El discurso del miedo forma parte de la ambientación de toda conferencia sobre seguridad, esto va de suyo. La que cada año convoca RSA en San Francisco no ha sido una excepción en 2011: el neologismo ciberguerra elevó el tono épico de unas sesiones por otra parte previsibles. El asunto que más interesaba a las empresas presentes era otro, el impacto de la seguridad sobre la adopción del cloud computing y la virtualización (y viceversa), aderezado con advertencias sobre movilidad y redes sociales. De todo ello se desprende que la industria de la seguridad es el segmento más seguro (es decir, menos incierto) de la industria de tecnologías de la información.
El especialista en criptografía Bruce Schneier puso el dedo en la llaga con esta afirmación durante un panel: “guerra es una palabra sexy, que se emplea con frecuencia para conseguir financiación gubernamental para proyectos que no siempre son de interés público”. Silencio embarazoso. Enrique Salem, CEO de Symantec, puso fecha a esa fuente de preocupación: 13 de julio de 2010, el día en el que se publicaron las noticias sobre Stuxnet, malware de origen desconocido (?) que dañó parcialmente la industria nuclear iraní. “Stuxnet – dijo Salem – movió el juego, del espionaje al sabotaje, y ahora sabemos que una destrucción física puede nacer de una amenaza lógica”.
Salem enunció otros riesgos al alcance de la audiencia: un mundo en el que entre el 60 y el 70% de todos los servidores estarán virtualizados en 2015; un mundo que escapa al control de los responsables de TI, cuyas reglas habituales no sirven porque muchos empleados introducen tecnologías incontroladas en su lugar de trabajo; un mundo – añadió – en el que las redes sociales ya superan al email (que se creía controlable) en el uso del tiempo y en el volumen de datos.
Como es costumbre, la RSA Conference ha sido un escaparate para presentar productos y soluciones. Los sistemas basados en el análisis de firmas, hasta ahora el procedimiento más habitual, son cuestionados por muchos especialistas, y el cambio de perímetro de defensa se postula como respuesta a la movilidad: todos los proveedores de productos antimalware convencionales (Windows y Mac), ya tienen o tendrán pronto en cartera variantes para iOS, Android, Symbian y Blackberry).
En otro plano, IBM presentó un appliance de alta capacidad destinado a prevenir intrusiones en las nubes privadas. Symantec enfatizó su tecnología cloud basada en su reputación, que podría reducir en hasta un 70% los procesos de escaneado antivirus.
Una presentación interesante estuvo a cargo de Bill Veghte, VP y máximo responsable de software de HP, que ha entrado en el negocio de la seguridad con una jugada a lo grande, desde que en 2010 adquirió tres compañías especializadas: ArcSight, Fortify y TippingPoint (en el paquete de 3Com). Según Veghte, la tarea de cohesionarlas está casi acabada, y la empresa en condiciones de ofrecer “una visión holística de la seguridad”. Tras enhebrar referencias a la movilidad, la virtualización y el cloud computing, Veghte introdujo un factor a su juicio decisivo: el enorme esfuerzo de renovación de las aplicaciones corporativas. “Hasta ahora, abordábamos la seguridad capa por capa: una herramienta para el acceso a la Web, otra para networking, otra para el email… pero seguimos haciéndonos la misma pregunta: ¿estamos seguros?
RSA, división de seguridad de EMC, esbozó su propuesta de servicios que pretenden cambiar la percepción desconfiada de las empresas hacia el cloud computing. Etiquetados como Cloud Trust Authority, esos servicios – basados en la colaboración con VMware – proponen, entre otras cosas, minimizar los quebraderos de cabeza de la gestión de contraseñas y permisos de acceso a las funciones virtualizadas. Art Coviello, presidente de RSA, explicó que la aparición del cloud computing “ha creado un interesante paradigma para la seguridad: la infraestructura física se disuelve y las identidades proliferan […] pero la virtualización puede crear un nuevo nivel de control que no puede encontrarse en los entornos físicos”. Su colega de VMware – también propiedad de EMC – Richard McAniff, apostilló que “históricamente, los sistemas de seguridad se han pensado con la noción de infraestructuras estáticas y aplicaciones montadas sobre ellas, pero la virtualización ha cambiado esa forma de ver las cosas”.
[basado en un informe de Mario Kotler desde San Francisco]