Ejecutivos de RSA recomiendan a las organizaciones desarrollar una estrategia sistémica de seguridad que incorpore las crecientes y novedosas tendencias en tecnología.
RSA, la división de seguridad de EMC, ha celebrado en Londres del 20 al 22 de octubre su evento anual RSA Conference Europe 2009. La conferencia congregó a los más relevantes expertos y profesionales en seguridad con el fin de debatir los temas de máxima actualidad y futuras tendencias del sector.
Durante el evento se puso de manifiesto la necesidad de que las organizaciones desarrollen una estrategia de seguridad sistémica para abordar las tendencias de las tecnologías en auge no como una pesada carga, sino como una oportunidad única de mejorar la seguridad y construir una infraestructura de la información más segura.
“A pesar de que durante los últimos 100 años, la tecnología y la información han evolucionado y crecido a un ritmo vertiginoso, el comportamiento de las personas para asumir este desarrollo ha progresado a un ritmo mucho menor, y nuestra capacidad para mantenernos a la altura del grado de complejidad que conlleva es limitada”, señaló Art Coviello, presidente de RSA. “En consecuencia, en la actualidad el dominio de la complejidad tiene un elevado valor, ya que permite a las personas aprovechar al máximo estos importantes avances tecnológicos. Ese es precisamente el reto al que se enfrentan hoy en día las organizaciones de TI de todo el mundo”.
Tanto Art Coviello como Christopher Young, vicepresidente senior de RSA, destacaron en los discursos de apertura de la conferencia las innovadoras tendencias (virtualización de los centros de datos, cloud computing, crecimiento de las aplicaciones móviles y computación social) que están redefiniendo el modo en que se aplican los sistemas de seguridad de la información. Coviello y Young animaron a las organizaciones a que asimilaran estas tendencias y aprovechasen la oportunidad de integrar mayor seguridad en su infraestructura de la información, en lugar de oponerse a ellas e ignorar los riesgos que plantean. Para acelerar este cambio, los directivos proporcionaron a los asistentes los Siete Principios Rectores que engloban los elementos indispensables para construir una estrategia de seguridad de la información efectiva en el cambiante panorama actual.
“Aquellos que decidan asimilar estas tendencias estarán en las mejores condiciones para subirse a la ola de la innovación y aprovechar los beneficios que esta ofrece: aumento de los ingresos, reducción de los costes e infraestructuras más rápidas y flexibles”, comentaba Christopher Young.. “Para ello, tenemos que erigirnos como una industria que asimila las tendencias de última generación con una estrategia de seguridad de la información puntera”.
Los Siete Principios Rectores de RSA para la construcción de una estrategia de seguridad sistémica
RSA afirma que ha llegado el momento de que los líderes en seguridad para las empresas definan estrategias sistémicas que no solo permitan a sus organizaciones proporcionar seguridad de forma eficaz en el cambiante entorno actual, sino que además les proporcionen los medios para ofrecerles una infraestructura de la información más segura en el futuro. Este sistema reconoce productos independientes, pero insta a los actores del mercado de la seguridad a que busquen la forma en la que puedan funcionar juntos para resolver problemas comunes y dar lugar a nuevas oportunidades.
A continuación se incluyen ejemplos concretos de aplicación de los Siete Principios Rectores en la propia actividad de RSA:
1. La seguridad debe estar incorporada en la infraestructura de TI: según el primer principio, la seguridad no debe estar meramente integrada en la infraestructura, sino incorporada en ella. Esta creencia rige las principales iniciativas de RSA, incluido su trabajo en colaboración con Cisco. Los equipos de RSA y Cisco han aunado fuerzas para incorporar los mecanismos de prevención de pérdida de datos a dispositivos como la pasarela de seguridad para correo electrónico Cisco IronPort®. RSA y VMware también han formado una alianza tecnológica para incorporar los controles de seguridad esenciales a la infraestructura virtual, y ayudar así a las organizaciones a reducir el riesgo y aumentar su seguridad global.
2. Desarrollo de ecosistemas de soluciones: es preciso formar ecosistemas que permitan a los productos y servicios de múltiples organizaciones funcionar de forma conjunta para resolver problemas de seguridad comunes. RSA ha invertido en la comunidad RSA eFraudNetworkTM: un ecosistema creado en colaboración con miles de instituciones financieras de todo el mundo para localizar el fraude cuando migra entre las instituciones financieras internacionales, o dentro de estas.
3. Creación de una seguridad sin fisuras, transparente: una seguridad considerablemente transparente para los usuarios y sistemas que debe proteger es de vital importancia para salvar la distancia entre el grado de desarrollo tecnológico y la capacidad de las personas para seguirlo. Este objetivo de crear una seguridad sin fisuras y transparente motivó la asociación tecnológica de RSA y First Data Corporation, la empresa de procesamiento de pagos más importante del mundo. RSA y First Data han anunciado recientemente un servicio que proporciona seguridad a la información de las tarjetas de crédito procedente de los comercios porque evita a estos la necesidad de almacenar tales datos en sistemas de TI. Este servicio se ha integrado en el sistema de procesamiento de pagos de First Data, haciéndolo transparente para los comercios y sus clientes.
4. Garantía de la correlación y la funcionalidad basada en el contenido de los controles de seguridad: el acceso a la información del usuario medio está creciendo de manera exponencial al número de normas y requisitos que regulan la protección de dicha información. En el Critical Incident Response Center (CIRC) de EMC, la gestión de la información sobre la seguridad está centralizada, de modo que es posible correlacionar datos de los controles de la información (como la prevención de la pérdida de datos), los controles de identidad (como la autenticación basada en el riesgo), y los controles de infraestructura (como los sistemas de gestión de parches, configuración y vulnerabilidad). Este avanzado enfoque de las operaciones de seguridad ha sido ideado para acelerar la obtención de la inteligencia que los analistas de seguridad necesitan para distinguir un evento de seguridad benigno de algo más peligroso para la empresa.
5. La seguridad debe estar orientada de fuera hacia dentro y viceversa: RSA piensa que la seguridad debe incluir un enfoque bilateral que proteja tanto el perímetro (de fuera hacia dentro) como la propia información (de dentro hacia fuera). Dado que los usuarios acceden a la información desde distintos dispositivos dentro y fuera de la red y en la nube, la política y los controles de seguridad deben aplicarse a la información a medida que esta se desplaza por la infraestructura.
6. La seguridad tiene que ser dinámica y basarse en el riesgo: los actos de los delincuentes y estafadores que operan en este medio no están previstos en ninguna normativa o reglamento, por lo que pueden perpetrar ataques cada vez más creativos. Para luchar contra esta realidad, las organizaciones tienen que poder correlacionar de forma dinámica la información procedente de una serie de fuentes y reaccionar en tiempo real ante los riesgos asociados a la infraestructura y la información. RSA ya ha anunciado la oferta de nuevos servicios de consulta y asesoramiento para ayudar a las empresas a aplicar o mejorar sus operaciones de seguridad, de modo que puedan gestionar de forma más eficaz los programas de cumplimiento de las TI y el riesgo.
7. Para que sea efectiva, la seguridad tiene que ser autodidacta: el carácter dinámico de las infraestructuras de TI y de los ataques maliciosos a los están expuestas está dejando atrás la capacidad de las personas para seguir su velocidad y complejidad. Por este motivo, la estrategia de seguridad de la información debe ser dinámica y tener en cuenta los comportamientos. Para contribuir a la consecución de este objetivo, RSA también ha anunciado una asociación con Trend Micro que permitirá aprovechar la inteligencia en tiempo real sobre spyware, virus, spam y otros datos generados en los centros Threat Resource de dicha empresa. Esta información vital se está adaptando para su uso en el Anti-Fraud Command Center de RSA al objeto de aumentar la protección en el punto extremo de los clientes del RSA FraudActionsm Anti-Trojan Service.