartir y colaborar con otros autores de documentos con mayor facilidad. Pero más del 50 por ciento de las organizaciones encuentra que el almacenamiento en la nube como la categoría de aplicación con más riesgo que existe.
¿Hay alguna razón importante sobre eso? Amenazas de seguridad. A pesar de todos los datos que muestran que la nube es segura o más, que el almacenamiento on-premise, la seguridad permanece como una barrera principal para la adopción de la nube, de acuerdo con Cloud Security Alliance. Por eso, la seguridad en la nube es una de las mayores preocupaciones para los proveedores, y también es la razón de por qué se invierte demasiado capital, para asegurar que sus productos están protegidos. De hecho, para 2019, por sí solo, el mercado de seguridad global para la nube habrá alcanzado un estimado de $8.71 mil millones de dólares. 
Aun así, no todos los proveedores de almacenamiento en la nube están creados igual, en especial cuando se trata de seguridad. Sin embargo, es importante obtener una “buena oferta” en su solución empresarial en la nube, ya que es más importante garantizar la seguridad de sus datos. Cuando busquen proveedores de almacenamiento en la nube, revisen que aquellos que están por considerar no muestren algunas de las siguientes alertas rojas, y si es así, evítenlos como la peste:
No tienen una reputación sólida: En este negocio, y como en muchos otros, la reputación es clave. Si una compañía sin nombre ofrece un gran precio, asegúrense de investigar varios testimonios, periodos de inactividad, experiencia, amplitud de servicios, etcétera, antes de firmar un contrato. También, recuerden que una pequeña compañía tal vez no tenga la capacidad de administrar sus cargas de datos, darle a su organización la atención que ustedes necesitan y de cualquier manera continuar en el negocio durante los próximos cinco años.
No tienen sitio HTTPS: Un sitio HTTPS  es esencial para una seguridad adecuada, ya que cubre todo tipo de requisitos en cuanto a información personal, como es el caso de los formularios. En adición, los sitios que no están cifrados con HTTPS permiten una fácil intercepción de las credenciales de acceso. Si sus credenciales son descubiertas, los hackers pueden tener acceso a sus archivos, robar sus datos y hacer bastante daño interno.   
Carecen de otros protocolos de seguridad: Cualquier empresa decente proveedora de almacenamiento en la nube ofrecerá ciertos protocolos, en los que se incluye el cifrado, el cual asegura solo a las personas que tienen acceso a los datos de su compañía, y quienes tiene las credenciales adecuadas de acceso. Ustedes querrán un alto nivel de cifrado, de tal manera que sus datos no estén amenazados por miradas indiscretas, incluso si el proveedor llega con acciones legales.  
Débil declaración de privacidad: Al momento de comparar entre proveedores de almacenamiento, pregúntense, “¿Qué tan comprometidos están por proteger mis datos”? Encuentren un servicio con una fuerte declaración de privacidad, una que no permita que dicho servicio explore entre sus archivos. Algunos son más rigurosos que otros. Pueden determinar lo que es aceptable para las necesidades de su empresa, y a continuación, tomar una sabia decisión. 
No se hace mención de las normas de cumplimiento: Tener conocimiento de las normas de cumplimiento, así como obtener certificaciones para demostrar las capacidades de los proveedores y ofrecer pruebas de que existe una seguridad confiable. Ver estas certificaciones y conocer los estándares es una manera objetiva de comparar a cada proveedor. Algunos ejemplos de estándares de cumplimiento incluyen el ISO 27001, HIPAA, FERPA, FISMA, SSAE 16, PMI y más.
Acuerdos de servicio imprecisos: Un acuerdo de servicio de un proveedor debería ofrecer suficiente transparencia para que ustedes sepan en verdad lo que obtienen. Un proveedor debería hacer compromisos claros acerca de los controles de seguridad que tiene disponibles, dónde residen sus datos y quién administra la tecnología subyacente. ¿Cómo pueden confiar en que los proveedores protegerán sus datos, si ellos no aclaran la manera en que planean hacerlo?
No existe una solución de almacenamiento en la nube que funcione para cada problema. Cada organización tiene diferentes necesidades, y esas necesidades deberían reflejarse en la elección de un proveedor empresarial de almacenamiento en la nube. Sin importar la solución o el proveedor, la seguridad debe mantenerse como prioridad en su lista de consideraciones.

lunes, 18 de abril de 2016

La Nube: qué implica para las aplicaciones

No es exagerado decir que somos siendo  siendo testigo de un cambio radical.  Yo esperaría un mayor nivel de innovación en la industria durante los próximos cinco años, ya que existe un fundamento común: la computación en nube.

La computación en nube permite conducir todo esta innovación desde la perspectiva de TI, señala el periodista de CIO, . Además, es importante entender lo que esto implica para la actividad más importante de TI, las aplicaciones ya que todo lo demás es  sólo un facilitador.

Figura 1
Por supuesto, este panorama suena idílico. Por supuesto, siempre hay aplicaciones que no encajan muy bien en el entorno, como puede suceder con una página web orientada externamente con enormes saltos en los números de tráfico y de los usuarios durante la temporada de compras navideñas. Siempre hay unidades de negocio que quieren probar un experimento, pero no pueden porque en el momento en el experimento se construye, además está el desarrollo de la prueba.
Debido a la primacía de las aplicaciones tradicionales, estos casos de uso inusuales,  son siempre tratadas como excepciones que no justifican alterar el actual estado de cosas.
Lo que está sucediendo hoy en día es que estas “excepciones” se han convertido en la normaLa relación entre las empresas y sus clientes se ha vuelto digital. Las aplicaciones móviles se están convirtiendo rápidamente en la forma de facto de esas relaciones se llevan a cabo, con la Web teniendo un papel interfaz secundaria. Las empresas quieren tener de inmediato las enormes cantidades de datos digitales que generan sus interacciones. Y lo se avecina en el horizonte cercano es el cambio hacia el aprendizaje automático y la Internet de las cosas. 
La figura 2 representa la nueva pila de empresa. La base común para todas estas interacciones e interfaces es la computación en la Nube. Los proveedores de nubes públicas han cambiado todo sobre las expectativas de infraestructura. La nueva hipótesis es que la infraestructura estará inmediatamente disponible, de bajo costo y accesible a cualquier medida que necesite. .
Figura 2
Figura 2.
Mucha gente asume el reto clave para los grupos de TI de la empresa es a nivel de infraestructura. Nada mas lejos de la verdad. La hipótesis de trabajo por todos los consumidores de infraestructura,  es decir, desarrolladores, grupos de aplicaciones, ejecutivos de TI y los clientes de la unidad de negocio, es que la capacidad de la infraestructura se reunirá la normalidad: rápido, barato y escalable. Si el entorno local cumple con estos requisitos, bien. Si no es así, nada en el mundo va a persuadir a los consumidores a seguir con una oferta inferior.
En su lugar, el desafío clave para las TI es reconfigurar la capa por encima de la infraestructura, la herramienta de aplicación. Vamos a ver un enorme cambio en el tipo de aplicaciones que se construyen, los componentes de software utilizados para su construcción, y los procesos por los que se prestan.
En lenguaje llano, el cambio de infraestructura afecta a ciertas porciones de los grupos de operaciones de TI; este cambio afectará a todo el mundo .
Escribí acerca de código abierto en ” 4 principios que darán forma al futuro de las TI “, pero basta con decir que todo lo interesante que pasa en software se basa en código abierto. Sobre patentes no se puede innovar con la suficiente rapidez, y es inaccesible a la escala requerida para estas aplicaciones.
Más allá de esto, la arquitectura principal de aplicaciones de la empresa tendrá que cambiar bases de código monolíticas que se ejecutan en servidores de aplicaciones propietarias no pueden cambiar lo suficientemente rápido como para seguir el ritmo de “manejar el negocio”
Este ritmo de cambio exige romper aplicaciones hasta en las aplicaciones basadas en servicios, también conocido como microservicios.  Ahí comienza el reto.

Los datacenters son la base de la transformación digital

DCD

El evento DCD Converged 2016 dedicado al mundo de los centros de datos pasó por el Kinépolis de Madrid reuniendo a cerca de un millar de interesados, una cifra que ciertamente dice mucho del interés que genera esta pata indispensable de la industria TIC que proporciona los recursos e infraestructuras para la transformación digital de los negocios.
Así lo recordó José Luis Friebel, CEO de DatacenterDynamics Group para España y Latinoamérica, organizador un año más de esta ya novena edición que se replica en 22 países del mundo: “El futuro es digital, y los centros de datos son el corazón de esa transformación. Internet of Things, Cloud Computing, Big Data, Smart Cities o la Industria 4.0 son conceptos consolidados en el mundo empresarial, y que ya forman parte del día a día del consumidor final. El 70% de las grandes empresas se encuentra en una fase temprana de adopción de una estrategia de centros de datos, pero para finales de 2020, uno de cada tres CEOs tendrá al data center en el centro de su estrategia corporativa. Las empresas deben realizar una transformación digital real. No hay más tiempo: quién no entienda esta premisa en unos años habrá desaparecido”.
La eterna cuestión de la ciberseguridad siempre planea cuando se trata de manejar y custodiar todo tipo de datos, desde los más privados a los más sensibles, pues sin poder garantizar su consistencia, veracidad, conveniencia y disponibilidad, dentro del buen uso, no se podrá avanzar hacia la plena economía digital. En este sentido, el CEO del DCD Group comentaba en su ponencia de apertura que “según el Ministerio del Interior, en 2016 se esperan más de 100.000 ciberataques, 300 contra infraestructuras críticas. El mercado de los centros de datos necesita de personas cualificadas que sepan aplicar el protocolo en estos casos. Sin las medidas necesarias para hacer frente a los ciberataques, la transformación digital es una utopía. Sabemos que el 80% de los errores son de carácter humano, la concienciación de todos los miembros de la empresa, y la formación y profesionalización de las personas responsables es el único camino para solucionar esta situación”.
Y es que la cantidad a manejar de datos da vértigo, y sería de ingenuos creernos inmunes a las fugas en cualquiera de los puntos críticos. Para el año 2020 habrá más de 25.000 millones de dispositivos conectados generando más de 50 zettabytes. Y otra cuestión igual de crítica: ¿cuánta energía se va a necesitar para procesar esa gran cantidad de datos? Los enfoques de Green IT de eficiencia y ahorro se hacen vitales y deben estar desde antes incluso de poner la primera piedra de cualquier nuevo data center.
Los petabytes que se enchufan a diario empresas como Google, Facebook o Twitter serán pronto umbrales normales en cualquier empresa del Ibex 35. George Rockett, co-fundador y CEO mundial de la plataforma de información DCD Group centrada en revistas y portales web, estudios de mercado, formación y organización de ferias, estuvo por Madrid para exponer su visión sobre lo que ha venido a calificar de “ZettaEstructuras”, la solución de la industria a la cantidad de datos que se van a generar en un futuro muy cercano. “El futuro requerirá un nuevo ecosistema de infraestructuras que puedan soportar los zettabytes que se van a generar, y den un servicio sin interrupciones. Estas ‘ZettaEstructuras’ aunarán las diferentes capas físicas de hardware, las instalaciones y las redes, dentro de una misma estructura compleja, que va más allá del entorno del data center tradicional y que será la base de la economía digital”.
Una cuarta capa basada en gestión por software dotará de inteligencia y orquestación para prever todo tipo de necesidades y adelantarse a cualquier contingencia: automatizar las rutinas y aprender sobre la marcha son tendencias que han adelantado muchas posiciones. Esta conferencia, desarrollada en el marco de la Spain Datacener Week, dio voz a más de 60 ponencias de expertos nacionales e internacionales, divididas en cinco áreas temáticas y espacios diferenciados, donde se abordaron en profundidad asuntos como el diseño y construcción de data centers más seguros y resilentes, la gestión eficiente de energía eléctrica y refrigeración, las últimas tendencias en servidores y almacenamiento, arquitecturas de misión crítica, housing, hosting, colocación y cloud, etc.

Ponentes de nivel
A destacar en esta DCD Converged 2016 la presencia de Jon Summers, profesor de la Universidad de Leeds, que describió un futuro incierto para la transformación digital de las empresas y usuarios finales si no se desarrollan nuevas tecnologías e innovaciones que hagan frente a la escalada en la demanda digital que podría superar incluso los límites físicos de los actuales centros de datos.
Mario Vinasco, científico de datos colombiano y analista de Facebook, expuso “el arte de contar” casos reales en la compañía a la hora de enfrentarse a identificar tendencias y medir resultados. “Nuestro warhorse es poder combinar la riqueza de las bases de datos persistentes con herramientas de visualización en tiempo real, así como observar el feedback de todos los usuarios, desde los más heavy users hasta los más esporádicos en la power long tail. Por ello hay que hacer particiones, algunas pueden ser naturales como países que constituyen una isla, como Nueva Zelanda o Australia, y otras las tenemos que hacer en base a diferencias usuarios y sus grupos influyentes, de estos hacemos 80.000 clusters cada semana. Todo ello es fundamental para poder medir el ROI de una campaña y justificarlo ante sus anunciantes”.
Por su parte, Cole Crawford, cofundador de Open Compute Project Fundation, discurrió sobre el papel fundamental que jugarán los centros de datos en el desarrollo del IoT, mientras que Massimiliano Falcinelli, jefe de seguridad de infraestructuras de la Agencia Internacional de la Energía Atómica, dio las claves para desarrollar un proyecto de ciberseguridad para infraestructuras críticas, recordando que, “el panorama sociopolítico siempre en evolución hace que la capacidad de los especialistas para hacer frente a nuevas amenazas se complique”.
Entre los ponentes nacionales ha destacado la compañía tecnológica BQ, cuyo cofundador Rodrigo del Prado nos contó cómo su vertiginoso crecimiento en el mercado les obligó a crear una Cloud VDC (plataforma de virtual data center en la nube) de alta disponibilidad soportada por Interoute para dar servicio tanto a sus 2 millones de clientes “vivos” como equipo de producción en China en permanente conexión con las oficinas españolas de desarrollo: “La tecnología no debe ser un limitador, sino un habilitador del negocio”.
También destacó la intervención de Juan Carlos Sexto, vicedirector TIC del CSIC en la Estación Biológica de Doñana, que describió el proyecto realizado para alojar y compartir información de este parque a nivel mundial. Constantino Casado, consultor de Software Greenhouse, hizo referencia a los errores más comunes en los centros sobredimensionados: “si carecemos de datos para medir los consumos y rendimientos, siempre nos equivocaremos a la hora de dimensionar un nuevo centro de datos, porque puede más el miedo a quedarnos cortos y acabamos haciéndolos el doble de grandes de lo necesario. Sin embargo, introducir desde la primera concepción las herramientas de gestión permitirá en el futuro evitar obsolescencias, tener caídas y ser más competitivos con una gestión más eficiente del cableado o de la capacidad. Puedo tener incidencias, pero no tendré sorpresas. De igual manera, sabré cuándo tendré que hacer cambios, creando un modelo de gestión que en vez del bombero apagafuegos será más bien del piloto que tiene todo controlado”.
Según Friebel, “DatacenterDynamics constituye una network mundial con más de 25.000 profesionales del centro de datos que interactúan y comparten saber en uno de los foros más grandes e influyente en este campo, dando soporte en la toma de decisiones de riesgo en torno a infraestructura y capacidad a los altos cargos de las más significativas organizaciones de Tecnologías de la Información y Comunicación de todo el mundo”.

Seguridad informática, desafío para empresas

La seguridad informática es un punto clave y de constantes desafíos para 58 por ciento de los administradores de Tecnologías de la Información (TI), de acuerdo con un estudio realizado por la compañía desarrolladora de software de gestión de red Paessler. La compañía explica que en el pasado un firewall (sistema diseñado para bloquear un acceso no autorizado) y un antivirus eran suficientes para proteger la red de una empresa pequeña o mediana, pero en la actualidad es necesario un gran número de soluciones interconectadas para contraatacar a todas las amenazas. El gerente de Desarrollo de Canales de Paessler Latam, Carlos Echeverría, afirma: “Muchas tendencias de TI siguen la trayectoria de los fuegos artificiales en las fiestas conmemorativas: un gran barullo, explosión de luces y una vida corta. Definitivamente, la seguridad no es una de esas tendencias”. Afirma que en el monitoreo de la red de TI excluir teléfonos inteligentes, tabletas y computadoras personales no es una práctica sensata en la mayoría de las compañías, pues muchos empleados las utilizan tanto para fines personales como profesionales. El ejecutivo asegura que la seguridad informática requiere una estrategia de seguridad completa que identifique los peligros potenciales, además de realizar las configuraciones adecuadas de las herramientas, como protección preventiva y realizar controles y mapas dentro de una solución universal. Explica que virus y troyanos no son menos peligrosos en la actualidad sólo porque están allí desde el inicio de Internet, sin embargo, los nuevos malware progresan, integrándose a todo el sistema abriendo constantemente "nuevas puertas". Abunda que en el pasado, la simple exclusión de discos privados, CD o USB era suficiente, pero en la actualidad son muchos los aparatos conectados a la red, por ello, la una exclusión general no es ni práctica ni sensata en la mayoría de las compañías. Respecto al Internet de las Cosas, afirma que crea nuevas puertas de entrada, numerosas integraciones de aparatos dentro de la red, que no pertenecen a la TI, por lo que ofrecen un riesgo difícil de mensurar. Asimismo, explica que no son sólo ataques maliciosos los que amenazan los datos, también las fallas o desconfiguraciones de los dispositivos y las aplicaciones pueden causar pérdida de información. "No es sólo cuestión de construir líneas de defensa, sino de configurar un monitoreo y un sistema de aviso previo que vigilen constantemente los componentes críticos y puedan tomar medidas inmediatas frente a un error o, mejor aún, sean capaces de ver las primeras señales", asegura el directivo. Echeverría abunda que no sólo las TI están amenazadas por riesgos sistémicos, toda vez que "dentro de un concepto amplio de seguridad, los desastres físicos como incendios, inundaciones, calentamiento o robos no deben ser menospreciados; el mejor antivirus no puede proteger un data center contra una inundación o una falla del aire acondicionado en la sala de los servidores".

lunes, 11 de abril de 2016

La toma de conciencia, el paso previo a la racionalización de la ciberseguridad

Termina el primer trimestre de 2016 y observo con gran interés cómo prácticamente cada semana alguien realiza un evento de Ciberseguridad o de Seguridad IT. Me anima, pero a la vez me incomoda saber que mientras una gran mayoría de las compañías de nuestro país, sobre todo las llamadas pymes, van a rastras intentando ponerse al día en seguridad perimetral y servicios más o menos activos sobre control de vulnerabilidades (en el mejor de los casos), la industria parece que ya esté a años luz de distancia.
Y es que ya se han quemado suficientes etapas como para hablar de las preocupaciones sobre la “difuminación del perímetro” y sus peligros. El mensaje ahora es “la movilidad y el Cloud hacen necesaria una nueva estrategia de seguridad IT”. Y yo me pregunto si con esta afirmación estamos dando por sentado que las compañías ya han pasado con éxito por la estrategia y las estructuras de seguridad principales. Pues bien, creo que muchas compañías lo que comienzan es a tener la percepción de que existen peligros en los negocios que ahora no se ven y que esa sensación incomoda. Este es un buen inicio, ya que lo primero y más importante al tratar temas de ciberseguridad es que toda empresa debe ser consciente de que los riesgos existen, y por otro lado, que las compañías especializadas en ciberseguridad pongamos encima de la mesa soluciones tangibles y servicios realizables.
Hay que explicar bien a qué aplican los nuevos servicios de seguridad IT en cada compañía (como CASB, Servicios de control de reputación, SandBoxing, WAFaaS, etc...). Y hay que hacer hincapié en identificar los riesgos propios de cada compañía, controlarlos, implantar las medidas y contramedidas necesarias y lo más importante, dar un servicio de ciclo activo. Es necesario concienciar y explicar que la ciberseguridad no se trata de la ejecución de un proyecto, sino de la inclusión de un proceso activo con un ciclo de vida continuo.
Cualquier organización debe preservar su infraestructura crítica, compuesta por los sistemas y activos en general de la compañía (físicos o virtuales) que sean vitales para el negocio, de manera que la destrucción parcial o total de los mismos pueda tener consecuencias negativas en el funcionamiento de la actividad.
foto
En nuestro caso, desde OneseQ creemos que es necesario además construir una estrategia basada en los cinco pilares imprescindibles para cualquier compañía: capacidad de identificar, de proteger, de detectar, de responder y de recuperar.
Una vez estudiados los riesgos donde se muestren los vectores reales de ataque así como los objetivos de los mismos, y estudiada la maduración de los servicios que se tengan implementados, estaremos en condiciones de ser realistas con nosotros mismos y pasar a definir y acometer la estrategia de seguridad IT que el negocio de la compañía requiere para continuar.
Con todo esto claro, no seré yo quien diga que es malo que el mercado vaya mucho más rápido que la propia adopción de la tecnología en las compañías. Lo que sí creo es que hay que ponerle cabeza y argumentos a las mismas para que se apliquen a lo que realmente es importante para cualquier empresa, su negocio, y en este caso a “la seguridad y a la continuidad de su negocio”.
Como compañía de servicios, desde OneseQ (Área de Ciberseguridad de Alhambra-Eidos) estamos encantados de que haya nuevos retos y nuevos objetivos que cubrir, pero la concienciación creemos que debe de ser lo primero, la racionalización lo segundo y ponerse manos a la obra lo tercero, y no por ser lo último lo debemos de postergar, lo que tenemos que hacer es impulsarlo para tenerlo alineado con el negocio de cada compañía y sus riesgos.
Encantado de poder poner un granito de arena en la ‘racionalización de la ciberseguridad’.

7 de cada 10 empresas no protegen sus entornos virtuales como es debido

Según datos de Kaspersky Lab, el 73 % sigue recurriendo a soluciones estándar para mantenerse a salvo aún habiendo desplegado infraestructura virtualizada.
¿Saben las empresa de hoy en día cómo proteger su entornos virtuales y mantenerlos libres de amenazas sin alterar el rendimiento final? Según los resultados de un informe llevado a cabo por la compañía de seguridad Kaspersky Lab, la respuesta es negativa.
Esta compañía dice que 1 de cada 3 empresas desconoce la existencia de productos de seguridad especializados para estos temas. De hecho, sólo el 27 % de las organizaciones estaría aplicando herramientas de seguridad que han sido diseñadas específicamente pensando en la virtualización y de ellas, la mitad optar por soluciones basadas en agente.
En términos generales, esto quiere decir que el 73 % sigue recurriendo a soluciones estándar para mantenerse a salvo aún contando con infraestructura virtualizada entre sus activos. El caso es que dichas soluciones traen aparejadas problemáticas para la calidad del servicio.
“En comparación con la seguridad de punto final tradicional”, destaca Alexander Onishchenko, director de producto de Kaspersky Lan, “la mayoría de los clientes de soluciones especializadas se benefician de un menor consumo de los recursos y un rendimiento mejorado”.
Aunque “ésta no es la única razón” por la que se deberían elegir soluciones específicas para la virtualización. “En grandes instalaciones”, continúa Onishchenko, “la facilidad de gestión que acompaña a un enfoque sin agente es el factor principal, y cuando se trata de proteger entornos VDI, un enfoquelight agent se convierte en la única manera de lograr un alto rendimiento sin comprometer la seguridad”, afirma este profesional.

La nueva era del Data Center: convergencia e hiperconvergencia

Las empresas están abordando su transformación digital para satisfacer las nuevas demandas del mercado y apuestan por las infraestructuras convergentes e hiperconvergentes.
Los nuevos centros de datos definidos por software tienen en las infraestructuras hiperconvergentes su mejor aliado.
Para hablar de estas infraestructuras nuevas Rosalía Arroyo, redactora jefe de ChannelBiz, se ha reunido con dos expertos del mercado, Alejandro Giménez, CTO de EMC; y Javier Fernández de Benito, ingeniero de sistemas de VCE.
La hiperconvergencia es una forma diferente de acceder y usar la infraestructura, donde los componentes que tradicionalmente tienen su función específica en diferentes capas (computación, red y almacenamiento) ahora ya no aparecen físicamente separados sino que están juntos en un único hardware. La separación de las diferentes capas se hace a nivel software, es el software el que determina cómo diferentes nodos van a compartir almacenamiento, creando arrays virtuales, y cómo la virtualización de computación se va a distribuir en esos diferentes nodos. En definitiva, la hiperconvergencia es una forma diferente de utilizar una infraestructura que ya conocemos.
“La palabra clave aquí es software, ya que es lo que va a proporcionar valor, funciones y funcionalidades a unos elementos hardware que son indiferenciados, que crecen por bloques uno encima del otro y que se comporta como un pull de recursos”, explica Alejandro Giménez, CTO de EMC.

Diferencia entre convergencia e hiperconvergencia

En las infraestructuras convergentes, sin perder de vista que la convergencia tiene que significar total integración entre las diferentes capas, estas capas son físicamente diferentes. Hay una cabina específica para el almacenamiento, una para la carga de computación y unos elementos de red diferenciados totalmente.
“Cada una es especializada y de cada una se aprovecha la especialización que puede dar, por ejemplo, la réplica de cabina o las características especiales de unos elementos de red. Por su parte, a nivel técnico, la hiperconvergencia aglutina todas estas funcionalidades en un único tipo de nodosy estos nodos trabajan todos ellos de forma conjunta permitiendo escalar, es decir, que cuando tengamos que crecer añadamos nuevos nodos. Aquí, la compartición de recursos -el convertirse en un pull de recursos de computación, red y almacenamiento- se hace por software”, pone de manifiesto Javier Fernández de Benito, ingeniero de sistemas de VCE.
En la convergencia una cabina puede añadir discos sin que la computación se vea afectada y en la hiperconvergencia cada nodo es íntegro en todos los componentes y estos crecen en paralelo, no necesariamente siempre en los mismos ratios pero sí todos a la vez.
Por otro lado, ambas infraestructuras tienen en común que están orientadas a organizaciones que quieren abandonar la parte más difícil de la integración de pequeños elementos para construir un sistema total y que necesitan una nueva agilidad, velocidad en la construcción de sus infraestructuras. “Para ello optan por comprar algo que está construido, probado y reconocido en el mercado y empaquetarlo conjuntamente”, pone de relieve Giménez.
Cabe preguntarse en qué casos conviene utilizar una u otra infraestructura. El gran elemento común para comprar convergencia e hiperconvergencia es la transformación. “Hay cosas en el data center que están cambiando y las empresas se ven sometidas a una serie de presiones para abordar nuevas aplicaciones de negocio, ahorrar tiempo en integraciones, etc. El caso de uso de una infraestructura convergente o hiperconvergente dependerá del tipo de transformación que se desee abordar”, aclara el directivo de EMC.
“El cliente potencial es aquel que pretende acabar con la ineficiencia de los silos dentro de IT para trabajar de manera coordinada y eficiente y ganar recursos libres para su transformación. En este contexto, no hay una línea divisoria exacta aunque los entornos transaccionales clásicos, como las grandes bases de datos, ERP, etc. suelen ir más alineados a la convergencia debido a esa especialización de cada capa de hardware. Por su parte, las aplicaciones para entornos distribuidos, por ejemplo analytics, de carga redistribuida o a caballo entre uno y otro -como los escritorios virtuales- pueden ir más hacia la hiperconvergencia. También, entornos nuevos que se empiezan a desplegar y que van a tener un crecimiento indeterminado, no sabemos a qué ritmo, pueden ir ligados a la hiperconvergencia. En todo esto interviene la planificación de crecimiento de la empresa y la racionalización de los recursos”, especifica de Benito.

Ventajas económicas y de llegada al mercado

Hay una gran ventaja económica en las infraestructuras convergentes e hiperconvergentes muy clara a la hora de operar en el día a día y en el despliegue de aplicaciones nuevas (generando todo un entorno nuevo donde las empresas no tienen que integrar nada sino que les viene dado).
También hay una gran ventaja organizativa, ya que se pasa de tener departamentos estancos que gestionan el almacenamiento y los procesos, a empezar a considerar todo esto como un servicio, una simplificación de los silos IT”, aclara el CTO de EMC.
Ahora que se habla mucho de cloud, este tiene también grandes ventajas operativas, si no se tiene un hardware alineada con la demanda del software cloud, realmente se pierde gran parte del valor que aporta la nube, con lo cual tanto directa como indirectamente una gran ventaja es la rebaja del coste. Esto permite también llegar antes al mercado. En el caso de la hiperconvergencia se consigue una automatización mayor al estandarizar más”, apunta por su parte el ingeniero de sistemas de VCE.
Además, la respuesta ante a las demandas del mercado pueden ser mucho más rápidas. Los clientes potenciales de ambas infraestructuras son todos, empresas grandes y pequeñas a diferentes escalas. “Se utilizan appliances de convergencia e hiperconvergencia para un único entorno operativo en unaempresa pequeña o mediana e incluso en una oficina remota; hay bloques diferenciados de disaster recovery, etc. para introducir ahí las aplicaciones tradicionales de bancos, grandes telecos y en general grandes corporaciones; y se utilizan racks para crecer prácticamente hasta el infinito”, especifica de Giménez.
“El punto de valor para las empresas pequeñas es que pueden disponer de recursos inmediatos, rápidos y de pago por uso. La infraestructura hiperconvergente también es una ayuda porque minimiza los recursos para ponerla en marcha y es una inversión que tienen en local, con lo cual aquellas empresas que no quieran apostar por el cloud o no vean una seguridad suficientemente buena en la nube pueden tener su infraestructura”, concluye de Benito.
El lanzamiento de la infraestructura hiperconvergente VxRail, nacida de la colaboración entre VCE y EMC, sus capacidades de integración y sus beneficios respecto a otras ofertas del mercado para múltiples clientes completa la mesa redonda.