Herramientas utilitarias para evaluar la renovación de dispositivos electrónicos

En la actualidad, la administración del ciclo de vida de los equipos electrónicos forma parte de los programas de gestión de los centros de datos, y la acción es reconocida como una mejor práctica (Green It).

Existen diferentes organizaciones y estándares que proveen guías sobre como implementar un programa de gestión de la vida útil. Entre estas figuran ITIL (Biblioteca de Infraestructura de Tecnologías de la Información) y PMI (Project Management Institute).

Según  los expertos de  APC by Schneider Electric uno de los factores críticos  para  lograr el éxito, es el inicio temprano de la gestión del data center con una estrategia de mejora continua que permita prever los ciclos de renovación de los equipos.

¿Cómo las empresas e instituciones pueden hacer cálculos y proyecciones sobre la renovación de equipos? Existen diversas herramientas así como las empresas que las ofrecen.images[8] (2) (1)

Enl caso de APC by Schneider Electric cuenta con un portafolio de productos, servicios que permite ayudar a sus clientes en esa tarea. La empresa cuenta con un programa de educación donde se cubre el tema específico de la gestión del centro de datos,  y cuenta con un portafolio de software para realizarla de forma ordenada como gestión del cambio de capacidad, gestión para cambiar, gestión de incidentes, gestión de configuración, entre otros aspectos.

Similares servicios también ofrecen empresas como HP, Cisco y Dell, entre otras. La oferta es variada y acorde las necesidades de las áreas que desean renovar las organizaciones.

Lexmark ofrece un estudio de impresión llamado Discovery para ayudar a sus clientes a conocer  el entorno en que imprime  y le presenta alternativas concretas para mejorar el flujo de trabajo y reducir los costos asociados a esta actividad.

Con el Discovery se determina el número de dispositivos de impresión, la ubicación física, los volúmenes de los impresos, los procesos claves que utilizan o generan papel impreso, la distribución demográfica, los costos reales de impresión y los costos actuales de los procesos.

Una vez analizada  su situación la compañía fabricante de impresoras le entrega las recomendaciones sobre la distribución óptima de dispositivos, las cargas de trabajo de forma balanceada, la reducción de los costos; así como los estudios de resultados de las  mejoras de calidad y la productividad en la organización.

Advertisements

Renovar parque informático protege ambiente y bolsillo

La renovación del equipo informático para la percepción de la mayoría de organizaciones representa un gasto, por eso una de “las estrategias” es ampliar su periodo de uso para disminuir costos.  Sin embargo, a la larga esta decisión puede significar mayores gastos.

Los nuevos equipos electrónicos poseen características más amigables con el medio ambiente como menor consumo de energía eléctrica.

Diversos estudios de fabricantes así como de organizaciones  relacionadas con servicios  de IT, destacan que  los equipos de informática  deberían de tener un periodo de uso no mayor a los cinco años,  incluso menos en el caso de las computadoras.

La Asociación Centroamericana para la Economía, la Salud y el Ambiente (ACEPESA) destaca que la fundación Computer Hope, publicó una guía en internet para identificar si una computadora está obsoleta o no.

Aunque depende del uso al que se someta,  Computer Hope recomienda cambiarla por lo menos cada 4 años. Entre los parámetros a considerar para conocer si es tiempo de renovarla figuran los siguientes:  verificar si ciclo de utilidad supera los cuatro años, observar si requiere cambio de alguna parte del hardware como quemador, lector de dvd, disco duro, entre otros.

También se menciona evaluar si el ordenador realiza los procesos de forma lenta, ya no trabaja con un software nuevo y si los requerimientos de un programa que desea instalar están muy cercanos a los límites máximos que puede rendir la computadora, o uno nuevo ha afectado el desempeño del equipo.

La reducción de consumo de energía eléctrica es uno de los  factores más señalados y estudiados en la tarea de proteger el medio ambiente y los recursos naturales. En el  estudio del Banco Mundial denominado “Desarrollo con Menos Carbono Respuestas Latinoamericanas al Desafío del Cambio Climático” se destaca la importancia que implica para la protección del medio ambiente mejorar la eficiencia energética porlado de la demanda al promover equipos eléctricos y electrodomésticos más eficientes.

Sobre otros beneficios que se obtienen por actualizar equipo, laconsultora estadounidense de servicios en IT, Wipro, en uno de sus estudios publicados en 2010 detallaba que las empresas ahorran más adquiriendo nuevos productos que invirtiendo en las reparaciones y el mantenimiento en dispositivos electrónicos que superan los tres años de uso.

Otro de los inconvenientes, según los expertos, son la disminución de productividad en el personal que utiliza los equipos debido a los fallos, la lentitud en los procesos, así como un mayor consumo de energía.

Encryptación de los datos en la nube

Mucho se ha hablado y escrito sobre la encriptación pero para aquellos que no son especializados en informática, el concepto sobre lo que significa el término se puede resumir de la siguiente forma:  es un mecanismo que protege la información de una empresa o institución  para evitar que sea interceptada por personas ajenas a las organizaciones.

Humberto Añez, director para Centro y América Latina de Certes Networks, afirma que la encriptación  funciona utilizando un algoritmo  y una llave, para convertir datos legibles de texto plano o claro a una forma que otros no puedan entender.

“Con el crecimiento de las redes multipunto, existe la necesidad de resguardar estos datos que se mueven entre los distintos puntos de una red”, añade el especialista en redes.

Menciona como ejemplo, las transacciones en línea de un banco, donde se corre el riesgo del acceso o modificación de datos por personas no autorizadas.

El especialista menciona un banco con 200 sucursales y 300 cajeros automáticos, que  generan  una cantidad importante de transacciones, las cuales generalmente se transmiten en tiempo real a un centro de datos,  y que son redundante, es decir que en cualquier momento dado este banco tiene 1.000 conexiones simultaneas pasando datos de las transacciones que ocurren cada segundo en sus sistema entre todos estos puntos.

El transmitir estos datos sin un método de cifrado los expone a que otros lo puedan ver  como un operador de la empresa telefónica, un hacker o un técnico de una empresa contratista.

El director para Centro y América Latina de Certes Networks menciona que la mayoría de los países tienen regulaciones que obligan a las instituciones financieras a aplicar cifrado a estos canales de transmisión,  pero el cifrado no solo se aplica para la industria bancaria ya que también es importante en cualquier otro rubro.

Le preguntamos al experto en seguridad de redes cómo las empresas y los organismos públicos pueden asegurar los datos que se transmiten entre los nodos  de las empresas ya sea en la nube pública o privada, data centers o sede corporativas.

Añez menciona que con las tendencias actuales como la adopción de la nube que lleva a las empresas a utilizar infraestructura de informática de terceros.

Según Añez,  la pregunta que podría  hacerse un usuario, empresa u organismo es: ¿Qué es la Nube? El experto detalla que “la nube viene en varios sabores” por ejemplo una empresa con un data center propio puede decir que esa es su nube en ella tienen sus servidores, aplicaciones y servicios que es como si fuese una casa privada, la seguridad usualmente es perimetral2.

La segunda opción que menciona de la nube es cuando se utilizan servicios como Amazon u otro proveedor,  donde se alquilan espacios y recursos de infraestructura virtual.

El usuario puede alquilar disco duro, capacidad de proceso, memoria, ancho de banda pero todo es compartido con otros clientes del proveedor contratado, pero se debe considerar que en estos casos se  deja la seguridad en manos del proveedor, por lo cual el  control de quién ve y dónde está información queda en manos de terceros y el control de la seguridad de los datos se hace de forma indirecta.

La tercera opción de la nube es que las organizaciones pueden comprar sus propios equipos, y alquilar un espacio físico de un data center. En estos casos también el espacio es compartido con otras empresas.

Según el director para Centro y América Latina de Certes Networks para todas estas opciones en la nube la respuesta es que hay que aplicar seguridad a todas y en particular en unas es más necesaria incrementarla más que en otras.

Añezz menciona que muchas Pymes se decantarán hacia el uso de los dos últimos modelos por ahorro en el capex o por querer un OPEX.

“Estás empresas requerirán mecanismos y soluciones para asegurar sus datos al almacenarlos o transmitirlos desde y hacia dicha infraestructura.

El experto detalla que Certes Networks tiene soluciones de cifrado para asegurar esta infraestructura virtual,  servidores y datos que las empresas y los organismos están moviendo a la nube.

Un dispositivo virtual que permite a las organizaciones encriptar el tráfico a la nube y los datos que se mueven dentro de la infraestructura virtual que alquila o arriendan los proveedores de la nube.

El “virtual Certes Enforcement Point” (vCEP) de Certes Networks es una de las soluciones para este problema, porque permite cifrar los datos de un nodo a otro, de un host virtual a otro, de un grupo de servidores virtuales a otro ya sea en el mismo clúster o en otro.

El vCEP es un dispositivo virtual que corre bajo VMware ESX / ESXi que permite ejecutar y comunicar cargas de trabajo sensibles de forma segura en las redes no confiables, gracias a ello  las organizaciones propietarias de los datos pueda controlar las claves/llaves de cifrado sin la necesidad de compartirlas con el proveedor de la infraestructura.

Centros de datos de Google y Facebook buscan ahorro de energía

Los estudios detallan que los sistemas de IT, en especial los datacenter, son los responsables del 2% del consumo energético. Según investigaciones de entre los inquilinos de los centros de datos se tiene puesta la mira en los servidores, como lo mayores comilones de megavatios aunque impresoras, ups, computadoras, plantas eléctricas, aires acondicionado y otros dispositivos ponen su cuota.

En 1996, el consumo de energía de los servidores representaba un gasto de alrededor de 100.000 millones de dólares, estas cifras conforme han pasado los años se han incrementado, y  para 2011 la factura eléctrica alcanza los 250.000 millones de dólares.

Las cifras detallan que en 1996 la cantidad de servidores era inferior a los 5 millones. Ahora, en 2011 se aproximan a los 40 millones, una situación que ha puesto a pensar sobre el suministro de energía para mantenerlos en funcionamiento, y las nuevas instalaciones que los albergan.

Las empresas que se adelantan a las predicciones futuras buscan implementar estrategias y mecanismos que les permitan optimizar el consumo de energía eléctrica. Ejemplos los hay en el primer mundo,  algunas han acaparado titulares de prensa como los gigantes Google y Facebook con los proyectos desarrollados en Green IT.

En el caso de la empresa dueña del buscador más famoso del planeta, desde hace 10 años implementa políticas de reducción de consumo energético en su centro de datos, en particular con sus servidores, presume de ser uno de los mejores en sustentabilidad porque la ingesta de energía es cinco veces menor en comparación de los data center tradicionales. Google incluso tiene sus sedes cerca de centrales hidráulicas para aprovechar mejor los recursos.

Facebook la red social más importante del planeta también se ufana ante sus usuarios y el mundo entero que sus centros de datos tienen un ahorro de electricidad no menor a un 80% por ciento, gracias a que tienen un software que monitoriza el consumo de sus servidores y administra su encendido y apagado de forma automática, según lo requieran las circunstancias.

En esa búsqueda de ahorro en el consumo de energía, Facebook anunció el pasado octubre que construirá su centro de información en Lulea, Suecia,  por su clima frío que ayudará a mantener la temperatura de sus servidores y porque tiene acceso a centrales hidroeléctricas. Esta nueva sede de la red social consistirá de tres edificios en un espacio que medirá los 28,000 metros cuadrados que será inaugurada en el año 2014.

Los proveedores de productos y servicios del mundo IT, ni lentos ni perezosos han venido trabajando en productos y servicios tecnológicos para suplir y orientar a las  organizaciones en su necesidad y afán de reducir consumo de energía y, por ende, ahorrar costos.

Empleados son la principal amenaza para la seguridad de las empresas

Los empleados considerados “el activo más importante” para las empresas son también la principal amenaza para el resguardo de sus datos, según diversos estudios de Trend Micro, TerreMark, Imperva, McAfee y Symantec, entre otros.

Las investigaciones han determinado que entre un 50% y 60% por ciento de los ataques sufridos por una organización, donde hubo incluso fuga de información confidencial, fueron causados por un mal proceder de los usuarios que tienen privilegios para el acceso de la información.2008070322empleados

En algunos de estos ataques los empleados crearon una brecha de seguridad de forma accidental y en otros lo hicieron con el propósito de dañar la empresa.

Adriana García, directora regional de ventas para México y Centroamérica de Imperva, detalla que es importante que las empresas identifiquen qué es lo más sensible de la información, y con base a esos datos auditen y protejan.

“Las empresas pocas veces consideran situaciones que los hacker o los empleados pueden realizar, porque solo se interesan en proteger el área perimetral pero no consideran mantener una protección activa constante”, asevera García.

García menciona que en las empresas es común la fuga de información ya sea de forma maliciosa o no maliciosa, en la primera el empleado vende la información y en la segunda es cuando los colaboradores se van de la organización y se llevan datos importantes.

Carlos Rivera, director de ingeniería de seguridad de Terremark, afirma que muchas veces el empleado que no está contento con la empresa sustrae información confidencial y la vende. Ya sea porque considera que no tiene un salario que se merece o porque le despidieron.

Una brecha de seguridad

Los estudios también han revelado que el 50% de los empleados tienen más información de la empresa de la que necesita en su laptop y sus dispositivos móviles.

Los expertos mencionan que es común que los empleados pierdan ordenadores portátiles, celulares, USB y tabletas. Incluso se da el caso que los roban estos dispositivos de manera que también se roban información de la compañía.

Situaciones por lo cual lo ideal, según García y Rivera, es que las organizaciones deben de implementar políticas de encriptación interna para sus datos y para los dispositivos móviles de forma que si son robados la compañía pueda bloquear el acceso a esa información.

Los expertos de Terremark e Imperva aconsejan que las entidades privadas y gubernamentales hagan auditorías en las empresas, tengan políticas de privacidad, resguardo de datos y de uso de tecnologías en el ambiente corporativo.

Otro dolor de cabeza para los encargados de seguridad de la información, es el peligro que representa el uso de las redes sociales y herramientas Web 2.0 al interior de las compañías, porque han venido a propiciar que el empleado también se convierta en una amenaza para la seguridad de los datos de las empresas.

Para Rivera la mayoría de ellos tiene cero cultura de seguridad de la información, lo cual propicia que los hacker aprovechen para crear ataques por medio de la llamada ingeniería social.

Rivera es de la idea que las empresas restrinjan o prohíban el uso de las redes sociales y herramientas Web 2.0 en las jornadas de trabajo, porque son un riesgo para la seguridad e incluso afecta la productividad de la empresa.

“En promedio una persona dedica de tres a cinco horas las redes sociales por día cuando tienen acceso desde su empresa, y cuando han bloqueado su uso se ha visto que la productividad se ha incrementado hasta en un 50 por ciento”, afirma Rivera.

El director de ingeniería seguridad de Terremark añade que se ha utilizado Facebook como un medio para obtener información y hacer que ingresen malware al interior de las empresas.

El Informe Global sobre Fraude de Kroll 2011 reveló que la mitad de las compañías tienen vulnerabilidades para propiciar el robo de datos corporativos.El estudio detalla que  son los ejecutivos de alto nivel los autores del 29% de los robos y  8% de los ejecutivos menores.

4ª entrega del año del hacker: redes sociales fueron un anzuelo

El Gerente Regional de Centro America-Caribe-Colombia y Especialista en Virtualización de Trend Micro, Ruddy Simons-LLauger,menciona que una de las lecciones que debemos aprender de los ataques de 2011 es que aunque las empresas  trabajaron en proteger a sus activos digitales como software y hardware con diversas herramientas y mecanismos entre los figuraban potentes Firewalls y DMZ su seguridad fue traspasada.

Los hacker traspasaron los muros de seguridad de las organizaciones con métodos pocos convencionales. ( Foto cortesía de Trend Micro).

Entre los tipos de ataques  sufridos por las empresas figuran DDoS, inyección SQL, red de bots, spear phising, generación de algoritmo de los MS Points y técnicas de ingeniería social, entre otros.

Según Simons las empresas se han protegido “bien” contra los piratas informáticos tradicionales y  contra los ataques desde el exterior, pero lo que no consideraron es lo siguiente: ¿qué pasa si alguien obtiene acceso a recursos dentro de la organización y usa al servidor o la red de desktop interna para enviar información afuera a través de HTTP cifrado para no ser detectado?

Para muestra está lo sucedido en el ataque a la red de Play Station de Sony, donde un servidor estaba comprometido para tomar esta información y enviarla. Luego el ataque se perpetró desde un servidor alquilado en Amazon.

En los otros casos de ataques durante el año pasado, algunos  usuarios de forma inocente hicieron un clic en un archivo adjunto de algún correo electrónico con lo cual le abrieron las puertas a los atacantes.

Un riesgo que se ha vuelto más latente con el uso de las redes sociales, ¿la razón?  a los atacantes les es fácil identificar a las víctimas que ocupan puestos claves en las empresas, así que les envian un mensaje, un archivo adjunto malicioso o enlace malicioso.

Evaluaciones de Trend Micro han encontrado que más de 90% de las redes de las empresas contienen malware malicioso que está activo. Por lo cual el especialista recomienda evaluar cuáles son las políticas corporativas en relación a la seguridad y educar a los miembros de la empresa con respecto a la protección de datos para minimizar los riesgo.

Por ejemplo estudiar el uso de las redes sociales debido a que los usuarios comparten demasiada información por medio de ellas, lo que cual propicia ataques de “ingeniería social”, ¿cuál es la razón de uso? determinar qué informaciónla empresa compartirá,  evaluar si  alguna vez se ha llevado al interior de las organización una campaña social de sensibilización acerca de las amenazas para educar al personal acerca de los efectos negativos de revelar información o acerca de la comprobación via clip de facebook.

De acuerdo a Simons,  se debe reconsiderar y evaluar el modelo de seguridad, porque los  casos demuestran que el pensamiento tradicional de protección con un perímetro de defensa ya no funciona más.

1ª entrega del año del hacker: saltaron los muros de seguridad

Los hackers traspasaron en 2011 las fronteras de seguridad informática de prestigiosas empresas e instituciones de Gobierno que pregonaban con orgullo sus sistemas que en teoría eran impenetrables y difíciles de burlar. Sin embargo, la realidad mostró una rostro diferente, hasta noviembre se habían perpetrado 67 ataques.

Una vez los hacker adentro de los sitios Web y redes han hecho los que les plació. S in embargo, aún con las puertas abiertas los ataques  hubieran sido de mayores proporciones y heredado múltiples dolores de cabeza a las organizaciones si los hackers si lo hubieran propuesto.

Los representantes de las empresas han tenido que agachar la cabeza y aceptar las fallas en sus sistemas de seguridad, en el grupo de organizaciones que fueron violados sus sistemas de seguridad han desfilado de todos los tipos y rubros.

Las hay desde las famosas por el entretenimiento como Sony hasta las que en teoría tendrían los estándares de seguridad más altos como el Pentágono, la CIA, el Ministerio de Defensa de Estados Unidos y la firma de seguridad Black & Berg Cybersecurity Consulting, incluso este último  había dispuesto un premio de 10 mil dólares a quién lograra atacar su “infranqueable” Web.

Según la ingeniera Rosario Ortiz, profesora de la cátedra de Seguridad Informática de la Universidad de El Salvador, aún con las medidas implementadas para resguardar los datos el error ha estado en violaciones a la seguridad perimetral y en menor medida la seguridad lógica y la seguridad física.

En los ataques se han utilizado técnicas sofisticadas que jamás, por lo visto, pasaron por la cabeza de los encargados de la seguridad de la información de las organizaciones. Por ejemplo,  para el ataque a la red de Play Station de Sony alquilaron servicios en la nube desde Amazon. Un servidor estaba comprometido para tomar esta información y enviarla.

Entre los tipos de ataques  sufridos por las empresas e instituciones de Gobierno figuran DDoS, inyección SQL, red de bots, spear phising, generación de algoritmo de los MS Points y técnicas de ingeniería social, entre otros.