Los Siete Principios Rectores de RSA

Los Siete Principios Rectores de RSA para la construcción de una estrategia de seguridad sistémica



RSA afirma que ha llegado el momento de que los líderes en seguridad
para las empresas definan estrategias sistémicas que no solo permitan a
sus organizaciones proporcionar seguridad de forma eficaz en el
cambiante entorno actual, sino que además les proporcionen los medios
para ofrecerles una infraestructura de la información más segura en el
futuro. Este sistema reconoce productos independientes, pero insta a
los actores del mercado de la seguridad a que busquen la forma en la
que puedan funcionar juntos para resolver problemas comunes y dar lugar
a nuevas oportunidades.



A continuación se incluyen ejemplos concretos de aplicación de los Siete Principios Rectores en la propia actividad de RSA:



1. La seguridad debe estar incorporada en la infraestructura de TI:
según el primer principio, la seguridad no debe estar meramente
integrada en la infraestructura, sino incorporada en ella. Esta
creencia rige las principales iniciativas de RSA, incluido su trabajo
en colaboración con Cisco. Los equipos de RSA y Cisco han aunado
fuerzas para incorporar los mecanismos de prevención de pérdida de
datos a dispositivos como la pasarela de seguridad para correo
electrónico Cisco IronPort®. RSA y VMware también han formado una
alianza tecnológica para incorporar los controles de seguridad
esenciales a la infraestructura virtual, y ayudar así a las
organizaciones a reducir el riesgo y aumentar su seguridad global.



2. Desarrollo de ecosistemas de soluciones: es preciso formar
ecosistemas que permitan a los productos y servicios de múltiples
organizaciones funcionar de forma conjunta para resolver problemas de
seguridad comunes. RSA ha invertido en la comunidad RSA
eFraudNetworkTM: un ecosistema creado en colaboración con miles de
instituciones financieras de todo el mundo para localizar el fraude
cuando migra entre las instituciones financieras internacionales, o
dentro de estas.



3. Creación de una seguridad sin fisuras, transparente: una seguridad
considerablemente transparente para los usuarios y sistemas que debe
proteger es de vital importancia para salvar la distancia entre el
grado de desarrollo tecnológico y la capacidad de las personas para
seguirlo. Este objetivo de crear una seguridad sin fisuras y
transparente motivó la asociación tecnológica de RSA y First Data
Corporation, la empresa de procesamiento de pagos más importante del
mundo. RSA y First Data han anunciado recientemente un servicio que
proporciona seguridad a la información de las tarjetas de crédito
procedente de los comercios porque evita a estos la necesidad de
almacenar tales datos en sistemas de TI. Este servicio se ha integrado
en el sistema de procesamiento de pagos de First Data, haciéndolo
transparente para los comercios y sus clientes.



4. Garantía de la correlación y la funcionalidad basada en el contenido
de los controles de seguridad: el acceso a la información del usuario
medio está creciendo de manera exponencial al número de normas y
requisitos que regulan la protección de dicha información. En el
Critical Incident Response Center (CIRC) de EMC, la gestión de la
información sobre la seguridad está centralizada, de modo que es
posible correlacionar datos de los controles de la información (como la
prevención de la pérdida de datos), los controles de identidad (como la
autenticación basada en el riesgo), y los controles de infraestructura
(como los sistemas de gestión de parches, configuración y
vulnerabilidad). Este avanzado enfoque de las operaciones de seguridad
ha sido ideado para acelerar la obtención de la inteligencia que los
analistas de seguridad necesitan para distinguir un evento de seguridad
benigno de algo más peligroso para la empresa.



5. La seguridad debe estar orientada de fuera hacia dentro y viceversa:
RSA piensa que la seguridad debe incluir un enfoque bilateral que
proteja tanto el perímetro (de fuera hacia dentro) como la propia
información (de dentro hacia fuera). Dado que los usuarios acceden a la
información desde distintos dispositivos dentro y fuera de la red y en
la nube, la política y los controles de seguridad deben aplicarse a la
información a medida que esta se desplaza por la infraestructura.



6. La seguridad tiene que ser dinámica y basarse en el riesgo: los
actos de los delincuentes y estafadores que operan en este medio no
están previstos en ninguna normativa o reglamento, por lo que pueden
perpetrar ataques cada vez más creativos. Para luchar contra esta
realidad, las organizaciones tienen que poder correlacionar de forma
dinámica la información procedente de una serie de fuentes y reaccionar
en tiempo real ante los riesgos asociados a la infraestructura y la
información. RSA ya ha anunciado la oferta de nuevos servicios de
consulta y asesoramiento para ayudar a las empresas a aplicar o mejorar
sus operaciones de seguridad, de modo que puedan gestionar de forma más
eficaz los programas de cumplimiento de las TI y el riesgo.



7. Para que sea efectiva, la seguridad tiene que ser autodidacta: el
carácter dinámico de las infraestructuras de TI y de los ataques
maliciosos a los están expuestas está dejando atrás la capacidad de las
personas para seguir su velocidad y complejidad. Por este motivo, la
estrategia de seguridad de la información debe ser dinámica y tener en
cuenta los comportamientos. Para contribuir a la consecución de este
objetivo, RSA también ha anunciado una asociación con Trend Micro que
permitirá aprovechar la inteligencia en tiempo real sobre spyware,
virus, spam y otros datos generados en los centros Threat Resource de
dicha empresa. Esta información vital se está adaptando para su uso en
el Anti-Fraud Command Center de RSA al objeto de aumentar la protección
en el punto extremo de los clientes del RSA FraudActionsm Anti-Trojan
Service.