Académique Documents
Professionnel Documents
Culture Documents
y privacidad en la red
encriptada
Versin 1.5
Publicado:
20 de enero de 2015
Securosis, L.L.C.
T 602-412-3051
www.bluecoat.com
Derechos de autor
Este informe se distribuye bajo licencia de Creative Commons
Attribution-Noncommercial-No Derivative Works 3.0.
http://creativecommons.org/licenses/by-nc-nd/3.0/us/deed.es
Seguridad y privacidad
en la red encriptada
ndice
El futuro est encriptado
Por qu es necesario descifrar?
Casos de uso
4
5
Qu se debe descifrar?
10
12
14
Independiente o integrado?
14
Criterios de seleccin
15
Implementacin
16
Resumen
19
20
Acerca de Securosis
21
Casos de uso
Como mencionamos anteriormente, nuestra incapacidad para inspeccionar el trfico encriptado afecta
nuestra capacidad para aplicar polticas o controles de seguridad y cumplir con las normativas.
Analizaremos a fondo cmo descifrar el trfico estratgicamente para abordar casos de uso clave, lo que
incluye la aplicacin de polticas de seguridad y la supervisin de la seguridad y el cumplimiento
normativo. Tambin debemos tener en cuenta los problemas de RR. HH. y privacidad asociados con el
descifrado del trfico, dado que nadie querr terminar en el lado equivocado de un consejo de trabajadores
protestando por su enfoque de seguridad de red.
Qu se debe descifrar?
El primer paso para obtener visibilidad de la red encriptada
es establecer polticas que indiquen cundo se descifrar el
trfico y durante cunto tiempo permanecer descifrado,
dado que los datos quedan desprotegidos (en formato
descifrado) hasta que se vuelven a encriptar. Estas
decisiones son impulsadas por la cultura organizacional, por
Como especialistas en
seguridad, preferimos un
mayor descifrado a fin de
permitir una inspeccin ms
integral y, por consiguiente,
una supervisin y aplicacin
de polticas ms slidas. Pero
es una eleccin especfica de
cada empresa.
Varios factores influyen en las polticas de descifrado, principalmente las propias aplicaciones.
Probablemente descifrar algunas aplicaciones principales:
1.
Webmail: los empleados creen que le estn haciendo un favor a su organizacin trabajando a toda
hora del da. Pero esta fuerza de trabajo siempre conectada utiliza dispositivos personales y puede
decidir (aunque sea imprudente) que es ms fcil enviar documentos de trabajo a equipos
personales a travs de cuentas de correo electrnico personales. Qu podra salir mal? Y, por
supuesto, hay muchos usos maliciosos de webmail en un entorno corporativo, ya que es un medio
comn para la transferencia no autorizada de datos confidenciales. Hay agentes de DLP de
terminales para detectar este comportamiento, pero si no los tiene implementados debe
inspeccionar el trfico de webmail saliente y buscar palabras clave o contenido que no debera
enviarse fuera de la organizacin. Como la mayor parte del webmail ahora est encriptado, debe
descifrar estas sesiones para poder inspeccionar el trfico.
2.
Explorador web: los sitios de redes sociales y otras propiedades web utilizan contenido generado
por el usuario que puede estar protegido o ser confidencial para su organizacin, por lo que debe
asegurarse de poder aplicar polticas tambin en el trfico general de las aplicaciones web. Las
aplicaciones utilizan cada vez ms SSL/TLS, en forma predeterminada, por lo que deber descifrar
para aplicar polticas de uso aceptable y proteger los datos.
3.
Aplicaciones de SaaS: las funciones empresariales estn migrando cada vez ms a software como
servicio (SaaS), por lo que debe inspeccionar el trfico de SaaS. Quizs desee aplicar polticas de
contenido ms estrictas en las aplicaciones de SaaS, dado que usted no controla la seguridad de los
datos en un entorno de SaaS, pero primero debe descifrar el trfico para la inspeccin y aplicacin
de polticas. Adems, tenga en cuenta que algunas de estas aplicaciones pueden usar puertos no
estndares (aparte del tpico TCP 443), lo que hace ms complicado inspeccionar el trfico de esa
aplicacin especfica.
4.
Aplicaciones personalizadas: las aplicaciones web personalizadas y las aplicaciones web de los
socios tambin requieren un control riguroso ante la gran probabilidad de que utilicen datos
confidenciales. Al igual que con las aplicaciones de SaaS, es conveniente aplicar polticas
granulares para estas aplicaciones, por lo que debe descifrar.
En sntesis, si una aplicacin tiene acceso a datos crticos o protegidos, debe descifrar e inspeccionar su
trfico. No obstante, atributos secundarios pueden impedir o exigir el descifrado. Por ejemplo, ciertos
sitios/aplicaciones web, tales como sitios financieros y de asistencia mdica para el consumidor final, se
deben incluir en la whitelist (nunca se deben descifrar) porque manejan datos privados de los empleados.
Otro disparador de polticas sern los empleados individuales y los grupos. Quizs no quiera descifrar el
trfico del equipo legal debido a que probablemente est protegido y sea confidencial. Y, por supuesto,
algunas personas requieren excepciones. Por ejemplo, el CEO puede hacer lo que desee y puede aprobar
una excepcin para su propio trfico. Habr otras excepciones, se lo garantizamos, as que asegrese de que
sus polticas sean lo suficientemente flexibles para adaptarse a la cultura y los requisitos de su empresa. Por
ejemplo, es probable que el trfico de todos los usuarios de una aplicacin se tenga que inspeccionar
siempre debido a la confidencialidad de sus datos. Del mismo modo, quizs el trfico de un grupo de
usuarios no se inspeccionar en absoluto debido a la confidencialidad de ese trabajo en particular. Debe
tener la flexibilidad necesaria para descifrar el trfico a fin de aplicar polticas sobre la base de aplicaciones
y usuarios/grupos, para adecuarse con precisin a los requisitos y procesos de la empresa.
Firewall: los firewalls por lo general adoptan la funcin del descifrado porque estn en lnea para
la salida y el acceso y ya aplican polticas, sobre todo a medida que evolucionan hacia firewalls de
prxima generacin (NGFW) con reconocimiento de aplicaciones. El descifrado es muy exigente
desde el punto de vista computacional, por lo que puede enfrentarse a problemas de escalabilidad,
incluso para firewalls ms grandes y ms potentes.
2.
IPS: como tecnologa de inspeccin, IPS resulta ineficaz si no puede inspeccionar el trfico
encriptado. Para resolver esto, algunas organizaciones descifran en sus dispositivos de IPS. La
funcin de IPS es ms exigente desde el punto de vista computacional que aplicar polticas de
control de acceso en un firewall, por lo que los dispositivos de IPS dedicados suelen tener ms
potencia, lo que facilita el descifrado. Pero la escalabilidad puede ser un problema incluso bajo
una carga pesada de descifrado.
3.
4.
Dispositivo de descifrado de SSL dedicado: para las organizaciones con una gran cantidad de
trfico encriptado, lo que es cada vez ms comn, se encuentran disponibles dispositivos de
descifrado dedicados que se especializan en el descifrado del trfico sin afectar a los empleados.
Ofrecen flexibilidad en la manera de enrutar el trfico descifrado para los controles activos (FW,
IPS, filtro web, etc.) y la supervisin, y luego reencriptar el trfico que debe continuar hasta
Internet. A continuacin, brindaremos informacin especfica sobre cmo seleccionar e
implementar estos dispositivos.
5.
Ofertas que residen en la nube: a medida que maduran las ofertas de seguridad como servicio
(SECaaS), las organizaciones tienen la opcin de descifrar en la nube, trasladando la
responsabilidad de la escalabilidad a un proveedor de servicios. Pero esto requiere descifrar e
inspeccionar datos potencialmente confidenciales en la nube, lo que puede plantear un desafo
cultural o reglamentario.
Por lo general, todos estos dispositivos se implementan dentro del permetro de su red, por lo que no se
pueden detectar los atacantes que encriptan el trfico de
exploracin interna, o el trfico que sale del centro de datos
hacia un servidor de almacenamiento provisional dentro de su
red interna. Para solucionar estos problemas puede elegir
configurar un dispositivo existente (probablemente un firewall
o IPS) internamente frente a su centro de datos, para descifrar,
aplicar polticas de seguridad e inspeccionar el trfico. Vemos
cada vez ms este modelo de implementacin para los equipos
de seguridad de redes, aunque las caractersticas del trfico de
red interno difieren de las del trfico del permetro. La
Para garantizar la escalabilidad, es conveniente evaluar el impacto del descifrado en el desempeo. Segn
pruebas de laboratorio independientes realizadas por organizaciones como NSS Labs, el desempeo puede
verse afectado en hasta un 80 % al descifrar en firewalls y dispositivos de IPS. Obviamente, la capacidad
adecuada para volmenes de trfico tpicos es un requisito fundamental de la arquitectura y la
implementacin.
IPS
Capacidades de descifrado
nativas
de desempeo.
NGFW
y el 80 %.
Ninguna.
Sandbox de malware
basado en la red
Ninguna.
Degradacin potencialmente
archivos.
dispositivo.
Las consideraciones clave para descifrar el trfico y enviarlo a un dispositivo de seguridad activo son las
siguientes:
1.
Capacidad: las redes son cada vez ms rpidas, y debe inspeccionar el trfico a la velocidad de la
conexin (o a una velocidad muy cercana). El descifrado y reencriptado hacen un uso intensivo de
los recursos, por lo que debe asegurarse de que su capacidad de descifrado pueda ampliarse lo
suficiente en el dispositivo que elija para el descifrado. Suponga que (por ahora) entre el 20 y el
40 % de su trfico estar encriptado y planifique una capacidad de descifrado segn corresponda.
2.
Latencia: muchas aplicaciones son en tiempo real o sumamente interactivas, por lo que no es
aceptable introducir una latencia significativa. Debe asegurarse de que, junto con la capacidad
adecuada, la escalabilidad no agregue una latencia inaceptable.
3.
Compatibilidad con todos los protocolos: los atacantes pueden ocultar el trfico encriptado en
otros protocolos en diferentes puertos, por lo que es importante que los motores de inspeccin
analicen la secuencia de trfico completa, no solo el puerto 443.
4.
5.
6.
10
11
La siguiente tabla enumera los dispositivos de supervisin que necesitan trfico descifrado:
Por qu este dispositivo necesita
Capacidades de descifrado
trfico descifrado?
nativas
Anlisis de seguridad/tcnicas
Ninguna.
forenses de redes
SIEM
Ninguna.
Variantes geogrficas: si hace negocios en una regin geogrfica donde existe una gran
preocupacin respecto a la privacidad, debe involucrar al equipo local lo antes posible,
especialmente en Europa. Probablemente, deber trabajar con las autoridades locales o los
consejos de trabajadores para asegurarse de que las polticas de descifrado no violen la legislacin
local, (por ejemplo, PCI-DSS, PIPEDA, FISMA, la Ley de Privacidad de Australia, la Ley de
Proteccin de Datos de Alemania, etc.) y las normativas de cumplimiento (adems de las
normativas reglamentarias y legales). Algunos lugares restringen especficamente la suplantacin
de sitios web, que incluye el descifrado intermediario del trfico utilizando un certificado
intermedio. Tambin existe una susceptibilidad considerable acerca de la vigilancia de los
empleados, por lo tanto, tenga en cuenta tambin las actitudes locales.
2.
Soluciones de whitelisting: para abordar algunos de estos problemas debe considerar utilizar
soluciones de whitelisting para ciertas categoras de aplicaciones y sitios web, por lo general,
empresas financieras y de asistencia mdica. Esto garantiza que no se descifren sitios en los que
existe una alta probabilidad de interceptar informacin confidencial o protegida. Por supuesto, los
atacantes lo saben muy bien y pueden utilizar servidores infectados en categoras de whitelists para
evitar el descifrado.
3.
12
4.
Documentacin: incluso si todos aprueban las polticas, pueden tener problemas ms adelante.
Por lo tanto, asegrese de poder corroborar exactamente qu y cundo se descifra mediante
documentacin slida. Adems, asegrese de poder probar quin tiene acceso a los datos (en
particular cuando se conservan para la supervisin y el anlisis forense), y documente los flujos de
trabajo de la investigacin para mostrar quin accedi a qu datos durante una investigacin.
Puede hacerlo aprovechando los registros de los equipos de descifrado, y conservar informes de
polticas y flujos de trabajo del proceso de respuesta para probar lo que est haciendo, y lo que no.
Es mejor tener demasiada documentacin que pedirles a los organismos reguladores como los
consejos de trabajadores (frecuentes en Europa, Medio Oriente y frica [EMEA]) que confen
ciegamente en usted.
Como es habitual, lo que debera ser un debate tcnico bastante sencillo sobre qu y cmo descifrar recae
sobre la fangosa realidad de las normativas de polticas y privacidad. Ese es el juego que debemos jugar los
especialistas en seguridad. Cree las polticas utilizando un proceso inclusivo para desarrollar y actualizar lo
que se implementa segn lo que se considere aceptable en su organizacin.
13
Implementacin y criterios
de seleccin
Ahora comprende cmo establecer polticas para el descifrado, los casos de uso especficos que impulsan el
descifrado del trfico de la red, y las consideraciones en relacin a los recursos humanos y el cumplimiento
normativo para crear polticas. Luego, debe comprender los matices tcnicos a la hora de determinar dnde
descifrar, y cmo seleccionar e implementar la tecnologa. Primero vamos a hablar un poco acerca de si
necesita un dispositivo independiente.
Independiente o integrado?
Tal como se analiz previamente, tiene muchas opciones en cuanto a dnde descifrar el trfico, como
firewalls (NGFW y UTM), IPS, balanceadores de carga, y Gateways de Seguridad Web y de correo
electrnico. Obviamente, lo ms simple sera utilizar un dispositivo existente tanto para el descifrado como
para la inspeccin. No tiene que agregar otras soluciones ni arriesgarse a estropear el esquema de
direcciones de la red, y puede aplicar polticas justo en el punto de descifrado/inspeccin. Un dispositivo de
seguridad puede descifrar el trfico, inspeccionarlo, aplicar polticas y reencriptarlo, todo con una sola
solucin. Para entornos con volmenes de red limitados y polticas sencillas, los dispositivos integrados son
una excelente opcin.
Si implementa varias aplicaciones mviles, web y de nube que requieren polticas ms complejas
(o avanzadas), como tener que enviar el trfico a varios dispositivos activos o de supervisin, y tiene varios
detonadores de polticas en toda la secuencia de la red y no puede limitar la inspeccin a solo el trfico del
puerto 443 (HTTPS), las polticas de descifrado relativamente sencillas de un dispositivo integrado pueden
no ser suficientes. Adems, si necesita enviar el trfico descifrado a varios lugares, como un dispositivo de
14
anlisis forense/captura de paquetes de red o SIEM, una solucin integrada quizs no sea una opcin
adecuada.
Tambin debe contemplar el costo de una solucin integrada frente a una opcin de solucin dedicada con
el tiempo. Si tiene una gran cantidad de dispositivos que requieren trfico descifrado (como se describi
anteriormente) o espera una cantidad de trfico encriptado cada vez mayor en su red, la necesidad de
aumentar el tamao y la capacidad de los dispositivos nativos para una escalabilidad adecuada puede ser
muy costosa. El costo de CPU, memoria y conectividad de red adicionales en los dispositivos integrados
puede potencialmente duplicar o triplicar el costo de esa solucin. No se olvide de los costos operativos,
dado que la administracin de certificados y claves criptogrficas en varios dispositivos nativos tambin
puede aadir costos operativos y complejidad a la opcin integrada.
Nos gustan las opciones integradas cuando son viables, pero el pragmatismo exige la herramienta apropiada
para el trabajo, y agregar el descifrado a otro dispositivo es rara vez adecuado para entornos de alto trfico
o entornos necesarios para enviar trfico a varios dispositivos. Si el descifrado incorporado puede satisfacer
sus requisitos de desempeo y polticas, selo.
Criterios de seleccin
Si decide utilizar un dispositivo de descifrado dedicado, qu debe buscar? Estos son algunos aspectos que
debe considerar:
1.
Desempeo: una gran parte del valor de un hardware dedicado reside en su capacidad de poder
escalarlo a medida que aumenta el volumen de trfico. Asegrese de que cualquier dispositivo o
dispositivos que compre se puedan escalar para adaptarse a los volmenes de ancho de banda
actuales y futuros. No se meta en un callejn sin salida comprando equipos que debern
reemplazase a medida que aumente el volumen de trfico.
2.
Compatibilidad con todos los puertos: una de las tcnicas de evasin ms fciles que utilizan los
atacantes consiste simplemente en cambiar el nmero de puerto del trfico saliente, enviando de
este modo el trfico encriptado a un lugar donde no se espera ni se supervisa. Los dispositivos de
inspeccin no pueden confiar en los nmeros de puerto, se necesita una inspeccin exhaustiva de
paquetes para detectar la evasin.
3.
Precisin: la estrategia de descifrado depende en gran medida de las polticas, por lo tanto, para
que tenga xito se necesita la identificacin y categorizacin precisas del trfico. Junto con
examinar la secuencia completa del trfico, debe asegurarse de que sus dispositivos encuentren el
trfico encriptado en forma precisa y lo categoricen de manera eficaz.
4.
Acciones sobre polticas: asegrese de que su dispositivo admita una variedad de acciones
distintas en una ejecucin de polticas. Debe poder descifrar, no descifrar, descartar la sesin o
rechazar la sesin (con un cdigo de error de HTTP). Tambin es conveniente tener la capacidad
para incluir en listas los orgenes o destinos para descifrar siempre (blacklist) o no descifrar nunca
(whitelist), por grupo o usuario.
5.
15
las direcciones IP y las aplicaciones. Dada la rapidez con la que cambian las categoras y
reputaciones de sitios web (en minutos, o incluso segundos), es importante tener una fuente
dinmica de informacin actual en la que puedan basarse las polticas. Eso habitualmente significa
contar con algn tipo de servicio de categorizacin de sitios web que resida en la nube para las
soluciones de whitelisting (sitios de finanzas o de asistencia mdica) o blacklisting (direcciones IP
maliciosas conocidas), junto con puntuacin de reputacin dinmica para sitios web y
aplicaciones.
6.
Compatibilidad con varios dispositivos: dada la variedad de casos de uso del descifrado, estos
dispositivos deben ser flexibles en cuanto a cmo reenvan el trfico y a cuntos dispositivos lo
reenvan. Por ejemplo, quizs quiera enviar el trfico a un IPS para un control activo, y tambin a
un dispositivo de captura de paquetes o SIEM para la supervisin y el anlisis forense. Es
importante que los dispositivos de descifrado interoperen en forma nativa con los dispositivos de
seguridad, de modo que (por ejemplo) cuando un IPS detecte trfico de ataques (descifrado), el
dispositivo de descifrado pueda descartar esa sesin sin intervencin humana.
7.
Seguridad: estos son dispositivos de seguridad, por lo que debe asegurarse de que los datos y las
claves de descifrado/nuevo registro que se encuentren en los dispositivos estn protegidos.
Tambin es conveniente tener la capacidad para rechazar/descartar sesiones si su seguridad no es
suficiente. Por ejemplo, un cifrado de encriptacin dbil podra poner en riesgo los datos; o podra
violar la poltica para transmitir datos encriptados que no pueden ser descifrados por el dispositivo
de seguridad, a fin de evitar que datos desconocidos salgan del entorno.
8.
9.
Flexibilidad de implementacin: hay una variedad de casos de uso para el descifrado, de modo
que es conveniente contar con un dispositivo que admita varios modelos de implementacin para
satisfacer sus diversos requisitos presentes y futuros para descifrar el trfico. Para dispositivos con
varios puertos debe tener flexibilidad en la manera de asignar puertos, as como en qu puertos
sern activos o pasivos, como se analiz previamente.
Implementacin
La implementacin del dispositivo de seguridad debe ser lo menos disruptiva posible. No querr meterse
con los esquemas de direcciones IP, forzar a cada usuario a ver (o hacer clic en) una advertencia de
seguridad cada vez que realicen una conexin SSL, o hacer que el dispositivo manipule encabezados de
direcciones IP y complicar la supervisin y el anlisis del trfico. Usted quiere transparencia.
16
2.
Activa en lnea: esta configuracin es similar a la pasiva en lnea, pero en este modo el
dispositivo puede aplicar polticas. Sobre la base de la poltica, el dispositivo descifra el trfico y
lo reenva para su inspeccin. Pone en cola cada sesin encriptada hasta que recibe un veredicto
desde otro dispositivo de seguridad. Si se aprueba la sesin, reencripta y enva el trfico en su
camino. Las sesiones que tienen la apariencia de un ataque se descartan.
3.
TAP pasiva: en este modo, el dispositivo de descifrado se conecta a un TAP de red o puerto
SPAN en un conmutador para recibir una copia de todo el trfico. El dispositivo de descifrado
(junto con cualquier otro dispositivo que inspeccione el trfico) es pasivo y no se encuentra en el
flujo del trfico, por lo tanto, no se pueden aplicar polticas a travs de l. Tambin necesita las
claves privadas de los servidores para los cuales est destinado el trfico, porque en esta
configuracin no se encuentra en el medio del camino de la red y no puede reencriptar el trfico.
Este modelo solo es adecuado para inspeccionar el trfico hacia los servidores internos y, por lo
tanto, no muy comn.
Los modelos de implementacin en lnea sitan el dispositivo de manera eficaz como un intermediario
entre los empleados y sus destinos de sitios web. El dispositivo de descifrado termina las sesiones de
usuario y establece sesiones nuevas con sitios web de destino. Para evitar que el usuario vea un alerta de
seguridad cada vez que inicie una sesin segura, los usuarios deben confiar en un certificado emitido por el
dispositivo de descifrado. Esto significa cargar un certificado firmado en el explorador de cada usuario (por
lo general, mediante una poltica de estaciones de trabajo) o hacer firmar los certificados del dispositivo de
descifrado por una raz en que los usuarios (exploradores) ya confan, como una Autoridad de certificacin
(CA) pblica.
Anteriormente mencionamos la importancia de la flexibilidad de la implementacin, que incluye poder
asignar un determinado puerto como un puerto activo (potencialmente descarta los ataques) o pasivo (solo
emite alertas cuando se producen ataques) que enve el trfico a un control activo. Otro puerto puede enviar
Securosis Seguridad y privacidad en la red encriptada
17
trfico en forma pasiva a un dispositivo de anlisis de seguridad/tcnicas forenses de redes. Y quizs desee
cambiar esas asignaciones sobre la base de los modelos de uso dinmico, de modo que la implementacin
pueda reflejar las polticas a medida que evolucionan.
Estos dispositivos inspeccionan e influyen en el trfico confidencial, por lo que la disponibilidad
es fundamental, excepto en las implementaciones de TAP pasivas, debido a que los TAP no se encuentran
en el flujo del trfico. No obstante, para una configuracin en lnea, debe decidir qu sucede si el
dispositivo falla.
Las opciones incluyen:
1.
Falla en la red: si el dispositivo falla, el trfico se enva al puerto de red saliente, pero no a
dispositivos de inspeccin. Las sesiones se interrumpen, pero la falla elude la inspeccin y la
supervisin.
2.
3.
La mayora de las organizaciones eligen falla en la red. Si el descifrado falla, no estn dispuestas
a detener todo el trfico. Pero eso es algo que deber determinar con la gerencia snior, para garantizar que
comprendan el impacto que tiene.
Ahora que sabe cmo establecer polticas para controlar el trfico encriptado, dnde descifrarlo, y los
criterios que deberan guiarlo a la hora de seleccionar dnde y cmo descifrar, est listo para lidiar con las
redes encriptadas.
18
Resumen
Dada la sofisticacin cada vez mayor de los atacantes y la probabilidad de que se arraiguen en su red, se
muevan lateralmente de manera sistemtica hacia su objetivo, empaqueten datos crticos y los transfieran
sin autorizacin fuera de la red, lo que usted no ve puede matarlo. Por este motivo, se ha vuelto
imprescindible echar un vistazo a los datos encriptados que entran y salen de su red, al menos para
asegurarse de que no se trate de trfico de comando y control o de que no estn filtrando informacin
crtica.
Sin embargo, el descifrado puede ser un asunto complicado. En primer lugar, debe identificar el trfico
encriptado, luego asegurarse de tener las polticas adecuadas para descifrar las sesiones en riesgo, sin
infringir las normativas de proteccin de la privacidad de los empleados o los recursos humanos. Tambin
debe asegurarse de que el descifrado no agregue una latencia excesiva ni cause un impacto inaceptable en
el desempeo de su red.
Si tiene alguna pregunta sobre este tema, o desea analizar su situacin en particular, no dude en escribirnos
a info@securosis.com.
19
20
Acerca de Securosis
Securosis, LLC es una empresa de investigacin y anlisis independiente que se dedica al liderazgo intelectual, la
objetividad y la transparencia. Nuestros analistas han ocupado puestos ejecutivos y se dedican a brindar servicios de
consultora pragmticos y de alto valor. Nuestros servicios incluyen:
Principales publicaciones de investigaciones: actualmente, publicamos la gran mayora de nuestras investigaciones
en forma gratuita a travs de nuestro blog y las archivamos en nuestra Biblioteca de investigaciones. La mayora de
estos documentos de investigacin pueden ser patrocinados para su distribucin una vez al ao. Todos los materiales
publicados y las presentaciones cumplen con nuestros estrictos requisitos de objetividad y se ajustan a nuestra
poltica de investigacin totalmente transparente.
Productos de investigacin y servicios de consultora estratgicos para usuarios finales: Securosis va a presentar
una lnea de productos de investigacin y servicios de suscripcin basados en consultas diseados para ayudar a
organizaciones de usuarios finales a acelerar el xito de los programas y proyectos. Tambin se encuentran
disponibles proyectos de consultora adicionales, que incluyen asistencia para la seleccin de productos, estrategia de
tecnologa y arquitectura, educacin, evaluaciones de la administracin de la seguridad y evaluaciones de riesgo.
Servicios para proveedores con pago anticipado: aunque aceptaremos instrucciones de cualquier persona, algunos
proveedores optan por una relacin continua ms cercana. Ofrecemos una serie de paquetes de pago anticipado
flexibles. Los servicios disponibles como parte de un paquete de pago anticipado incluyen estrategia y anlisis de
productos y del mercado, orientacin sobre la tecnologa, evaluacin de productos y evaluacin de fusiones y
adquisiciones. Incluso con clientes pagos, mantenemos nuestros estrictos requisitos de objetividad y
confidencialidad. Hay informacin adicional disponible sobre nuestros servicios con pago anticipado (PDF).
Disertaciones externas y editorial: los analistas de Securosis a menudo hablan en eventos de la industria, realizan
presentaciones en lnea y escriben o hablan para una variedad de publicaciones y medios.
Otros servicios especializados: los analistas de Securosis tambin se encuentran disponibles para otros servicios,
entre ellos, das de consultora estratgica, encuentros de consultora de estrategia y servicios para inversores. Suelen
ser personalizados para satisfacer los requisitos particulares del cliente.
Nuestros clientes abarcan desde empresas nuevas hasta algunos de los usuarios finales y proveedores de tecnologa ms
conocidos. Los clientes incluyen grandes instituciones financieras, inversores institucionales, empresas medianas e
importantes proveedores de seguridad.
Adems, Securosis se asocia con laboratorios de anlisis de seguridad para ofrecer evaluaciones de productos nicas
que combinan anlisis tcnico en profundidad con anlisis de alto nivel de productos, arquitecturas y mercados. Para
obtener ms informacin acerca de Securosis, visite nuestro sitio web: <http://securosis.com/>.
21