Transformación de la seguridad de la

información

ABN Amro Dr. Martijn Dekker, vicepresidente ejecutivo, director de seguridad de la información

AstraZeneca SiMon StricklanD, jefe de seguridad global

Procesamiento automático de datos rolanD cloutier, vice presidente, director de seguridad

The Coca-Cola Company renee GuttMann, directora de seguridad de la información

eBay leanne toliver, directora de seguridad de la información

EMC Corporation Dave Martin, vicepresidente y director de seguridad

FedEx DeniSe D. WooD, vicepresidenta corporativa, seguridad de la información, directora de seguridad de la información, directora de riesgo de TI

Fidelity Investments tiM MckniGht, vicepresidente ejecutivo, seguridad y riesgo de la información empresarial

Banco HDFC viShal Salvi, director de seguridad de la información y vicepresidente ejecutivo

HSBC Holdings plc. BoB roDGer, jefe de grupo de seguridad de infraestructura

Intel MalcolM harkinS, vicepresidente, director de seguridad y privacidad

Johnson & Johnson Marene n. alliSon, vicepresidenta mundial de seguridad de la información

JPMorgan Chase aniSh BhiMani, director de riesgo de la información

Nokia Petri kuivala, director de seguridad de la información

SAP AG ralPh SaloMon, CRISC, vicepresidente de seguridad, oficina de procesos y cumplimiento de normas, prestación de nube de SAP e infraestructura

TELUS kenneth haertlinG, vice-presidente y director de seguridad

T-Mobile USA WilliaM Boni, director corporativo de seguridad de la información (CISO) y vicepresidente, seguridad de la información empresarial

Walmart Stores, Inc. jerry r. GeiSler iii, oficina del director de seguridad de la información

Security for Business Innovation Council

Una iniciativa del sector patrocinada por RSA

Creación de una estrategia de big

data para toda la empresa

Identificación de las áreas clave para optimizar la resistencia a

amenazas

Orientación para realizar inversiones innovadoras

y de detección

Optimización de la

experiencia del usuario final

Mejora de la visibilidad en la nube

Recomendaciones para aprovechar

tecnologías avanzadas

Informe basado en debates con

en eSte inforMe:

t

Enfoque en tecnologías estratégicas

recoMenDacioneS De ejecutivoS De GloBal 1000

2 | informe del SecuriTy for BuSineSS innovaTion council | RSA, la División de Seguridad de EMC

PUNTOS DESTACADOS DEL INFORME 1

1. INTRODUCCIÓN:

FORTALECIMIENTO

DE LAS CAPACIDADES 2

2. DESARROLLO DE RESISTENCIA

ANTE AMENAZAS CIBERNÉTICAS 3

3. OPTIMIZACIÓN DE LA

EXPERIENCIA DEL USUARIO FINAL 7

4. PROTECCIÓN DEL ALMACENAMIENTO

DE NUBE EMPRESARIAL 9

5. RECOMENDACIONES

1. Planifique con al menos tres años de anticipación 10

2. Consiga una perspectiva más amplia mediante la integración 13

3. Maximice el valor con implementaciones formalizadas de tecnología 14

CONCLUSIÓN 16

ACERCA DE LA INICIATIVA DE SBIC 16

PARTNERS DEL INFORME 17

* Contenido

Renuncia de responsabilidades: Este informe del Security for Business Innovation Council (“Informe”) incluye información y materiales (conjuntamente, el “Contenido”) que están sujetos a modificación sin aviso. RSA Security LLC, EMC Corporation y los autores individuales del Security for Business Innovation Council (conjuntamente, los “Autores”) niegan de manera expresa toda obligación de mantener el Contenido actualizado. El Contenido se proporciona “TAL COMO ESTÁ”. Los Autores niegan toda garantía expresa o implícita relacionada con el uso del Contenido, que incluye, sin limitación, la comerciabilidad, la idoneidad, el no incumplimiento, la exactitud o la aplicación para un fin en particular. El Contenido tiene como fin brindar información al público y no se trata de asesoría legal por parte de RSA Security LLC, su compañía matriz, EMC Corporation, sus abogados ni de ninguno de los autores de este informe de SBIC. Usted no debe actuar ni abstenerse de actuar en función de ningún Contenido sin consultar a un abogado autorizado para ejercer en su jurisdicción. Los Autores no serán responsables de ningún error incluido en el presente documento ni de ningún daño que surja del uso de este Informe o se relacione con este (incluido todo el Contenido), que incluye, sin limitación, los daños directos, indirectos, accidentales, especiales, resultantes o punitorios, ya sean contractuales, extracontractuales o según otro principio de responsabilidad, incluso si los Autores tienen conocimiento de la posibilidad de dichos errores o daños. Los Autores no asumen ningún tipo de responsabilidad por los errores u omisiones de ningún Contenido.

RSA, la División de Seguridad de EMC | informe del SecuriTy for BuSineSS innovaTion council | 1

loS ejecutivoS De SeGuriDaD de la información líderes han identificado oportunidades para fortalecer las capacidades de seguridad en tres áreas clave: resistencia ante amenazas cibernéticas, optimización de la experiencia del usuario final y seguridad de la nube.

loS líDereS De SeGuriDaD De hoy hablan en términos de resistencia ante amenazas cibernéticas: frente a las continuas intrusiones, su objetivo es evitar que los atacantes logren sus resultados, administrar las vulneraciones inevitables y minimizar su impacto.

la analítica De BiG Data y el antimalware de última generación se consideran vitales para el desarrollo de una resistencia ante amenazas cibernéticas.

cuanDo eStá coMPletaMente implementada, la analítica de big data permite a las organizaciones monitorear de manera continua las amenazas cibernéticas en el ambiente de negocios y detectar, comprender y responder a los incidentes en tiempo real.

la Mayoría De laS implementaciones de vanguardia se basan en soluciones desarrolladas internamente, pero se están trasladan do a plataformas de análisis de la seguridad comerciales y estándar.

coMo ahora laS SolucioneS comerciales están ampliamente disponibles, se espera que muchas más organizaciones comenzarán a implementar un programa de análisis de la seguridad dentro de los próximos 18 meses.

Puntos destacados del informe

laS tecnoloGíaS antimalware de última generación no dependen de firmas; detectan el malware mediante el análisis de patrones de comportamiento de características sospechosas y son, por lo tanto, más eficaces contra los ataques de día cero.

la reSiStencia ante amenazas cibernéticas requiere inversiones innovadoras: los equipos de seguridad líderes de hoy están centrando sus inversiones en controles que detectan las intrusiones en vez de prevenirlas.

varioS equiPoS De SeGuriDaD líderes consideran que llevar las UX de los sistemas de seguridad al nuevo estándar impuesto por teléfonos inteligentes, tabletas y aplicaciones para consumidores populares es una prioridad fundamental.

hoy, loS uSuarioS eSPeran menos inicios de sesión y que sean más rápidos, acceso más rápido a los datos y aplicaciones y la libertad de moverse entre dispositivos, ubicaciones y plataformas.

Se eStá iMPulSanDo una mejor UX con avances en técnicas de autenticación basada en riesgo y con la administración de identidades y de acceso.

Para ayuDar a Solucionar algunos de los problemas de seguridad más complejos relacionados con el uso de la nube empresarial se ha puesto a disposición una variedad de servicios. Varios equipos de seguridad líderes ven una promesa real en estos nuevos servicios de

seguridad de la nube y planean implementar al menos uno el próximo año.

eStoS ServicioS afirMan Ser capaces de solucionar problemas como TI oculta, evaluaciones de riesgos y garantía de controles, administración de identidades y de acceso, pérdida de datos, protección de la información de identificación y cifrado en la nube.

SBic ProPorciona SuS treS recomendaciones más importantes para aprovechar las tecnologías avanzadas con el fin de crear mejores defensas y mejorar la productividad del negocio:

1. Planificar con al menos tres años de anticipación: un plan trienal continuo es una herramienta útil para ayudarlo a enfocar capital limitado en inversiones de seguridad con tendencias vanguardistas. La orientación específica incluye: uso del análisis SWOT, alineación con la TI y el negocio, creación de una estrategia de big data para toda la empresa y hacer que los auditores se comprometan.

2. Conseguir una perspectiva más amplia mediante la integración: actualmente, cuando se invierte en tecnologías de seguridad, los mayores beneficios provienen de la conexión y consolidación de múltiples aplicaciones. Ahora las tecnologías hacen que sea más sencillo integrar sistemas de manera efectiva; por ejemplo, los equipos de seguridad están integrando cada vez más la detección de amenazas con tecnologías de prevención o la administración de riesgo con aplicaciones de negocios.

3. Maximizar el valor con implementaciones de tecnología formalizada: la implementación de tecnología de manera eficiente es un gran desafío, debido al ritmo de cambio y a los presupuestos limitados. Para administrar los riesgos proactivamente, prediga y rastree los costos totales y el valor total, escale las implementaciones para obtener logros rápidos, utilice una administración de proveedores de nube prudente y aborde el mantenimiento de manera estratégica.

Este informe proporciona un conjunto valioso de recomendaciones de

18 directores de seguridad líderes en el mundo a fin de ayudar a las organizaciones

a crear estrategias de seguridad para el creciente panorama de amenazas de hoy en día.

2 | informe del SecuriTy for BuSineSS innovaTion council | RSA, la División de Seguridad de EMC

1 Introducción: Fortalecimiento de las capacidades

E

¿En qué consiste un programa de seguridad de la información eficaz y con miras al futuro?

l SBIC (Security for Business Innovation Council) ha generado una serie de tres informes sobre la “Transformación de seguridad de la información” para responder esta pregunta. Al fusionar los conocimientos y la visión de los principales líderes de seguridad de la información, los informes ofrecen recomendaciones viables para conseguir un programa estratégico. El primer informe era una guía para diseñar un equipo ampliado de última generación; el segundo exploró la primera fila de los procesos de seguridad de la información. El tercero identifica algunas tecnologías esenciales para la evolución de los programas de seguridad de la información.

5Lea los dos primeros informes

La velocidad del cambio es más rápida que nunca. Tiene que incluir flexibilidad e innovación a su estrategia. Debido a que dentro de 18 o incluso 12 meses más la tecnología habrá avanzado, sus adversarios también lo habrán hecho y puede tener la seguridad de que se formularán preguntas acerca de por qué usted no está al día con los desarrollos.

l SBIC (Security for Business Innovation Council), un grupo de

pensamiento progresivo compuesto por algunos de los ejecutivos de seguridad de la información líderes a nivel mundial, ha identificado oportunidades para fortalecer las capacidades de seguridad como resultado de los avances en tecnología. Estas oportunidades se enfocan en tres áreas clave: resistencia ante amenazas cibernéticas, optimización de la experiencia del usuario final y seguridad de la nube.

Los líderes de seguridad que componen el SBIC expresaron que hay enormes cambios en seguridad en marcha, pero que, de alguna manera, los desarrollos no están avanzando lo suficientemente rápido. Les gustaría ver avances continuos en tecnología de seguridad que no solo crearían mejores defensas previsoras, sino que también mejorarían la productividad del negocio.

Este informe, el tercero y final de la serie de Trans­formación de seguridad de la información, com­bina las perspectivas de las tecnologías con la experiencia en estrate­gias para ayudar a los equipos de seguridad a guiar decisiones com plejas con respecto a las implementaciones de tecnología, a la vez que maximiza las inversiones.

Simon Strickland, director global de seguridad, AstraZeneca

RSA, la División de Seguridad de EMC | informe del SecuriTy for BuSineSS innovaTion council | 3

Se reconoce ampliamente que las implementaciones actuales de defensa cibernética a menudo son insufici­entes. El informe de investigaciones sobre vulneración de datos de Verizon revela que el 66 % de las vulnera­ciones tardan meses o incluso años en ser descu­biertas.1 Los líderes de seguridad de hoy hablan en términos de resistencia ante amenazas cibernéticas.

Aunque siguen buscando la forma de impedir que los adversarios cibernéticos obtengan acceso a la orga­nización, reconocen la probabilidad de compromisos. Frente a las continuas intrusiones, su objetivo es evitar que los atacantes logren sus resultados, administrar las vulneraciones inevitables y minimizar su impacto. Parar conseguir resistencia ante amenazas ciberné­ticas, los líderes de seguridad necesitan tecnologías que proporcionen una completa concientización de la situación, detección de amenazas eficaz y la capacidad de responder rápidamente a los incidentes.

Es importante tener presente, sin embargo, que las nuevas tecnologías no reemplazarán por completo a los controles de seguridad existentes, sino que ser­virán como un componente crítico de una plataforma de defensa y protección general y de varias capas de la organización. Por ejemplo, sigue siendo esencial realizar prácticas de seguridad y limpieza básicas, y hacerlas bien.

Análisis de la seguridad: una tecnología base

Los equipos de seguridad de vanguardia adoptan cada vez más la tecnología de analítica de big data como un componente fundamental de sus programas de seguridad de la información de varias capas. La detección de amenazas es el área principal de seguridad de la información donde se aplica la analítica de big data. Cuando está completamente implementada, la analítica de big data permite a las organizaciones monitorear de manera continua las amenazas cibernéticas en el ambiente de negocios y detectar, comprender y responder a los incidentes en tiempo real. Reunir los datos de las amenazas y los procesos de negocios permite a la organización formar un cuadro más completo y aumenta considerablemente la visibilidad en toda la empresa. Esas características, junto con la capacidad única de adaptarse a los cambios a largo plazo en el panorama de amenazas, hacen que la analítica de big data sea un componente fundamental para la defensa cibernética.

Los programas de hoyLos equipos de seguridad líderes que cuentan con

programas de analítica relativamente maduros no solo han sido capaces de obtener un valor importante de estos programas, sino que están “duplicando” sus inversiones. Los esfuerzos actuales incluyen agregar técnicas de visualización de datos más sofisticadas para proporcionar más contexto acerca de un incidente y ayudar a los inves­tigadores a comprender mejor qué eventos podrían estar relacionados. Algunas organizaciones están trabajando para conseguir una integración más profunda de los datos de eventos y procesos del negocio en su sistema de analítica para aumentar automáticamente la protección para los recursos de negocios más críticos. Otras están enfocadas en acortar el tiempo de reacción cuando se detectan los ataques y enriquecer sus análisis con datos de amenazas externas.

Aunque la mayoría de las implementaciones de vanguardia de análisis de la seguridad a la fecha se basan en soluciones desarrolladas internamente, varias organizaciones están pensando en migrar a soluciones comerciales. Prevén que la complejidad de la implemen­tación de análisis de la seguridad disminuirá a medida que los proveedores brinden plataformas más completas. De hecho, las plataformas de análisis de la seguridad comerciales, de primera generación y estándar se encuentran disponibles ahora, y los proveedores están creando funcionalidades más avanzadas como el soporte para el flujo de trabajo integrado de respuesta a inciden tes. Como estas soluciones comerciales están amplia mente disponibles, se espera que muchas más orga nizaciones comenzarán a implementar un programa de análisis de la seguridad dentro de los próximos 18 meses.

1 Informe de investigaciones sobre vulneración de datos de Verizon de 2013

2 Desarrollo de resistencia ante amenazas cibernéticas

4 | informe del SecuriTy for BuSineSS innovaTion council | RSA, la División de Seguridad de EMC

Capacidad futura

Descripción

Aplicación de aprendizaje automático al desarrollo de reglas de detección de amenazas

El sistema sugiere automáticamente las reglas que necesitan cambiarse o las correlaciones que pueden ser útiles. Por ejemplo, puede sugerir el ajuste del umbral de detección de una regla si el comportamiento actual de usuarios normales genera demasiados falsos positivos. Con el aprendizaje automático, el sistema también puede descubrir los parámetros previamente inadvertidos que pueden ser útiles para detectar un ataque. La creación de prototipos incipientes ha sido muy exitosa e indica que los sistemas de aprendizaje automático son extremadamente hábiles para optimizar reglas de detección de amenazas.

Respuesta y contención automáticas

Cuando el sistema detecta un problema, brinda automáticamente una respuesta para contener y limitar el impacto sin requerir la intervención humana. La respuesta automática funcionaría particularmente bien en situaciones donde los pasos de respuesta están bien definidos, como los ataques de denegación de servicio distribuido (DDoS).

Predicción de ataques

Sistema de priorización que establece un umbral para los riesgos prioritarios. El sistema genera alertas si detecta comportamiento que podría indicar la planificación de un ataque, como la detección de varios intentos de autenticación fallidos en rápida sucesión. Si bien las alertas reactivas informan a los analistas acerca de un ataque en curso, las alertas predictivas informan a los analistas acerca de comportamiento que mantiene un cierto valor de riesgo de índice que indica una vulneración futura, incluidos el contexto y las razones.

Defensa de la comunidad de soporte

El sistema posee mecanismos integrados para intercambiar automáticamente datos de inteligencia de amenazas con otras organizaciones. Incluye funcionalidades de enmascaramiento refinadas y altos niveles de confianza en la red que comparte información.

Transferencia de recursos y creación de instancias de con trol de manera automática

El sistema utiliza la virtualización para permitir que los recursos se transfieran más fácilmente. Si hay un objetivo bajo ataque, el sistema transfiere automáticamente el recurso atacado a una ubicación física diferente. En la nueva ubicación, el sistema crea instancias de control alrededor del recurso que son específicas para el tipo de ataque en curso.

VISIÓN A LARGO

PLAZOLos equipos de seguridad líderes tienen planes para los sistemas de analítica cada vez más sólidos y automatizados. La tabla describe algunas de las funcionalidades que esperan agregar a sus programas de analítica a largo plazo.

RSA, la División de Seguridad de EMC | informe del SecuriTy for BuSineSS innovaTion council | 5

DESARROLLO DE LA RESISTENCIA ANTE AMENAZAS CIBERNÉTICAS

RetosLa implementación de la analítica de big data

supone un reto, incluso para equipos de seguridad altamente sofisticados. Algunos de estos retos deberían aminorar a medida que la tecnología madura. Los retos actuales incluyen:

D Los mejores programas de analítica del mercado que generalmente requieren conocimientos especializados. Debido a la escasez de expertos disponibles, es posible que muchas organizaciones deban recurrir a proveedores de servicios para obtener habilidades específicas. (Para obtener una guía sobre el conjunto de habilidades requeridas, consulte el primer informe de la serie, Diseño de un equipo ampliado de última generación.)

D La privacidad del usuario final se debe tener en consideración al recopilar y almacenar datos que puedan revelar demasiado sobre los individuos, su trabajo y sus hábitos personales. Esto requiere que las organizaciones desarrollen competencias en cuanto a la “privacidad desde el diseño”. Consulte la barra lateral de la sección 3 para obtener un análisis más detallado.

D El data warehouse utilizado en un programa de analítica es un recurso crítico que contiene información acerca de los sistemas de seguridad y de los procesos del negocio, como logs y otros datos confidenciales. Por ello, necesita controles de seguridad eficaces para proteger dicha información. La combinación de datos en un solo lugar crea un nuevo objetivo para los criminales cibernéticos.

D Se requiere bastante trabajo para analizar los datos de varios sistemas a fin de cargarlos a la plataforma de analítica.

D Los requisitos de almacenamiento y de potencia de procesamiento para la analítica de big data son considerables. Las organizaciones deben garantizar la capacidad de cumplir los requisitos de escalamiento de recursos de cómputo y la flexibilidad de plataforma necesaria para manejar grandes explosiones de datos que pueden ocurrir durante un ataque.

D Las soluciones de análisis de la seguridad comercial no están configuradas previamente para manejar muchos casos de uso comunes, por lo que aún se requiere un nivel de personalización mayor.

D Los análisis de la seguridad requieren recursos centrados y dedicados. Para evitar conflictos de interés y situaciones donde los empleados se trasladan a áreas como operaciones de TI, lo cual forma un brecha, el monitoreo de la seguridad se debe separar de otras disponibilidades similares.

Antimalware de última generación: la pieza clave de la defensa cibernética

Hay muchos productos que se han lanzado al mercado en los últimos años y que sirven para detectar y detener malware sin basarse en firmas. Se pueden implementar como software o dispositivos en la red y pueden ser eficaces ante ciertos tipos de amenazas. Las tecnologías antimalware de última generación se consideran actualmente como una parte esencial de las estrategias de defensa cibernética.

Análisis de malwareLa mayoría de las tecnologías antimalware de

última generación detectan malware mediante el análisis de patrones de comportamiento de características sospechosas, como por ejemplo, un proceso que intenta ejecutarse en el nivel de kernel y no en una capa de aplicación. Esto los hace eficaces contra ataques de día cero que las herramientas basadas únicamente en firmas no pueden detectar. Las soluciones pueden usar las siguientes técnicas:

1. Análisis de carga útil: ejecuta tráfico entrante en un ambiente virtual y detiene el tráfico antes de que llegue a la terminal si parece ser malware.

2. Análisis de red: comprueba si un proceso trata de conectarse a una dirección IP que se sabe está asociada a un centro de mando y control de botnet.

3. Análisis de memoria: examina la memoria de las terminales para determinar si el dispositivo se encuentra infectado.

Una ventaja clave de estas soluciones es que el periodo de tiempo desde la llegada hasta la detección del malware se puede reducir considerablemente, lo cual permite la limpieza y el bloqueo rápidos y la prevención de posibles pérdidas de datos u otras actividades maliciosas. Sin embargo, una desventaja de estas soluciones es que no reemplazan completamente a las soluciones de AV; por ello, las organizaciones deben continuar operando sus AV existentes junto a la nueva tecnología. Muchas empresas innovadoras han adoptado las tecnologías antimalware de última generación y se espera que esta tendencia continúe por los próximos 18 meses.

Muchas empresas innovadoras han adoptado las tecnologías antimalware de última generación y se espera que esta tendencia continúe por los próximos 18 meses.

6 | informe del SecuriTy for BuSineSS innovaTion council | RSA, la División de Seguridad de EMC

Se requieren inversiones innovadorasActualmente, los equipos de seguridad líderes

enfocan las inversiones en controles que detectan intrusiones, en vez de prevenirlas. Los controles detectores están diseñados para generar alertas que requieren seguimiento a fin de distinguir falsos positivos de amenazas reales y responder a las amenazas. Esto requiere un personal altamente calificado y procesos sólidos de manejo de incidentes para hacer seguimiento a las alertas. La necesidad de nuevas habilidades y procesos, y el tiempo que se requiere para responder ante incidentes, hacen que las nuevas tecnologías de analítica y antimalware más recientes sean más caras de operar en comparación con muchas tecnologías de seguridad convencionales.

Para algunos equipos de seguridad, puede ser tentador diferir inversiones en defensa cibernética dado el alto precio de tecnologías de detección avanzadas y el paso del cambio tecnológico en esta área. Sin embargo, los equipos de seguridad avanzados están decididos a invertir ahora en tecnologías más nuevas y estratégicas para protegerse ante amenazas cibernéticas. Resulta especialmente fundamental que las organizaciones objetivo de amenazas persistentes avanzadas (APT), involucradas en infraestructura crítica o que necesitan proteger propiedad intelectual valiosa, implementen mejores tecnologías de detección de amenazas cibernéticas, incluidas las soluciones antimalware avanzadas y la analítica de big data. Al considerar los costos alternativos de la investigación y recuperación de cada vez más incidentes, los equipos

DESARROLLO DE LA RESISTENCIA ANTE AMENAZAS CIBERNÉTICAS

“Si se fija en las amenazas avanzadas persistentes (APT), verá que hay mucho dinero detrás de ellas. Para identificar realmente a todos los ataques de día cero y de APT, las organizaciones tienen que moverse a un enfoque más proactivo e invertir en analíticas y en tecnologías de defensa que no se basen en la firma”.

ralPh SaloMonVicepresidente de seguridad, oficina de procesos y cumplimiento de normas, prestación de nube de SAP e infraestructura, SAP AG

de seguridad a menudo pueden construir un sólido caso de negocios para invertir en tecnologías de detección que puedan descubrir los ataques antes de que causen daños considerables.

Estas inversiones se deben tratar como un componente clave de un marco de trabajo de protección y defensa de varias capas. Las soluciones antimalware avanzadas se pueden implementar relativamente rápido, mientras que la analítica de big data puede significar un proyecto de varios años. Para aprovechar los beneficios lo más pronto posible, las mejores organizaciones del mercado determinan cuidadosamente el alcance del proyecto y mantienen el impulso. Construyen su sistema inicial para tratar algunos casos de uso con una cantidad mínima de orígenes de datos, estabilizan el sistema mientras aún es pequeño y luego agregan más orígenes y casos de uso gradualmente.

5

RSA, la División de Seguridad de EMC | informe del SecuriTy for BuSineSS innovaTion council | 7

OPTIMIZACIÓN DE LA EXPERIENCIA DE USUARIO FINAL

os programas de “traiga su propio dis­positivo” y las aplicaciones de cómputo en la nube remodelaron las expectati vas de los usuarios en el pan­orama corporativo. Los trabajadores

de hoy tienen poca paciencia con experiencias de usuario (UX) arcaicas que aún son comunes en apli caciones empresariales. Varios equipos de seguridad líderes consideran que llevar las UX de los sistemas de seguridad al nuevo estándar impuesto por teléfo nos inteligentes, tabletas y aplicaciones para consum­idores populares es una prioridad fundamental.

En la seguridad de la información, una mejor UX tiene poco que ver con el brillo superficial. Principal­mente significa tener menos obstáculos en el camino:

menos inicios de sesión y más rápidos, acceso más rápido a datos y aplicaciones, y la libertad de moverse entre dispositivos, ubicaciones y plataformas. También implica un menor esfuerzo mental, como la necesidad de memorizar contraseñas complejas y varias combinaciones de nombre de usuario/ con traseña. Una mejor UX se puede traducir rápidam ente en mayores eficiencias para los empleados de empresas. La UX es aún más valiosa en aplicaciones destinadas a los clientes, donde prácticamente se paga por sí sola gracias a la creciente satisfacción de los clientes. La experiencia de usuario final ahora es crítica para el éxito del modelo de seguridad de las aplicaciones empresariales y para consumidores.

La analítica impulsa métodos de autenticación flexibles

El objetivo de muchas organizaciones es disminuir los esfuerzos de autenticación requeridos por el usuario común mediante la presentación de un proceso rápido y simple en situaciones de bajo riesgo y un proceso

más exigente en situaciones de alto riesgo. Este tipo de autenticación basada en riesgo ya ha sido ampliamente implementada en servicios bancarios. Por ejemplo, es posible que un usuario que paga una factura mensual mente en su laptop usual no se vea enfrentado a retos, mientras que un usuario que intenta realizar una gran transferencia de dinero usando un dispositivo poco familiar requeriría una verificación de identidad. Las técnicas de autenticación avanzadas que usan varios factores para la identificación basada en riesgo impul san niveles más altos de confianza y menos interacción con los usuarios, lo cual se traduce en transacciones más seguras y una mayor satisfacción del usuario final. Cálculos de riesgo complejos

La analítica de big data hace posible cálculos de riesgo más complejos en el análisis de aspectos del usuario y su comportamiento. Hay muchos factores que se pueden tomar en cuenta para determinar el grado de seguridad en la identidad del usuario y el nivel de confianza general de una transacción, como la ubicación física del usuario, el tiempo de acceso, la actividad solicitada, el valor de los recursos a los que tratan de acceder y las características de seguridad del dispositivo del usuario (por ejemplo, si está protegido por contraseña o liberado). Las organizaciones líderes comenzaron a implementar estos sistemas de autenticación basada en riesgo cada vez más sofisticados en aplicaciones empresariales y para consumidores.

3 Optimización de la experiencia de usuario final

L

La experiencia de usuario final ahora es crítica para el éxito del modelo de seguridad de las aplicaciones empresariales y para consumidores.

8 | informe del SecuriTy for BuSineSS innovaTion council | RSA, la División de Seguridad de EMC

OPTIMIZACIÓN DE LA EXPERIENCIA DE USUARIO FINAL

La optimización de la experiencia de autenticación a menudo implica desventajas que pueden ser difíciles de administrar. El uso de la analítica requiere considerar rigurosamente la privacidad (consulte la barra lateral). Pero la analítica también permite la personalización. Es posible que algunos usuarios elijan una autenticación de dos o tres factores a fin de realizar transacciones de mayor valor en línea. Otros podrían elegir el registro de su dispositivo y así permitir una inspección más rigurosa y el rastreo de su comportamiento a fin de realizar transacciones sin solicitudes de verificación de identidad.

Mejoras en la administración de identidades y de acceso

Los desarrollos recientes en el área de la administración de identidades y de acceso (IAM) ayudan a cumplir los objetivos afianzados de hacer que los nuevos empleados, contratistas y partners se pongan en funcionamiento lo más rápido posible, garantizar el acceso correcto para las funciones y cancelar el acceso inmediatamente una vez que ya no es requerido. La mayoría de los sistemas de IAM ahora brindan conectores listos para usar en varios sistemas, lo cual los hace mucho más fáciles de integrar con bases de datos de negocio autoritarias como los sistemas de RH.

Los servicios de corretaje de identidad ahora permiten el acceso de terceros a las aplicaciones empresariales, sin que la empresa deba asumir la carga de validar la identidad o generar y administrar las credenciales. Las tecnologías para la federación de identidades también han madurado, lo cual simplifica la conexión de empresas a organizaciones de partners de negocio y proveedores de nube. Sin embargo, algunos líderes de seguridad son cautelosos en cuanto a si las soluciones de IAM empresariales actuales serán adecuadas a medida que las organizaciones aumenten considerablemente el uso de servicios de nube pública. Otra causa potencial para la interrupción de las tecnologías de IAM es el creciente uso de inicios de sesión mediante redes sociales para identidades federadas entre sitios de consumidores, las que se podrían extender al ámbito empresarial.

IMPLICACIONES DE PRIVACIDAD Y PROTECCIÓN DE DATOS

La autenticación avanzada y el conocimiento del contexto de las amenazas cibernéticas se basan en la recopilación y la analítica de varios datos. Las implicaciones de privacid ad para estos datos recibirán cada vez más atención a medida que se amplíe el uso de las tecnologías.

En un programa de análisis de la seguridad, los datos de máquinas re copilados por largos periodos de tiempo revelan un patrón de trabajo del indi viduo, la configuración de aplicaciones y dispositivos que este posee y dónde y cuándo trabaja. En algunos países, estos datos se consid eran “datos perso nales” y deben pro tegerse como tales. Incluso si los datos no se regulan local­mente, los equipos de seguridad deben hallar un balance entre la utilidad de la información de usuarios que pueden recopilar y la confidencialidad de di chos usuarios con respecto a esos datos.

El ciclo de vida de desarrollo de la seguridad debería incluir ganchos para diseñar en función de la priva cidad, especialmente al configurar un programa de analítica. Considere preguntas como las que se plantean a continuación:

¿Se han hecho promesas a sus clientes y/o empleados acerca de los tipos de datos que se podrían recopilar y los propósitos para los que se usarían?

¿Necesita todos los datos de máquinas que recopila?

¿Cuán seguro es el catálogo donde almacena los datos? Tenga en cuenta que cuando agrega datos a un catálogo de big data, pierde los controles que originalmente tenía sobre la información y su habilidad de aplicar controles granulares podría verse limitada.

Privacidad y big data

RSA, la División de Seguridad de EMC | informe del SecuriTy for BuSineSS innovaTion council | 9

PROTECCIÓN DEL USO DE LA NUBE EMPRESARIAL

2 IDC, septiembre de 2013 3 Gartner Research, octubre de 2013

Problema de seguridad de la nube

Ejemplo de nuevas ofertas de servicio de seguridad de nube

TI oculta: los empleados usan los servicios de nube para trabajar sin aprobac ión de la organización

• Analizan los ambientes empresariales para detectar los servicios de nube que usan los empleados. Restringen o bloquean el uso de ciertas aplicaciones de nube. Por ejemplo, el equipo de seguridad puede desactivar la capacidad de compartir documentos específicos con ciertos servicios de uso compartido de archivos.

Evaluación del riesgo y garantía de controles

• Evalúan la seguridad de las aplicaciones de nube individuales.

• Realizan controles continuos para monitorear los servicios de nube.

• Miden los indicadores de riesgo clave en tiempo real.

Administración de identidades y de acceso

• Provisionan y desprovisionan convenientemente las cuentas de empleados para varias aplicaciones de nube que usan cuentas Active Directory o LDAP.

• Permiten que los empleados accedan a varias aplicaciones basadas en la nube con single sign­on.

• Admiten la autenticación sólida.

• Restringen el acceso según el dispositivo y la ubicación geográfica del usuario.

Prevención de pérdida de datos

• Amplían el alcance de la prevención de pérdida de datos (DLP) o la administración de los derechos de información (IRM) a la nube.

Protección de la información de identificación

• Proporcionan una pista de auditoría de intentos de inicio de sesión e inicios de sesión exitosos de las aplicaciones.

• Analizan el comportamiento del usuario y alertan a la empresa si una cuenta parece estar comprometida.

Cifrado de datos en la nube para cumplir los requisitos normativos o para protegerlos de vigilancias

• Permiten el cifrado de datos con una clave controlada por la empresa antes de enviarlos a la nube, de manera que los gobiernos u otras entidades no puedan leerlos sin permiso de la empresa. (Algunos equipos de seguridad se mantienen escépticos ante proveedores que aseguran proporcionar un cifrado sólido y que, al mismo tiempo, permiten que los datos se utilicen completamente en aplicaciones basadas en la nube para brindar funcionalidades como las opciones de clasificación y búsqueda).

Recientemente, se puso a disposición una variedad de servicios para ayudar a resolver algunos de los problemas de seguridad más controvertidos relacionados con el uso de la nube empresarial. Muchos equipos de seguridad líderes ven un verdadero potencial en estos nuevos servicios de seguridad de nube y planean implementar

al menos uno de ellos durante el próximo año. En general, se prevé que el mercado crecerá de US$2,100 millones en 2013 a US$3,100 millones en 2015.3 Aún es temprano y todavía no se sabe si esta nueva serie de servicios de seguridad de nube será capaz de cumplir lo prometido. El gráfico muestra algunas de las valiosas funcionalidades prometidas.

Los nuevos servicios de seguridad de nube prometen visibilidad y control

4 Protección del uso de la nube empresarialEl impacto del cómputo en la nube en la TI

empresarial se refleja en el hecho de que muchas empresas, grandes y pequeñas, se preguntan si deben tener su propia infraestructura de TI o utilizar los servicios de nube. Entre 2013 y 2017, se prevé que los servicios de nube de TI públicos tendrán una tasa de crecimiento anual compuesta de 23.5 %; cinco veces mayor que la que posee todo el sector de TI.2

En medio de esta increíble tasa de aceptación, la pregunta fundamental para las organizaciones se mantiene: “Como empresa, ¿cómo podemos mantener el control de nuestros datos si no se encuentran en

nuestra infraestructura de TI?” Los problemas de seguridad se vuelven más difíciles de administrar a medida que el uso de la nube empresarial crece. Además de las preocupaciones que las empresas siempre han tenido acerca de la nube, un punto relativamente nuevo de atención es la vulnerabilidad potencial de datos alojados en la nube para la vigilancia gubernamental. Especialmente, muchas organizaciones se niegan a enviar datos confidenciales a servicios de nube transfronterizos, donde los datos se podrían ubicar en infraestructuras monitoreadas por un Gobierno extranjero.

10 | informe del SecuriTy for BuSineSS innovaTion council | RSA, la División de Seguridad de EMC

RECOMENDACIONES

los ejecutivos de seguridad líderes de SBIC se les solicitó deliberar acerca de preguntas clave como:

D ¿Qué factores debemos considerar al desarrollar una estrategia de tecnología?

D ¿Cómo podemos aprovechar al máximo el valor de la tecnología que compramos?

D ¿Qué es lo esencial que se debe incluir en el presupuesto? ¿Qué podemos dejar fuera?

D ¿Cuáles son los aspectos más importantes de la planificación, adquisición e implementación de tecnología?

Basados en sus años de experiencia, estas son sus recomendaciones más importante en el intento de cumplir los requisitos empresariales en el ambiente actual que cambia rápidamente.

1. Planifique con al menos tres años de anticipación

Un plan trienal continuo es una herramienta útil para ayudarlo a enfocar capital limitado en inversiones de seguridad con tendencias vanguardistas.

Utilice análisis SWOT Como parte de un ejercicio de planificación

estratégico regular, el equipo de seguridad debe prever las fortalezas, debilidades, oportunidades y amenazas (SWOT) que su organización enfrentará en uno, dos o tres años a partir de ahora. Estas suposiciones deberían guiar las inversiones en soluciones, con el conocimiento de que la confianza en las predicciones declinará más con el tiempo.

5 Recomendaciones

Planifique con al MenoS treS añoS De anticiPación

ConSiGa una PerSPectiva MáS aMPlia MeDiante la inteGración

MaxiMice el valor con iMPleMentacioneS De tecnoloGía forMalizaDa

1

2

3

A

RSA, la División de Seguridad de EMC | informe del SecuriTy for BuSineSS innovaTion council | 11

RECOMENDACIONES

Considere las “amenazas” en su contexto general, no solo como amenazas de seguridad, sino como cualquier cosa que podría afectar de manera negativa al negocio. Las oportunidades deberían incluir avances en la tecnología de la seguridad que prevén el estado de la misma dentro de tres años. También considere los avances tecnológicos disruptivos que generalmente implica la tecnología, como plataformas móviles, el cómputo en la nube, el Internet de las cosas y la identidad de los consumidores. ¿Cómo evolucionará la tecnología y qué riesgos creará o cambiará?

Alinéese con la TI y el negocio La dirección de la tecnología en general de una

organización será un gran factor determinante en las áreas donde los controles y sistemas de seguridad brindarán mayor valor. Resulta esencial que los equipos de arquitectura de seguridad y de arquitectura de la tecnología coordinen estrechamente sus esfuerzos de

planificación. En algunas empresas, una persona está a cargo de ambas funciones. En otras, hay dos equipos diferentes que trabajan de manera coordinada.

Cualquier estrategia de seguridad exitosa también se debe implementar en el negocio. El equipo de seguridad debe demostrar exitosamente la manera en que su visión no solo se alinea con la estrategia de negocio, sino que también lo activa.

Creación de una estrategia de big data para toda la empresa

Un área clave para la alineación de la tecnología es la creación de una estrategia de big data general para la empresa. En muchos casos, los log de la infraestructura de TI, de las bases de datos y de las aplicaciones del negocio que resultan valiosos para la seguridad también son útiles para la TI y para otros giros comerciales. La analítica de big data puede beneficiar a una amplia variedad de procesos de negocio que van desde el soporte de TI a la optimización de la cadena de abastecimiento y fabricación. En las

empresas que se comprometen con un programa de analítica, el director de TI suele impulsar estrategias para centralizar big data y optimizar su uso general en la empresa; no serviría de nada dejar datos en un sistema aislado para un solo departamento. El equipo de seguridad está en una posición que le permite ayudar a definir la estrategia general de big data para una empresa, ya que es muy probable que se encargue de algunos de los primeros casos de uso. Cuando elija tecnologías y partners, asegúrese de que la solución proporcione una ruta hacia una estrategia de big data para toda la empresa. Es posible que las tecnologías de big data que son específicas para la seguridad cumplan con los requisitos funcionales del equipo de seguridad, pero a costo de perder una oportunidad para ampliar los objetivos del negocio.

La adopción de big data ofrece una ventaja competitiva importante, no solo a través de una mejor detección de amenazas, sino mediante una visión más profunda del mercado, un servicio al cliente personalizado y una valiosa inteligencia operativa. Es fundamental que los equipos de seguridad de la información desarrollen nuevos controles de seguridad para permitir la adopción rápida de técnicas de big data en toda la empresa, a la vez que garantizan la protección de los recursos de big data de la empresa.

CINCO ESTRATEGIAS PARA MANTENERSE UN PASO ADELANTE aSeGúreSe De que Su programa de seguridad incluya un mensaje de arquitectura firme para contrarrestar la tendencia de las personas de promover más tecnología de la que están acostumbrados.

contextualice SuS requisitos en cuanto a las funcionalidades que necesita de la tecnología en vez de los productos o grupos de productos existentes que se deben reemplazar.

oBServe a loS ProveeDoreS de seguridad emergentes. Las nuevas e innovadoras ideas incipientes podrían no estar lo suficientemente maduras para implementarse a gran escala, pero es posible que dentro de dos años sus soluciones evolucionen para satisfacer sus necesidades.

Señale loS ProBleMaS De negocio que deberá resolver dentro de tres años y comience desde ya a presionar a los proveedores para que brinden las herramientas que necesitará para ese entonces.

oBtenGa MáS inforMación sobre las tendencias de tecnología mediante recursos tales como el In stituto para el Futuro (www.iftf.org).

51

2

3

4

5

La analítica de big data puede beneficiar a una amplia variedad de procesos de negocio que van desde el soporte de TI a la optimización de la cadena de abastecimiento y fabricación.

12 | informe del SecuriTy for BuSineSS innovaTion council | RSA, la División de Seguridad de EMC

Haga que los auditores se comprometanSi trabaja con auditores externos, manténgalos al

tanto de las nuevas tecnologías que implementará durante su plan de tres años. Los marcos de trabajo de auditoría que se usan para calificar a las empresas provienen, por lo general, de libros de texto de seguridad de tres o más años de antigüedad. Si quiere que se acepte el uso de tecnología más nueva, sería útil volver a educar a sus auditores de manera regular y mantenerlos actualizados sobre la tecnología. El almacenamiento de información regulada en la nube, como los datos del sector de tarjetas de pago (PCI), es un problema especialmente desafiante,

porque aunque el ambiente de nube es más seguro que lo que reemplaza, es posible que los auditores no sepan cómo confirmar que es seguro.

Si está considerando usar tecnología de nube o virtualización de una manera que podría representar dificultades con las auditorías, desarrolle una sociedad con sus auditores con anticipación para establecer criterios significativos de auditoría. Mientras tanto, el plan se mueve a la nube de manera gradual. Una organización líder mantiene reuniones trimestrales con sus auditores para intentar solucionar los problemas del uso de la nube, con la meta almacenar datos regulados en la nube para el 2015.

Si quiere convertirse en una tendencia vanguardista, necesita un mensaje de arquitectura muy firme. Necesita que su equipo se planifique con una anticipación de tres años. Tendrá que estar dispuesto a apostar en las áreas donde crea que la tecnología hará innovaciones.

kenneth haertlinG, vicepresidente y director de seguridad, TELUS

RECOMENDACIONES

RSA, la División de Seguridad de EMC | informe del SecuriTy for BuSineSS innovaTion council | 13

2. Conseguir una perspectiva más amplia mediante la integración

Actualmente, cuando se invierte en tecnologías de seguridad, los mayores beneficios provienen de la conexión y consolidación de múltiples aplicaciones. La mayoría de las organizaciones de seguridad obtienen una fracción del valor potencial de los datos de seguridad que poseen, ya que tienden a permanecer en aplicaciones aisladas que no se diseñaron para trabajar en conjunto.

Ahora hay tecnologías disponibles que facilitan la integración eficaz de los sistemas. Por ejemplo, la analítica de big data, inteligencia de seguridad; y ahora las plataformas de buen manejo y control, riesgo y cumplimiento de normas (GRC) proporcionan una ruta para integrar más plenamente la detección de amenazas y la administración de riesgo con aplicaciones de negocio o tecnologías de prevención. Los siguientes ejemplos ilustran la integración de:

Datos de los procesos del negocio con el data warehouse de seguridad

Para incorporar el contexto real del negocio a los eventos de seguridad, una organización líder reconoció que necesitaba analizar los datos no solo de los sistemas de seguridad, sino que también de las aplicaciones de negocios y de las bases de datos. Creó un servicio de registro común para introducir datos pertinentes de las aplicaciones de negocios a sus data warehouse de seguridad. Los analistas que siguen incidentes ahora pueden tener una vista completa del ambiente de negocio, lo cual les permite completar las investigaciones de manera más rápida y exhaustiva.

Pruebas de aplicaciones en tiempo real con una plataforma de inteligencia de seguridad

Los sistemas de pruebas de seguridad de aplicaciones dinámicas (DAST) buscan fallas de seguridad en las aplicaciones web en vivo. Una organización líder ha integrado su sistema DAST con su firewall mediante su plataforma de inteligencia de seguridad (SIP), lo cual permite que el firewall proporcione la protección óptima para las aplicacion es web. Si el sistema DAST encuentra una falla en la aplicación, categoriza el tipo de vulnerabilidad según la base de datos de vulnerabilidades y transmite un número de índice de vulnerabilidad a la SIP. La SIP envía al firewall el nombre de la aplicación defectuosa, su IP y el número de índice de vulnerabilidad. Esto le dice al firewall que una aplicación en especial tiene una falla y un cierto tipo de malware o protocolo podría atacarla. El firewall, que sabe qué tipo de tráfico es una amenaza, bloquea ese tipo de tráfico hacia la aplicación.

Buen manejo y control, riesgo y cumplimiento de normas (GRC) con administración de proyectos

Los giros comerciales deben ser capaces de ver de manera integral todos los riesgos de seguridad de la información asociados con sus procesos de negocios para poder administrarlos todos. Para cumplir con este objetivo, algunas organizaciones líderes están implementando herramientas de GRC con los sistemas de administración de proyecto para que se

asigne automáticamente una evaluación de riesgo para todos los proyectos nuevos. A medida que los proyectos continúen con sus ciclos de vida, los giros comerciales pueden rastrear los riesgos generales cuando se modifican o se solucionan.

Buen manejo y control, riesgo y cumplimiento de normas (GRC) con dispositivos móviles

Una organización líder ha desarrollado una aplicación móvil que otorga vistas personalizadas de los riesgos en el sistema Enterprise GRC. Los miembros de la junta directiva y el personal pueden acceder a la aplicación mediante un iPad u otro dispositivo móvil y ver la lista de riesgos correspondiente a su área de responsabilidad o que se asignaron a ellos. También pueden usar la aplicación para desglosar los detalles de algún riesgo en especial, como lo que se ha hecho para moderar el riesgo y su estado actual.

A menudo, los sistemas no están diseñados para conectarse inmediatamente y sin problemas, por lo que su integración podría ser todo un desafío. Por ejemplo, la implementación completa de una plataforma de inteligencia de seguridad con cada aplicación, firewall, control de acceso, etc. es un esfuerzo comparable en escala a la implementación de un sistema de planificación de recursos empresariales (ERP), pero genera un sistema integrado que es mucho más potente que la suma de sus partes. Para obtener los beneficios de los avances actuales en tecnologías de seguridad, mantenga una mentalidad de soluciones que podrían favorecer a esto y que podrían ser parte de una arquitectura integrada, además de usar soluciones puntuales solo cuando sea necesario para cumplir con requisitos específicos.

“Las organizaciones de seguridad deben observar las soluciones de seguridad que poseen en la actualidad (la mayoría de ellas no están conectadas o no se comunican entre ellas) y preguntarse, ¿cómo podemos consolidar estas tecnologías?, ¿cómo las podemos integrar para que nos brinden contexto, nos permitan hacer cosas de una manera más práctica y obtener una vista agregada?”

MalcolM harkinS vicepresidente, director de seguridad y privacidad,

Intel

RECOMENDACIONES

14 | informe del SecuriTy for BuSineSS innovaTion council | RSA, la División de Seguridad de EMC

3. Maximizar el valor con implementaciones de tecnología formalizada

Aún con el radar más perceptivo para los nuevos productos, la implementación eficaz de tecnología es un gran desafío. Con el ritmo actual de cambios en tecnología, tener un sistema completamente implementado puede tardar tanto que es probable que la tecnología haya avanzado considerablemente para cuando se haya completado el proyecto. Los nuevos productos, seleccionados con cuidado y atención, no siempre cumplen las expectativas. Y con presupuestos limitados es difícil mantener en marcha a las aplicaciones diarias, mucho menos mantenerse a la par de los emocionantes desarrollos tecnológicos o de la estrategia de negocios a largo plazo. Los equipos de seguridad líderes, que ya están familiarizados con estas interrupciones, recomiendan contar con enfoques formales para la implementación con el fin de administrar los riesgos proactivamente.

Prediga y rastree los costos totales y el valor total

Una de las causas más comunes de las fallas de tecnología es la ausencia de planificación en cuanto al costo de funcionamiento de la tecnología. Tener profesionales entrenados para ejecutar tecnología de seguridad es fundamental para su éxito y suele ser costoso debido a la experiencia involucrada. Antes de invertir en una nueva tecnología, asegúrese de comprender el costo total de propiedad y de tener un presupuesto operativo continuo para su ciclo de vida.

Un proceso formal para señalar y rastrear los costos y beneficios esperados también puede ayudar a los equipos de seguridad a trabajar con proveedores para maximizar el éxito con el producto del proveedor. Asegúrese de que los contratos de los proveedores

definan el valor que debería entregar el producto en un período de tiempo especificado, digamos seis meses, y luego realice un análisis. Si una vez transcurrido el período de seis meses una organización no ha visto el valor esperado o si tuvo que enfrentar costos inesperados, debería contar con un proceso para preguntar: “¿El problema es con nosotros? ¿Con la tecnología? ¿Con la forma en que la implementamos?” e ingresar a una etapa de corrección. Si después de nueve a 12 meses la organización aún no ve el valor esperado, considere opciones que incluyan separarse del proveedor, reducir el pago o implementar la tecnología de otra manera.

Escale las implementaciones para obtener logros rápidos

Muchas organizaciones han descubierto que intentar hacer todo al mismo tiempo, implementaciones “big bang” en una empresa grande es demasiado lento y costoso. Para superar el reto de mantenerse al día con los cambios en la tecnología a la vez que se implementa algo que marcará la diferencia para el negocio, busque formas para hacer que las implementaciones iniciales sean más pequeñas. ¿Puede implementar un nuevo control antimalware en solo algunos recursos de datos críticos que lo necesitan con más urgencia? ¿Hay algu­na oportunidad para ganar impulso al hacer que un solo equipo o departamento use un nuevo sistema de auten­ticación? Si la tecnología demuestra sus capacidades en una pequeña implementación, puede crecer de manera orgánica hasta tener un uso más amplio.

Utilice una administración de proveedores de nube prudente

Los procesos formalizados no solo son clave para la implementación de tecnologías en las instalaciones. A medida que las organizaciones adopten más proveedores de servicio de seguridad de nube, es fundamental que estos compromisos con los proveedores se administren de manera prudente. Considere cuidadosamente cómo evaluar la confiabilidad de los servicios de seguridad de nube. Esto implica monitorear la eficiencia de los controles de seguridad de manera continua mediante la garantía de los controles basados

RECOMENDACIONES

Cuente con enfoques formales para la implementación para administrar proactivamente los riesgos.5

RSA, la División de Seguridad de EMC | informe del SecuriTy for BuSineSS innovaTion council | 15

en pruebas. (Consulte el segundo informe de esta serie, Procesos asegurados en el futuro.) Las organizaciones tendrán que establecer acuerdos que requieran que el proveedor proporcione regularmente pruebas de que sus controles están funcionando. Con el surgimiento frecuente de nuevas características y competidores entre los servicios de seguridad de nube, las organizaciones también deben considerar la posibilidad de que con el tiempo tendrán que cambiar proveedores y, por lo tanto, deben contar con una estrategia inicial de salida.

Aborde el mantenimiento de manera estratégica

Todos los equipos quieren versiones mejores de la tecnología que ya conocen. Por ejemplo, algunos miembros del equipo de seguridad preferirían seguir ejecutando un programa antivirus, si ese es su campo de experiencia. Para conservar el capital limitado a fin de hacer avanzar la tecnología, rechace esta tendencia natural y considere de manera crítica cuánto gasta el equipo de seguridad cuando invierte en actualizaciones y lanzamientos menores para la tecnología existente. Por ejemplo, pregúntese si puede aceptar los riesgos de no llevar a cabo cada actualización de software o hardware para las tecnologías que podrían estar llegando al final de su vida útil. Una reducción estratégica de los costos puede liberar recursos para conseguir tecnologías más avanzadas.

Con un presupuesto limitado esto se convierte en un acto de equilibrio. Tiene que reducir los costos de la infraestructura existente de seguridad y mantener los riesgos en un nivel aceptable, luego puede usar los ahorros para invertir en algunas de las nuevas tecnologías.

Petri kuivala director de seguridad de la información,

Nokia

RECOMENDACIONES

16 | informe del SecuriTy for BuSineSS innovaTion council | RSA, la División de Seguridad de EMC

ConclusiónLos equipos de seguridad de la información están

implementando tecnologías de vanguardia para contrarrestar los ataques avanzados y para permitir la innovación del negocio. Como los equipos de seguridad planean sus estrategias, no es suficiente para elegir las tecnologías adecuadas. Para obtener el máximo valor, también deben desarrollar planes integrales y de varios años para integrar las nuevas tecnologías con la infraestructura existente de la organización. La creación de una defensa de varias capas y de una plataforma de protección necesita de un gran nivel de comprensión del ambiente del negocio y de los recursos críticos que necesitan protección, además de tener conocimiento de las amenazas específicas que enfrenta la organización. Las implementaciones exitosas de tecnología son compatibles con los procesos sólidos que aprovechan las nuevas herramientas y un equipo con la capacidad para usarlas. La serie de SBIC “Transformación de seguridad de la información” proporciona una ruta para proteger de manera exitosa a las empresas de hoy, con la promoción y alineación de personas, procesos y tecnologías.

Acerca de la iniciativa de Security for Business Innovation Council

la innovación en loS neGocioS Se convirtió en un tema fundamental del programa de la mayoría de las empresas, mientras los ejecutivos se esfuerzan por aprovechar el poder de la globalización y la tecnología para crear valores y eficiencias nuevos. Sin embargo, aún falta un eslabón. Si bien la innovación del negocio se basa en la información y los sistemas de TI, la protección de la información y de los sistemas de TI generalmente no se considera estratégica, aun cuando las empresas enfrentan cada vez más presiones normativas y amenazas. De hecho, la seguridad de la información a menudo es una idea de último momento que se añade al final de un proyecto o, lo que es peor, no se aborda nunca. No obstante, sin una estrategia adecuada de seguridad, la innovación en los negocios podría suprimirse fácilmente o suponer un grave riesgo para la organización.

en rSa, conSiDeraMoS que Si loS equiPoS De seguridad son verdaderos partners en el proceso de innovación en los negocios, pueden ayudar a sus organizaciones a lograr resultados sin precedentes.

Ha llegado el momento de adoptar un enfoque nuevo: la seguridad debe dejar de ser una especialidad técnica para convertirse en una estrategia de negocio. Si bien la mayoría de los equipos de seguridad reconocieron la necesidad de alinear mejor la seguridad con los negocios, muchos aún tienen dificultades para traducir esta idea en planes de acción concretos. Saben hacia dónde deben ir, pero no están seguros de cómo llegar allí. Es por ello que RSA trabaja con algunos de los principales expertos en seguridad del mundo a fin de impulsar las conversaciones en el sector para identificar la forma de seguir adelante.

rSa convocó a un GruPo De ejecutivoS De seguridad sumamente exitosos de las empresas de Global 1000 de diversos sectores para formar lo que llamamos “Security for Business Innovation Council”. Realizamos una serie de entrevistas detalladas a los integrantes del consejo, publicamos sus ideas en una serie de informes y patrocinamos investigaciones independientes que estudian estos temas. Visite http://mexico.emc.com/emc­plus/rsa­thought­leadership/sbic/index.htm para ver los informes o acceder a la investigación. Juntos podemos acelerar esta transformación fundamental del sector.

RSA, la División de Seguridad de EMC | informe del SecuriTy for BuSineSS innovaTion council | 17

Partners del informe Security for Business Innovation Council

MARENE N. ALLISON vicepresidenta internacional de seguridad de la información, Johnson & Johnson

ANISH BHIMANI CISSP director de riesgo de la información, JPMorgan Chase

DR. MARTIJN DEKKER vicepresidente ejecutivo, director de seguridad de la información, ABN Amro

JERRY R. GEISLER III GCFA, GCFE, GCIH, cargo de director de seguridad de la información, Walmart Stores, Inc.

RENEE GUTTMANN directora de seguridad de la información, The Coca-Cola Company

MALCOLM HARKINS vicepresidente, director de seguridad y privacidad, Intel

KENNETH HAERTLING vicepresidente y director de seguridad, TELUS

PETRI KUIVALA director de seguridad de la información, Nokia

DAVE MARTIN CISSP vicepresidente y director de seguridad, EMC Corporation

TIM MCKNIGHT CISSP vicepresidente ejecutivo, seguridad y riesgo de la información empresarial, Fidelity Investments

ROBERT RODGER director del grupo de seguridad de la infraestructura, HSBC Holdings, plc.

RALPH SALOMON CRISC vicepresidente de seguridad, Oficina de procesos y cumplimiento de normas, prestación de nube de SAP e infraestructura, SAP AG

VISHAL SALVI CISM director de seguridad de la información y vicepresidente ejecutivo, HDFC Bank Limited

SIMON STRICKLAND director global de seguridad, AstraZeneca

LEANNE TOLIVER cargo de directora de seguridad de la información, eBay

DENISE D. WOOD vicepresidenta corporativa, seguridad de la información, directora de seguridad de la información, directora de riesgos de TI, FedEx Corporation

WILLIAM BONI CISM, CPP, CISA director de seguridad de la información corporativa (CISO), vicepresidente, seguridad de la información empresarial, T-Mobile USA

ROLAND CLOUTIER vicepresidente, director de seguridad, Automatic Data Processing, Inc.

Si desea ver las biografías completas de los miembros de SBIC, visite mexico.EMC.com (visite el sitio web de su país correspondiente).

18 | informe del SecuriTy for BuSineSS innovaTion council | RSA, la División de Seguridad de EMC

©2014 EMC Corporation. Todos los derechos reservados. 267631 CISO RPT 0414

EMC, EMC2, el logotipo de EMC, RSA y el logotipo de RSA son marcas registradas o marcas comerciales de EMC Corporation en los Estados Unidos y/o en otros países. Todos los demás productos y/o servicios mencionados son marcas comerciales de sus respectivas empresas.

®