Martes, Mayo 22, 2012
AddThis Social Bookmark Button
CXO Community
Boletines CXO Community

Entrevista a Jorge Steinfeld - VP IT en Check Point

PDFImprimirE-mail

Escrito por Oscar Andres Schmitz Miércoles, 14 de Septiembre de 2011 09:28

Multimedia - Management

Usar puntuación: / 15
MaloBueno 
AddThis Social Bookmark Button

Jorge SteinfeldDurante su visita en Buenos Aires el 12 y 13 de Septiembre, luego de dos presentaciones exclusivas a CIOs y CSOs destacados de la industria, tuvimos la oportunidad de realizar una entrevista exclusiva a Jorge Steinfeld, VP Information Technology en Check Point.

Siendo el CIO de una empresa de primera línea en materia de seguridad de la información, destacamos prácticas que pudieran ser compartidas por los CIOs y CSOs de las empresas locales con el fin de comparar, mejorar y plantear nuevas soluciones a las actividades que internamente desarrollamos en gestión, tecnología y seguridad informática.

"La seguridad debe ser tratada como un proceso de negocios", inició Jorge en su entrevista. El 3D Security aplicado a People, Enforcement y Policy. ¿Cómo las metodologías internacionales ayudan pero en realidad abruman por la cantidad informativa existente? ¿Cómo lograr el desafío del entendimiento del equipo de IT y de los usuarios al respecto? ¿La empresa sin fronteras que desafíos ha planteado y como se ha reestructurado la seguridad aplicada a ello? ¿Y el Cloud Computing? Reaprender lo aprendido, y un nuevo punto de partida en el Total Security...

Transcripción de la entrevista realizada: 

Oscar Schmitz.- Siendo desde el punto de vista empresarial, Check Point es una empresa dentro de las empresas de tecnología. Jorge Steinfeld mostró las vivencias de un CIO como las vive cualquier otro gerente de sistemas. Pero Jorge tuvo en su presentación un ordenamiento que a los participantes les interesó. ¿Por qué no nos cuentas sobre la trilogía de uso de People, Enforcement & Policy?

Jorge Steinfeld.- Estoy de acuerdo con lo que dijiste sobre los desafíos que tenemos desde CheckPoint, para manejar la seguridad, creo que son similares o muy parecidos a los desafíos que tienen cualquier empresa, no creo que sean tan diferentes los problemas y soluciones que podemos tener. El acercamiento que tenemos en CheckPoint, y CheckPoint mismo como productora de productos de seguridad, no es solamente tecnología. Seguridad debe ser tratada como un proceso de negocios, en el cual involucra: la gente, los usuarios, políticas de seguridad, la habilidad de controlar, hay proceso de incidentes, como manejar vulnerabilidades, auditorías, como cambiar las reglas del perímetro-firewall, procesos de decisiones, de excepciones. Te darás cuenta que no estamos hablando solo de tecnología, sino de procesos de cómo manejar los tres componentes juntos, y hay que ver la seguridad como un proceso y no como una tecnología que sea hábil o no a las necesidades. Me parece que ese es el camino, eso es lo correcto.

Oscar.- Cada vez que el gerente de sistemas aborda un tema de seguridad, mira hacia atrás biblias y conjunto de papeles, estándares y metodologías, ISOs, ITIL, etc. Pero en tu presentación, has transformado esto en algo más simple. ¿Cómo has logrado este desafío de volver lo complejo en algo simple entendible por todos?

Jorge.- Esto es un desafío constante. En el cual incluso gente de mi departamento está tratando de introducir nuevos procesos, y cuando uno escribe procesos o define nuevos procesos, de cualquier tema, por ejemplo como tratar un incidente, yo veo que han escrito uno proceso que lleva 3, 4 o 5 hojas. Lo han copiado o se han basado en la ISO 27001, PCI u otro, los cuales son muy detallados, muy bien hechos, que tienen todo esa cantidad de detalles necesarios. Cuando lo comparo con lo desarrollado por otras empresas y colegas certificados, que han pasado dichas certificaciones, los propios administradores de seguridad me indican que no la han podido concientizar. Como los documentos son tan grandes y tan detallados, que al final terminan siendo un contrato que la gente no los lee, no lo administra, no lo concientiza. Y en este desafío, yo le pido a toda mi gente que trate de simplificar todos estos papeles, todas estas políticas de seguridad, y hacerlas simples. No es un proceso fácil. La interacción conlleva a recibir un documento de 4 hojas, donde reclamo reducirla a una sola. Recibo 3 hojas, y repito este pedido hasta llegar destacar los temas más importantes que deben quedar. En mi opinión la simplicidad da la oportunidad al usuario a que sea concientizado y que entienda. O sea que hay que dar prioridad a explicar las cosas que son relevantes, sacar las cosas que no son relevantes, y dejarlo simple para que la gente se concientice . La simplicidad es la clave para lograr el éxito en estos casos. No creo que el otro método funcione bien, cuando todas las empresas tienen esas políticas en los cajones que no las usan. Es un desafío constante que alguien del departamento de seguridad debe llevar bajo esta filosofía a tal extremo de llevarla a la simplicidad para hacerla más práctica.

Oscar.- En esta era, que el cloud computing está en boca de todos, donde la empresa sin fronteras es el arma de productividad en las empresas, me gustaría que destaques las herramientas que has usado de CheckPoint (productos) dentro de ChekPoint (empresa) para posibilitar que los empleados puedan acceder en tiempo y forma, brindar la protección de sus documentos, acceso remoto a la información. ¿Cómo lograste que los usuarios dejando la frontera física de la empresa, pudieran acceder y pudieran trabajar normalmente? Haciendo hincapié en dos herramientas como son los dispositivos móviles y las tabletas.

Jorge.- El cloud computing en general es un concepto muy amplio. Cuando se habla de cloud computing se habla de una cantidad de cosas. Hay empresas que han decidido manejar parte de sus aplicaciones desde el cloud, otras empresas ofrecen sus aplicaciones en el cloud. Las empresas deberían saber cuales son sus datos más sensibles y como manejarlos internamente o bien ponerlos en algo externo. No siempre las empresas saben cual es el nivel de seguridad de los datos aplicado en otro centro de cómputos fuera de la empresa. Una de las cosas que nosotros tratamos de utilizar es de llevar una política coherente y consistente con el acceso remoto, si es en el cloud computing o si es hacia nosotros. Por ejemplo, dos factores de autenticación, vendría a ser lo mínimo que nosotros requerimos para acceder remotamente hacia CheckPoint. Y cuando nosotros decidimos tomar alguna aplicación en cloud computing, la forma de implementarlo en CheckPoint es solamente si podemos tener el mínimo estándar de dos factores de autenticación. No queremos que porque se usa una aplicación externa no deba ser menos segura por lo menos desde el acceso remoto.
Preguntaste también, que otras soluciones tenemos para los usuarios remotos. Una es la típica solución o más tradicional, donde cada uno tiene su laptop donde tiene todo ChecPoint EndPoint Security, donde lo más importante es tener su VPN y Full Disk Encryption, además de los típicos antimalware y program control. Esto no abarca toda la realidad, hay otros requerimientos de usuarios para accesos remotos. Tenemos soluciones como Mobile Access Blade, que permite a los usuarios entrar desde cualquier tipo de computadoras y acceder a ciertas aplicaciones de CheckPoint. Tenemos una solución que vendría a ser un túnel SSL VPN en el cual el usuario puede trabajar en un entorno completamente aislado y seguro, sin dejar ningún rastro en la computadora desde la cual trabaja, sin poder guardar nada en esa computadora. En el caso que el usuario necesite también trabajar con algún tipo de archivo y guardarlo, tenemos una solución que se llamaba ABRA, ahora llamada CheckPoint GO que es una solución USB que permite conectarse por un túnel SSL VPN, completamente cifrado pero si necesita guardar un archivo para llevarlo de un lado a otro inmediatamente lo puede hacer en el entorno del USB que está totalmente cifrado. Si alguien lo roba nadie puede acceder a la información, casi vendría a ser como una laptop de un tamaño muy pequeño que puede ser colocado en cualquier computadora en un entorno aislado, seguro y cifrado. Muy cómodo de usar, en el cual también usamos dos factores de autenticación, en este caso tenemos el certificado del empleado adentro del USB. El mismo que tendríamos en la laptop, cada empleado tiene su USB con su certificado, que no es cualquier USB sino ese USB con ese certificado adentro y con la contraseña que debe recordar cada usuario.

Oscar.- En tu presentación desarrollaste el tema que el dispositivo ABRA te permite productividad en tu gente de sistemas cuando ellos se encuentran de vacaciones, en particular en esos profesionales que son muy importantes para la continuidad del negocio y les es más fácil transportar ese USB que una laptop. Como última pregunta se orienta a la clasificación y protección de los activos de información. Entendiendo lo costoso que es realizar un análisis riesgo y activos de información, nos mostraste como el CheckPoint User Check nos ayuda a entender que hace el usuario frente a situaciones del uso de servicios informáticos. ¿Cuáles son los resultados de tu experiencia referidos al control de los servicios que utiliza el usuario?

Jorge.- Las típicas tecnologías o tradicionales, todas saben muy bien como reconocer archivos confidenciales o clasificados. Lo que ninguna tecnología consigue hacer es tratar de adivinar o saber el intento original del usuario. Lo que generalmente pasa en la mayoría de las empresas, cuando ponen estas tecnologías tradicionales, tratan de bloquear o de detectar. Bloquear, es bastante difícil. La realidad de las empresas es que cuando colocan políticas de bloqueo, enseguida cantidad de empleados dicen necesitamos usar estos archivos fuera de la empresa, necesitamos enviar archivos estratégicos a un consultor, necesito enviar este contrato confidencial a este vendedor, necesito mandar esta lista de empleados y salarios a oficinas de contadores, etc. Es entonces que toda esta política de bloqueo y tecnología invertida en implementaciones muy largas, enseguida lleva a una política de detección. En mi opinión las políticas de detección, no son bastante buenas. Al fin y al cabo, necesitas una persona que esté dedicada a leer todo el log y tratar de detectar cuales son la fuga de datos que no se debieran haber hecho y en realidad ya es un hecho que ya no lo podes evitar. En el caso de CheckPoint el acercamiento es utilizar una tecnología que es User Check, en la cual se involucra al propio usuario en la decisión de las mejores prácticas de seguridad. Imagínate el típico caso que uno envía un email a una persona, el sistema de correo le propone un nombre equivocado automáticamente, donde termino enviando un archivo confidencial a la persona incorrecta. En este caso el User Check muestra al usuario un mensaje directamente, indicando al propio usuario que ese email está puesto en cuarentena, donde el usuario tiene que decidir si fue un error, o si realmente debe enviar ese email colocando una justificación. De una forma muy interesante, el usuario que en una época podríamos verlo como la parte más débil del proceso de seguridad los estamos concientizando y educando de manera constante en las políticas de seguridad, y haciéndolo parte de las mejores prácticas de las decisiones que toma en ese momento. Lo más interesante es que cuando uno instala estos productos, siempre tengo la curiosidad de saber ¿cuánto es el porcentaje de fuga de información que evité? Sobre ello hice un análisis durante varios meses, y lo repito periódicamente sobre cuál es el porcentaje de casos detectados detectados por el User Check y que el usuario ha decidido no enviarlo o no seguir con el servicio detectado. El resultado obtenido van alrededor del 88% que es un número inmenso de detección, imaginarse que de cada 100 casos antes 88 salían de la empresa con información confidencial por errores de los empleados. Para verificar si nuestro estado estadístico, lo compartí con colegas que también tenían la tecnología implementada y los números son similares, abarcando un rango del 75% a un 91%. Estamos hablando de un rango de fuga de datos que solamente pueden evitarse con una tecnología como esta. Un bloqueo no funciona. Una detección llega muy tarde. Y esto es un acercamiento muy práctico y muy correcto.

Oscar.- Jorge, estamos muy agradecidos por esta entrevista, y porque cada una de estas charlas con profesionales de tecnología ayudan a reaprender lo ya aprendido. Puntos de vista que es bueno compartir y generar puntos de pensamiento como es este porcentaje de fuga de información evitado, que me hace preguntar… ¿cuánto será el porcentaje de fuga que no estoy evitando en mi empresa?
 

Autor: Oscar Schmitz

 

 

< Prev   Próximo >

El autor Oscar Andres Schmitz es miembro desde el Jueves, 11 Octubre 2007.

Otros artículos del autor...

No tiene permisos para añadir comentarios. Por favor, ingrese al portal o regístrese.

FacebookLinkedinTwitterYoutubeSlideShareMySpace

Próximas Jornadas

Jornada de Seguridad en Soluciones Móviles
Level 3 Think Ahead
tecsystem Soluciones y Servicios
CSO Business Advisor ICIO2: I know it
Dixit
El Derecho Informático

Revista Impresa #16

Revista CXO Community #16 - Los Hackers son malos..?

Kiosco Digital

Kiosco Digital

Ingreso de usuarios

Registrados

Hoy: 0 registrados
Esta semana: 1 registrados
Este mes: 13 registrados

Visitas

mod_vvisit_countermod_vvisit_countermod_vvisit_countermod_vvisit_countermod_vvisit_countermod_vvisit_countermod_vvisit_countermod_vvisit_counter
mod_vvisit_counterHoy4374
mod_vvisit_counterAyer8983
mod_vvisit_counterEsta semana13357
mod_vvisit_counterUltima semana45779
mod_vvisit_counterEste mes154774
mod_vvisit_counterUltimo mes238584
mod_vvisit_counterTodos los días8386323
Online 116
Hoy: May 22, 2012