Según los resultados del estudio independiente “Security―An Essential Prerequisite for Success in Virtualisation”, las organizaciones europeas y estadounidenses están poniendo sus infraestructuras virtuales en riesgo debido a la adopción de medidas inadecuadas en materia de gestión de seguridad de los entornos virtualizados.
El estudio, titulado “Security―An Essential Prerequisite for Success in Virtualisation”, recoge las opiniones de 335 directivos de negocio y de TI de 15 países, entre ellos España, y ha sido realizado por KuppingerCole, consultora y analista especializada en seguridad de la información centrada en identidades.
Para comenzar, el estudio desvela que las tecnologías y políticas de seguridad de la virtualización aplicadas actualmente en las organizaciones no están tratando suficientemente los privilegios del hipervisor y la dispersión de los datos. Concretamente, el 81 por ciento de los encuestados considera esta última como una amenaza "muy importante" o "importante", ya que encierra el riesgo de que la información viaje sin control por los entornos virtualizados y pueda terminar en entornos menos seguros. La prevención de fuga de datos (DLP por sus siglas en inglés) mitiga eficazmente este riesgo; sin embargo, sólo el 38 por ciento de las organizaciones encuestadas tiene implementada una solución de prevención de fuga de datos.
Por otra parte, al 73 por ciento de las empresas le preocupan los amplios privilegios de los administradores de los hipervisores, puesto que podrían dar lugar a errores o abusos por parte de esos usuarios privilegiados. Y es que la cuenta de administración del hipervisor tiene amplios privilegios de acceso con muy pocas limitaciones o controles de seguridad. El hipervisor también introduce una capa adicional en los entornos virtualizados creando nuevas superficies de ataque y abriendo la puerta a los abusos de los usuarios con privilegios. A pesar de esto, según el informe, el 49 por ciento de las organizaciones no tiene implementada ni una solución de gestión de usuarios privilegiados, ni de gestión de los registros de seguridad.
El estudio también revela que existen demasiadas actividades de seguridad que siguen dependiendo de procesos manuales que se llevan a cabo sin el apoyo de la tecnología, lo cual pone en riesgo la seguridad de la organización.
Sólo el 65 por ciento de los encuestados asegura que obliga a segregar las funciones para las tareas administrativas en las plataformas virtuales, un requisito esencial para las mejores prácticas de cumplimiento y seguridad. Curiosamente, la muestra revela que más del 40 por ciento de los encuestados no utiliza las herramientas de software necesarias para automatizar determinadas políticas de obligado cumplimiento, como la certificación de acceso, la gestión de usuarios privilegiados o la gestión de los registros. Asimismo, sólo el 42 por ciento de los encuestados realiza certificaciones regulares de acceso para usuarios con privilegios o es capaz de controlar y registrar adecuadamente los accesos privilegiados.
"Estos datos demuestran que las tecnologías de automatización disponibles para mitigar los riesgos que conllevan los privilegios de acceso en los entornos virtualizados aún no están ampliamente implantadas", asegura Shirief Nosseir, Director de Marketing de Producto EMEA, Gestión de la Seguridad, CA Technologies. "Si así fuera, los departamentos de TI podrían controlar los riesgos derivados de la virtualización y, en última instancia, aprovecharían mejor los beneficios de esta tecnología".
Tendencias de la virtualización: la gestión de la seguridad sigue siendo un importante inhibidor
La virtualización todavía no es la base estándar de los entornos de TI en producción para la mayoría de las organizaciones. De hecho, sólo el 34 por ciento de las empresas encuestadas ha implementado la virtualización de servidores en más de la mitad de sus sistemas. Y esta tasa de implantación es aún menor en otros tipos de virtualización. Entre las empresas encuestadas, sólo el 16% ha virtualizado más de la mitad de sus entornos de almacenamiento, un 10% lo ha hecho en más de la mitad de sus aplicaciones y un 8% cuenta con más de la mitad de sus puestos de trabajo virtualizados. Estas cifras, además, ponen de manifiesto la brecha entre las expectativas en torno a la virtualización y su implementación real.
Si bien el principal motor de la virtualización es la mejora de la eficiencia operativa de las TI, citada por el 91 por ciento de los encuestados, la seguridad es también una preocupación importante de cara a su adopción; hasta tal punto que el 39 por ciento de las organizaciones cree que los entornos virtuales son más difíciles de asegurar que los físicos.
¿Qué es lo que frena la implementación de la seguridad en virtualización?
Para el 19 por ciento de las organizaciones, el "principal inhibidor" es la falta de capacidades para implementar seguridad en entornos virtualizados. Sin embargo, si se tienen en cuenta la suma de respuestas de “principal inhibidor” e “inhibidor" para la seguridad de la virtualización, el 55 por ciento de los encuestados cree que los factores más importantes son "el presupuesto y el coste inicial de implantación”, así como "la complejidad de la gestión de la seguridad a través de entornos y plataformas virtuales", citado por el 53 por ciento. Tampoco es ninguna sorpresa que los presupuestos y costes iniciales sean una barrera: la seguridad tiene un precio y, lamentablemente, esto se ignora a menudo al embarcarse en nuevos proyectos.
"Hay dos aspectos clave relacionados con la seguridad de la virtualización y la complejidad", señala Martin Kuppinger, fundador y analista principal de KuppingerCole. "En primer lugar, la gestión de la seguridad en entornos virtualizados es más difícil porque lleva la virtualización a un mayor número de instancias; por ejemplo, a la ubicación de las aplicaciones y los datos que se mueven entre diferentes sistemas host. Y en segundo lugar, es preciso administrar y asegurar diferentes plataformas y entornos de distintos fabricantes”.
Según el estudio, la mayoría de las organizaciones utilizan al menos dos proveedores diferentes de tecnología de virtualización, entre los que destacan VMware, que está implantado en un 83 por ciento de las empresas encuestadas; Citrix, con presencia en un 52 por ciento; y Microsoft (principalmente de Hyper-V), con un 41 por ciento. Además, el 84 por ciento de los participantes afirma que prefiere soluciones integradas para asegurar sin problemas ambos entornos, físicos y virtuales. Sin embargo, sólo el 56 por ciento ha implementado o está en proceso de implementar las mismas soluciones de seguridad para entornos virtuales y físicos.
"Esto pone de relieve la importancia de utilizar estrategias y herramientas que puedan soportar plataformas heterogéneas y permitan la gestión unificada de sistemas virtuales y físicos", añade Nosseir. "La alternativa es una infraestructura fragmentada, en silos, que es más costosa de manejar (debido a la falta de una gestión centralizada), resulta ineficiente (como consecuencia de la falta de automatización) y tiene un nivel de seguridad insuficiente (por la falta de políticas coherentes entre las plataformas)”.
En otro orden de cosas, el informe también revela que la mayoría de las organizaciones no son conscientes de la importancia de integrar la gestión de la seguridad con la gestión de infraestructuras y servicios, de cara a alcanzar los niveles de automatización necesarios en entornos virtuales. Aunque el 39 por ciento de los participantes cree que se necesita más automatización para asegurar los entornos virtuales en comparación con los entornos físicos, la integración entre gestión de la seguridad, de la infraestructura y del servicio se considera un reto menos importante en la seguridad de la virtualización (sólo el 66 por ciento cree que es "muy importante" o "importante").
Aún peor es el estado de la integración entre gestión de la virtualización, la seguridad y el servicio. La mitad de las organizaciones consultadas ha implementado o está implementando la integración entre gestión de cambios y configuraciones y gestión de la seguridad TI. Sin embargo, la tasa de implementación de otros elementos importantes en los tres ámbitos fundamentales (”integración de la seguridad de la virtualización con gestión de incidentes y problemas", "niveles de servicio en la gestión de la seguridad de la virtualización” y “gestión del rendimiento de los servicios de seguridad",) está por debajo del 50 por ciento de forma general. "Esta integración es un reto importante para las infraestructuras de TI ágiles y debe ser uno de los criterios de decisión clave en la elección de los proveedores de TI, tanto en los segmentos de gestión TI como de gestión de la seguridad”, comenta Kuppinger.
Los problemas de seguridad ponen freno a las nubes privadas
También se preguntó a los participantes sobre sus planes para evolucionar desde su entorno virtual a una nube privada. En este caso, los principales inhibidores para avanzar a una estrategia de cloud privada fueron “los aspectos relacionados con las normas de cumplimiento y privacidad en la nube” y “los aspectos relativos a la seguridad cloud”, citadas por cerca del 85 por ciento.
Entre tanto, y mientras el 38 por ciento de los consultados espera resolver los problemas de seguridad para finales de 2011, sólo el 30 por ciento cree que sucederá lo mismo con las cuestiones de privacidad y cumplimiento, lo que también significa que los usuarios piensan que ambos factores podrían retrasar la evolución de las TI hacia el cloud computing. En un tono más positivo, el estudio muestra la concienciación en la organización de que la seguridad, y en particular la gestión de identidades y accesos, así como la gobernanza, riesgo y cumplimiento, son requisitos previos para una exitosa estrategia de cloud computing.
"A pesar del rápido crecimiento de la virtualización de servidores, muchas organizaciones aún tienen mucho camino por recorrer antes de llegar al nivel de madurez y automatización necesarios para cosechar los verdaderos beneficios de la virtualización", concluye Nosseir. "Esta encuesta pone de relieve la necesidad de un enfoque unificado para hacer frente a los silos actuales de las TI y a la gestión de la seguridad, así como para ayudar a simplificar la complejidad de los entornos virtuales. Sin esta integración, las organizaciones tendrán dificultades para automatizar sus procesos y cosechar los frutos reales de la virtualización. Por otra parte, dicha integración se hace esencial cuando se pasa a centros de datos habilitados en cloud computing porque el foco se desplaza a la prestación y consumo de servicios de TI y seguridad”.
"Este estudio prueba que la seguridad es un factor clave en el éxito de la virtualización", finaliza Kuppinger. "Las organizaciones que están pasando a un modelo TI virtualizado o cloud necesitarán invertir en una estrategia de seguridad, en organización, capacitación y tecnología. Deberán optar por fabricantes que ofrezcan una perfecta integración entre la gestión de la seguridad y del servicio, además de herramientas que soporten mejor los entornos heterogéneos, tanto virtualizados como físicos”.
Para descargar una copia del informe de la encuesta y otros recursos, por favor visite www.ca.com/gb/mediaresourcecentre
Sobre el estudio
El informe "Security― An Essential Prerequisite for Success in Virtualisation” se ha elaborado a partir de una encuesta realizada durante los meses de septiembre y octubre de 2010 a directores de TI, directores de seguridad TI y otros responsables de TI de los siguientes 15 países: Alemania, Bélgica, Dinamarca, España, Estados Unidos, Finlandia, Francia, Holanda, Italia, Luxemburgo, Noruega, Portugal, Reino Unido, Suecia y Suiza. Las empresas consultadas pertenecen a los siguientes sectores: Servicios Financieros y Seguros, Telecomunicaciones y Medios de Comunicación, Sector Público, Industria, Farmacia y Servicios Públicos, entre otros.
Acerca de CA Technologies
CA Technologies (NASDAQ: CA) es una compañía de software y soluciones de gestión TI con experiencia en todos los entornos TI, desde mainframe y sistemas distribuidos a virtuales y cloud. CA Technologies gestiona y asegura los entornos TI y permite a los clientes prestar unos servicios TI más flexibles. Los innovadores productos y servicios de CA Technologies aportan la información y el control vitales para que los departamentos de TI puedan impulsar la agilidad del negocio. La mayoría de las organizaciones de la lista Global Fortune 500 confían en CA Technologies para gestionar sus ecosistemas TI en constante evolución. Para más información, visite CA Technologies en www.ca.com.