Los Siete Principios Rectores de RSA

Los Siete Principios Rectores de RSA para la construcción de una estrategia de seguridad sistémica



RSA afirma que ha llegado el momento de que los líderes en seguridad
para las empresas definan estrategias sistémicas que no solo permitan a
sus organizaciones proporcionar seguridad de forma eficaz en el
cambiante entorno actual, sino que además les proporcionen los medios
para ofrecerles una infraestructura de la información más segura en el
futuro. Este sistema reconoce productos independientes, pero insta a
los actores del mercado de la seguridad a que busquen la forma en la
que puedan funcionar juntos para resolver problemas comunes y dar lugar
a nuevas oportunidades.



A continuación se incluyen ejemplos concretos de aplicación de los Siete Principios Rectores en la propia actividad de RSA:



1. La seguridad debe estar incorporada en la infraestructura de TI:
según el primer principio, la seguridad no debe estar meramente
integrada en la infraestructura, sino incorporada en ella. Esta
creencia rige las principales iniciativas de RSA, incluido su trabajo
en colaboración con Cisco. Los equipos de RSA y Cisco han aunado
fuerzas para incorporar los mecanismos de prevención de pérdida de
datos a dispositivos como la pasarela de seguridad para correo
electrónico Cisco IronPort®. RSA y VMware también han formado una
alianza tecnológica para incorporar los controles de seguridad
esenciales a la infraestructura virtual, y ayudar así a las
organizaciones a reducir el riesgo y aumentar su seguridad global.



2. Desarrollo de ecosistemas de soluciones: es preciso formar
ecosistemas que permitan a los productos y servicios de múltiples
organizaciones funcionar de forma conjunta para resolver problemas de
seguridad comunes. RSA ha invertido en la comunidad RSA
eFraudNetworkTM: un ecosistema creado en colaboración con miles de
instituciones financieras de todo el mundo para localizar el fraude
cuando migra entre las instituciones financieras internacionales, o
dentro de estas.



3. Creación de una seguridad sin fisuras, transparente: una seguridad
considerablemente transparente para los usuarios y sistemas que debe
proteger es de vital importancia para salvar la distancia entre el
grado de desarrollo tecnológico y la capacidad de las personas para
seguirlo. Este objetivo de crear una seguridad sin fisuras y
transparente motivó la asociación tecnológica de RSA y First Data
Corporation, la empresa de procesamiento de pagos más importante del
mundo. RSA y First Data han anunciado recientemente un servicio que
proporciona seguridad a la información de las tarjetas de crédito
procedente de los comercios porque evita a estos la necesidad de
almacenar tales datos en sistemas de TI. Este servicio se ha integrado
en el sistema de procesamiento de pagos de First Data, haciéndolo
transparente para los comercios y sus clientes.



4. Garantía de la correlación y la funcionalidad basada en el contenido
de los controles de seguridad: el acceso a la información del usuario
medio está creciendo de manera exponencial al número de normas y
requisitos que regulan la protección de dicha información. En el
Critical Incident Response Center (CIRC) de EMC, la gestión de la
información sobre la seguridad está centralizada, de modo que es
posible correlacionar datos de los controles de la información (como la
prevención de la pérdida de datos), los controles de identidad (como la
autenticación basada en el riesgo), y los controles de infraestructura
(como los sistemas de gestión de parches, configuración y
vulnerabilidad). Este avanzado enfoque de las operaciones de seguridad
ha sido ideado para acelerar la obtención de la inteligencia que los
analistas de seguridad necesitan para distinguir un evento de seguridad
benigno de algo más peligroso para la empresa.



5. La seguridad debe estar orientada de fuera hacia dentro y viceversa:
RSA piensa que la seguridad debe incluir un enfoque bilateral que
proteja tanto el perímetro (de fuera hacia dentro) como la propia
información (de dentro hacia fuera). Dado que los usuarios acceden a la
información desde distintos dispositivos dentro y fuera de la red y en
la nube, la política y los controles de seguridad deben aplicarse a la
información a medida que esta se desplaza por la infraestructura.



6. La seguridad tiene que ser dinámica y basarse en el riesgo: los
actos de los delincuentes y estafadores que operan en este medio no
están previstos en ninguna normativa o reglamento, por lo que pueden
perpetrar ataques cada vez más creativos. Para luchar contra esta
realidad, las organizaciones tienen que poder correlacionar de forma
dinámica la información procedente de una serie de fuentes y reaccionar
en tiempo real ante los riesgos asociados a la infraestructura y la
información. RSA ya ha anunciado la oferta de nuevos servicios de
consulta y asesoramiento para ayudar a las empresas a aplicar o mejorar
sus operaciones de seguridad, de modo que puedan gestionar de forma más
eficaz los programas de cumplimiento de las TI y el riesgo.



7. Para que sea efectiva, la seguridad tiene que ser autodidacta: el
carácter dinámico de las infraestructuras de TI y de los ataques
maliciosos a los están expuestas está dejando atrás la capacidad de las
personas para seguir su velocidad y complejidad. Por este motivo, la
estrategia de seguridad de la información debe ser dinámica y tener en
cuenta los comportamientos. Para contribuir a la consecución de este
objetivo, RSA también ha anunciado una asociación con Trend Micro que
permitirá aprovechar la inteligencia en tiempo real sobre spyware,
virus, spam y otros datos generados en los centros Threat Resource de
dicha empresa. Esta información vital se está adaptando para su uso en
el Anti-Fraud Command Center de RSA al objeto de aumentar la protección
en el punto extremo de los clientes del RSA FraudActionsm Anti-Trojan
Service.

Ataque Web

Como explicar una Ataque basado en la Web? pues Symantec nos da una mano

Symantec

Fusil

Escrito en Python. Veo que una de las bibliotecas mas conocida para tecnicas de Fuzzing actualiza sus modulos :


- Aplicaciones:
fusil-clamav: ClamAV antivirus.
fusil-firefox: Firefox.
fusil-imagemagick: Image Magick.
fusil-mplayer: Mplayer.
fusil-ogg123: Ogg/Vorbis.
fusil-vlc: VLC.

- Librerias:
fusil-gettext: Librería Gettext .
fusil-gstreamer: Librería Gstreamer .
fusil-libc-printf: Librería función printf().
fusil-poppler: Librería poppler.

- Lenguajes programación:
fusil-php: Aplicaciones en PHP.
fusil-python: Aplicaciones en Python.Otros:
fusil-wizzard: Comandos de Linux.
fusil-zzuf: Sockets de red.


Hora de actualizar las nuestras y a Testear App ;)
Web

Listado de aplicaciones de seguridad

Nunca esta demás recordarlas, y voy a agregar como herramienta de seguridad una herramienta Manager de Políticas y Procedimientos "Manager"

Provox y Moblin van de la mano

Moblin

Microsoft y LOPD 2009

Actualizacion de la publicacion del 2002 por parte de Microsoft del Libro ‘La Protección de Datos Personales' ahora con el titulo ‘La Protección de Datos Personales: Soluciones en entornos Microsoft, versión 2.0’ que abarca todos los avances de LOPD. Se puede descargar desde technet.microsoft.com/es-es/security/default.aspx en el apartado ‘Información destacada'

7 Tendencias tecnológicas para el 2009

En Techweek ha publicado un resumen de lo que consideran son las siete tendencias tecnológicas que están cambiando la informática y que concretamente son estas:

1. Green IT, la «informática verde y ecológica»
2. SaaS y Cloud Computing, el software como servicio y la computación en nube
3. Gobierno IT, uniendo tecnololgía y negocio
4. Web 2.0, la evolución de la web
5. Tecnología móvil corporativa, convergencia digital
6. Gestión del rendimiento, un seguimiento histórico
7. Gestión de contenidos y/o gestión de activos digitales

Fuente: http://www.techweek.es/gestion-ti/informes/1005337003501/tendencias-tecnologicas-cambiando-informatica.1.html?utm_source=newsletter&utm_medium=email&utm_campaign=20090414

% y mas %, seguridad, datos, dinero, inversiones todo apunta al empleado

Es real que solo cuando pasa es cuando se dan cuenta de la importancia. Cuando en varias ocasiones avisas en tu trabajo que X aplicación esta en estado critico y no te prestan atención, acudís a diferentes métodos de persuasión para hacer entender algo que en primer medida solo va a ser de privilegio para quien reportas, ahora bien esto te puede salir bien o no, en las mayorías de los casos el mejor "Maestro" es el daño por si mismo. Solo cuando la aplicación, que avisastes una y otra vez, queda fuera de servicio y cada minuto que pasa ese dinero perdido para la empresa, es cuando salís corriendo a solucionar y luego te preguntan...Sabes como solucionarlo definitivamente?
Es de publico conocimiento que la crisis finaciera ha tocado en todos lados, en la vida real y como siempre los avivados que lucran con esta escuza, y esto lleva a otra gran lucha de la gente de seguridad de la información el "Control de personal de la empresa". En algunas ocasiones son personal dados de baja en otras personal mal pago o también personal descontento por la sumatoria de las anteriores, en definitiva de cualquier flanco es un punto de Inseguridad sobre la información de la empresa.
He visto que ya han salido varios estudios sobre el tema, creo que uno de los mas serio es el de Symantec, que refleja :

Entre los individuos que perdieron su empleo a lo largo de 2008 y 2009, quienes la mayoría (un 59 por ciento), reconoció haber robado información confidencial de la compañía para la que trabajaba.
Entre los principales motivos por lo que se realizan estos actos destaca, sobre todo, la mala relación por su antiguo superior en la compañía.
En cuanto a los principales métodos para extraer esta información, son muy diversos, aunque la mayor parte (el 53 por ciento) prefiere una simple copia en CD o DVD, mientras que el 42 por ciento escoge un disco USB para perpetrar sus acciones. Por su parte, un 38 por ciento envió información confidencial por correo electrónico a una cuenta personal.

El responsable de seguridad sobre la información de la empresa, es un EMPLEADO, por ende este guardando su profesionalismo y responsabilidad, debe afrontar también estos temas.
Creo firmemente que como la toma de consenticiacion en la seguridad de la información es la CHARLA y ESCUCHA, de ambas partes y en este caso del Empleado y del Empleador. Ya que sin empleado no hay empleador y sin estos dos no hay empresa.

Por que un empleado le cuesta seguir las reglas de seguridad?

....los motivos son muchos pero existen 3 razones que abarcan casi su totalidad.....
Basado en una "riña laboral", me dio a lugar pensar por que el empleado es aséptico de las normativas de seguridad, pues bien acá van esas 3 razones en las cuales se apaña cualquier empleado al momento de consultarle por su no cumplimiento:

- Las reglas no son dadas a conocer; Las reglas de seguridad de la información en la empresa están desarrolladas pero las mismas no son dadas a conocer a los nuevos empleados ni informados a los empleados de planta. No estaría demás decir que esta razón, puede también ser disuelta con una buena campaña de concienciación, si el resultado de esta es bueno los mismos empleados solicitaran las normativas de seguridad.

- Las normativas dadas a conocer no tienen quien haga un control; motivo por el cual el empleado por diversos causas deja de cumplirlas. Así como una buena campaña de concienciación, existe formas de Check list automáticos para saber si las mismas son cumplidas por el personal (Harding sobre OS, Check list básico de seguridad, IS sobre la empresa, etc.) .


- Las normativas son concideradas un freno para la productividad; Esto solo sucede por que los empleados no tiene conciencia de la importancia de las normativas o por que realmente son normativas que actúan en contra de la productividad, para estos casos siempre es tener las normativas en periodos de adopción, periodo de puesta en marcha,periodo de producción y un periodo de revisión.


Por ende, no hay ninguna terapia de compañeros de trabajo , ni nada parecido que haga funsionar las normativas de seguridad, sino el conocimiento y entendimiento de las partes sobre ellas.