NorbertoGallego.com :: Análisis de mercados y empresas de tecnología::<? the

5/02/2015

Oracle: algo que decir sobre seguridad

Si algo han demostrado las fugas de datos de 2014 – JP Morgan, Morgan Stanley, Target, Sony, etc – es que los sistemas informáticos de las grandes corporaciones no son seguros. Tarde o temprano serán atacados, avisan las compañías especializadas, cuya mejor arma de marketing es ese temor. Oracle, que a priori no aparece entre los competidores en el mercado de la seguridad, se presenta como tal. Quiere convencer a sus clientes de ´securizar` todo el stack de software y no sólo sus redes. Y que nadie piense que migrando a la nube estará a salvo: «el cloud en sí mismo no es seguro», proclama Mauricio Gumiel, responsable del negocio de seguridad de la filial española de Oracle.

Mauricio Gumiel

El mensaje va dirigido a sus clientes, y también a quienes no lo son. Porque si bien es cierto que el 80% de los productos de seguridad que ofrece Oracle están destinados al entorno definido por su base de datos, no renuncia a mostrar esas capacidades a clientes de IBM, SAP y Microsoft. En rueda de prensa, Gumiel aseguró que la compañía dispone de una gama de soluciones de seguridad relacionadas con las grandes tendencias del momento: cloud, big data, movilidad, internet de las cosas, analítica o las redes sociales. Y que, en consecuencia, espera arañar buena parte de un mercado que, según los estudios de consultoras, supondrá un gasto de 36.000 millones de dólares en 2020, quizá más o quizás antes.

Vale que Oracle no sea líder de mercado en cloud computing, pero esto no le impide aspirar hacer negocio con las nubes de sus competidores. El argumento es directo e inquietante: las nubes híbridas pueden resultar menos seguras desde el punto de vista de la protección de los datos. «El problema reside – explicó Gumiel – en que no se sabe muy bien dónde se guardan los datos, y es de lo más normal que las aplicaciones que usan o generan esa información residan en otra nube o en un sistema on premise […] en el concepto de cloud híbrida no es tan sencillo distinguir dónde empieza y dónde termina la parte pública». Por otro lado, la opción de cloud computing, que a veces es descrita como un modo de acabar con los silos, puede ser la causa no premeditada de creación de otros nuevos.

O sea que las soluciones de seguridad de Oracle aspiran a proteger «todas las nubes», independientemente de su carácter y de su proveedor. Lo fundamental sería la existencia de «una gestión unificada de todas las aplicaciones que residen bajo la cobertura de un servicio cloud: se pueden etiquetar los datos y acceder a distintos niveles según los permisos que correspondan a cada perfil de usuario». La gestión de identidades es una de las claves de esa oferta: «queremos ayudar a que la integración de credenciales sea más fácil y rápida ante las altas, bajas y rotación de empleados, o cambios de rol». Este último es un aspecto que a veces se descuida: un caso típico es el de dos empresas en proceso de fusión, fase en la que empleados de ambas pueden estar accediendo a los sistemas de la otra.

En la visión de Oracle, los tres pilares de la seguridad son la gestión de accesos, los directorios y la gobernanza. En la primera, Access Management 11gR2 integra una oferta cloud iDaaS: un portal da acceso a todas las aplicaciones que el usuario tiene permiso para utilizar, tanto da que sean internas o estén en la nube, y cualquiera sea el terminal que se utilice.

Hay demasiada información circulando por las empresas: bases de datos de recursos humanos, gestión de credenciales de acceso físico a recintos, equipos industriales mal identificados, etcétera, etcétera. Por tanto el reto es unificar las reglas de acceso: uno de los problemas nace del hábito que han creado las redes sociales, en las que el usuario puede personalizar su perfil, algo intolerable en una buena gestión de directorios.

Subrayó Gumiel que el control de identidades también ayuda a evitar el fraude que, más a menudo de lo que se piensa, se origina dentro de la propia empresa. En el sector de retail – puso como ejemplo – el mayor número de robos no se produce en las tiendas, sino en los almacenes: un empleado desleal puede cambiar la configuración del ERP y cometer fraude, directamente para sí o para terceros compinchados.

De lo que no cabe duda es de que la seguridad ha evolucionado: de ser algo en lo que se pensaba después de instalado el software, ha pasado a ser una de las primeras cuestiones que las empresas se plantean antes de comprarlo. Hay una poderosa razón para que así sea: el cambio normativo, que obliga a las empresas a comunicar cuándo han experimentado un incidente o brecha de seguridad, con el agravante de que la cuantía de la sanción será proporcional a la cifra de facturación.

En una referencia explícita al despertar del IoT, el directivo de Oracle señaló que el sabotaje es una tendencia acuciante: «las infraestructuras críticas tienen que ser protegidas, y es necesario tener la certeza de que sólo se conectarán las personas autorizadas. Las cosas pueden conectarse, pero para ello hay que tener instrumentos de auditoría y control de los dispositivos que se conectan a las cosas».

[informe de Arantxa Herranz]