(Análisis) La gestión de la seguridad, en el punto de mira

A raíz del anuncio de la compra de GuardedNet por Micromuse a primeros de junio pasado por 16.200 millones de dólares, los observadores de la industria ven la posibilidad de que, en no mucho tiempo, desaparezcan como tales, como actividad exclusiva y característica, las firmas dedicadas a los productos SIM (Security Information Management). La operación de Micromuse, que da a la compañía una oportunidad para reforzar su oferta Netcool for Security Management con herramientas de generación de informes y de correlación de eventos más sofisticadas, alimenta una tendencia que abrió Cisco el pasado diciembre con la compra de Protego Networks. "A medida que las firmas de gestión de sistemas y otros tipos de fabricantes ven en SIM un área con un gran crecimiento potencial, crece el interés en vender soluciones integradas a sus bases instaladas," afirma Stephen Elliot, analista senior de IDC.

Las adquisiciones no son, sin embargo, el único camino que los fabricantes están siguiendo para suministrar productos SIM. La propia Cisco mantiene con netForensics un acuerdo de licenciamiento de este tipo de tecnología para reforzar sus planes de seguridad de red; HP anunció en junio una alianza con ArcSight en torno a OpenView Compliance Manager; y el gigante del almacenamiento EMC ha unido fuerzas con SenSage al objeto de añadir las funciones de recolección de logs de eventos de ésta en sus productos de almacenamiento Centera. Además, tanto Computer Associates (CA) como IBM Tivoli ofrecen, de forma integrada o autónoma, aplicaciones de gestión con capacidades SIM. Todas coinciden en resaltar las obvias sinergias que existen entre las dos tecnologías como la razón por la que los eventos de seguridad deberían ser gestionados junto con los eventos de red, a fin de protegerse mejor contra los retos de seguridad y optimizar el rendimiento de la red. Se trata, en definitiva, de un mercado cuyos ingresos potenciales podrían despertar también la ambición de otros tipos de fabricantes, no sólo de los de gestión. The Yankee Group estima que los 330 millones de dólares en que hoy se cifra este mercado podrían ascender a 800 millones en 2009.

Cambio en profundidad
Pero conseguir soluciones de gestión verdaderamente integradas exige, según los expertos, algo más que desarrollar módulos de software adicionales. Las diferencias existentes entre los eventos de seguridad y los eventos de red obligan a los fabricantes a mejorar sus capacidades de correlación de eventos, almacenamiento y data warehousing. "La información de seguridad se ha de integrar con la información de gestión de red en términos de bases de datos y flujos de trabajo, consolidando así ambos tipos de soluciones”, señala George Hamilton, analista senior de The Yankee Group.

El reto que representa SIM para las firmas de gestión de red les obliga no sólo a ganar una mayor experiencia en seguridad, sino también a cambiar el mismo modo en que funcionan sus soluciones. Aunque, típicamente, los productos de gestión de seguridad también constan de software, servidor y agentes (dedicados al sondeo de los dispositivos), los parecidos con las herramientas de gestión de red prácticamente acaban aquí. Las herramientas SIM cuentan con “inteligencia” específica para los eventos de seguridad y están adaptados para reaccionar ante cambios constantes, mientras que la función del software de gestión de red es documentar los cambios aprobados y prevenir alteraciones no deseadas en dispositivos y configuraciones de software.

"Las firmas de gestión esgrimen que la seguridad es tan sólo un subaspecto de la gestión, pero no es tal. Si el objetivo de las soluciones de gestión de redes y sistemas es luchar contra los cambios, garantizar que todo funciona en la manera prevista y en reducir el coste de las acciones manuales repetitivas, el objetivo de la gestión de seguridad es el opuesto, pues requiere capacidad para reaccionar rápidamente ante cambios constantes. En seguridad hay muy pocas acciones repetitivas”, aclara John Pescatore, vicepresidente de Gartner.


Pros y contras
En un mercado caracterizado por un buen número de competidores (entre los que se encuentran ArcSight, e-Security, Intellitactics, netForensics, OpenService o Network Intelligence, por citar sólo algunos) y por una escasa diferenciación entre sus ofertas, los analistas creen que las firmas de gestión de seguridad puras tendrán que luchar con ahínco para seguir siendo rentables, y enfrentarse agresivamente a los grandes fabricantes de gestión, que avanzan agresivamente en la incorporación de herramientas especificas SIM en sus suites de productos.

En esta dinámica, las firmas especializadas en gestión de seguridad cuentan con factores a favor y en contra. Por un lado, se trata de soluciones cuyo despliegue requiere un gran esfuerzo en recursos y personal. The Yankee Group estima que para organizaciones de tamaño mediano a grande, los costes de implementación, hardware y software de un despliegue de SIM puede alcanzar cerca de 400.000 dólares, sin incluir el coste del mantenimiento y de los requerimientos adicionales de almacenamiento. Sin embargo, aunque el coste escalable de un producto nicho no gusta a los usuarios, tampoco les seduce desplegar una plataforma de gestión en su totalidad para poder disfrutar de las ventajas del análisis, filtrado y recolección de eventos automatizados. En este aspecto, los productos de gestión de red son tan globales que lleva mucho tiempo y esfuerzo conseguir de ellos lo que se busca con un despliegue de soluciones SIM.

Las ventajas de aunar las herramientas de monitorización de red y las de monitorización de seguridad para mejor cohesionar las alertas de ambos sistemas por separado son evidentes, pero los expertos creen que, por ahora, los productos de gestión de red carecen de un conocimiento en profundidad de la seguridad y de funciones de correlación avanzadas. Y aquí es donde, volviendo al principio, cobran sentido las adquisiciones.