Al dirigirse a la audiencia, Art Coviello, vicepresidente ejecutivo de EMC y presidente ejecutivo de RSA, atribuyó la asignación de presupuesto de seguridad no equilibrados, la carencia de habilidades capacitadas y la percepción contra la brecha de la realidad como los desafíos clave que obstaculizan la eficacia de las organizaciones de seguridad.
Coviello ofreció un modelo de seguridad impulsado por la inteligencia, basado en la comprensión y la modificación de prioridades de los riesgos de negocios. Lo anterior deriva en estrategias de mitigación de riesgos que, al implementarlas, dan como resultado organizaciones resistentes a las amenazas que además cumplen con las disposiciones de cumplimiento de normativas. Este modelo requiere la implementación de controles ágiles basados en el reconocimiento de patrones y el análisis predictivo, y la utilización de análisis de grandes volúmenes de datos para proporcionar contexto a grandes flujos de datos provenientes de diversas fuentes.
Tom Heiser, presidente de RSA, reafirmó la propuesta de Coviello sobre un modelo de seguridad impulsado por la inteligencia y derivados de varios debates de 2012 con profesionales de la seguridad, expertos líderes del gobierno, personas encargadas del cumplimiento de las leyes y otros actores de la industria que ofrecieron conocimientos y mejores prácticas.
Heiser mencionó diversos ejemplos destacados del progreso alcanzado por organizaciones de tecnología de vanguardia que emplean estrategias de seguridad impulsadas por la inteligencia y basadas en riesgos:
– Algunas organizaciones están cambiando del tradicional Centro de Operaciones de Seguridad a un avanzado Centro de Análisis de Seguridad. De esta manera, ofrecen la conciencia de la situación y el análisis de amenazas necesario para obtener una defensa activa.
– Las organizaciones colocan un mayor enfoque sobre los controles de gestión de acceso y autenticación a medida que permiten un mayor acceso a las redes y los recursos digitales, en especial a la luz de la tecnología móvil, de nube y la revolución del usuario, denominada Bring Your Own Device (traiga su propio dispositivo).
– Las organizaciones están cambiando la relación existente entre cumplimiento de normas y seguridad para garantizar que la postura más sólida de seguridad, con una adecuada presentación de resultados, pueda llevar a una postura de cumplimiento más sólida.
– Cada vez se organizan más debates relacionados con el riesgo cibernético y la seguridad a nivel directivo, a medida que los ejecutivos senior acuden a sus equipos de seguridad para ayudarlos a comprender mejor los riesgos de su negocio.
Para concluir, Heiser explicó que el progreso de la seguridad parece enfrentarse con nuevos desafíos, pero que en general, ha sido testigo de un cambio en la mentalidad. Existe una visión más clara de los nuevos riesgos que enfrenta la industria, además de un aumento y mayor urgencia por compartir la información. Finalmente, los enfoques centrados en los perímetros de seguridad están siendo remplazados por un modelo más maduro que, si se hace correctamente, puede proporcionar a las organizaciones confianza en su capacidad por defender las infraestructuras digitales distribuidas, hiperconectadas y abiertas de la actualidad.
Comentarios de ejecutivos en la ponencia:
Art Coviello, vicepresidente ejecutivo de EMC y presidente ejecutivo de RSA
La implicación de estas fuerzas indica que los modelos de seguridad no cambian con la suficiente rapidez para lograr la transición desde la seguridad basada en perímetros a basada en inteligencia, mientras los adversarios se tornan más sofisticados. Debido a esta brecha de percepción versus realidad, existe mucha confusión acerca de lo que debemos hacer; existe además una mayor diversificación entre organizaciones sofisticadas y simples, mayormente basadas en la aptitud de su personal.
En una era de apertura donde se esperan violaciones perpetradas con éxito, o incluso de manera inevitable, debemos cambiar el equilibrio de gastos de seguridad. Si no lo hacemos, se volverá cada vez más difícil (si aún no lo es) para las organizaciones tener la posibilidad de detectar una falla en la seguridad a tiempo y tener la capacidad de responder con la suficiente rapidez para evitar pérdidas.
Tom Heiser, presidente, RSA
Algo que resulta evidente en mis charlas con los clientes es que muchos de ellos reconocen la necesidad de cambio de mentalidad y la manera de abordar la seguridad. En la actualidad, cada vez más empresas reconocen que, a fin de sobrevivir en esta nueva era de ataques, debemos aceptar el hecho de que hay personas deshonestas en nuestra red. Punto. Es un hecho de la vida en nuestro mundo digital conectado y orientado al cliente.
Afortunadamente, observo cada vez más empresas que han dejado atrás aquella reacción automática que indicaba que cualquier forma de violación era una falla catastrófica. Más clientes, más ejecutivos y miembros de directorios empiezan a comprender que aceptar el hecho de que se producirán intrusiones, no es lo mismo que aceptar que deben ocurrir pérdidas de información confidencial, hechos de vandalismo malicioso o cualquier otro daño. Adoptan nuevas herramientas y tácticas para equilibrar el amplio y sencillo acceso a la información con seguridad ágil y eficaz.
Más novedades de RSA de la Conferencia de RSA en Europa 2012:
– RSA anunció la nueva investigación que patrocina mediante la entidad Security for Business Innovation Council (SBIC) titulada Cómo lograr la empresa móvil: equilibrio de los riesgos y beneficios de los dispositivos para consumidores. Este último informe fue escrito para los líderes responsables de la supervisión de TI y riesgos, y aborda el continuo incremento de dispositivos móviles para consumidores en las empresas. Además, comparte información estratégica de 19 líderes de seguridad que ofrecen cinco recomendaciones para saber de qué manera deben gestionar los riesgos de movilidad acelerados en la empresa y, al mismo tiempo, maximizar las oportunidades de negocios.
– RSA también anunció una innovadora solución de tecnología, RSA® Distributed Credential Protection, diseñada para aumentar de manera considerable las dificultades de los ladrones cibernéticos para robar información confidencial. Diseñada para funcionar en conjunto con las protecciones de contraseñas existentes, RSA Distributed Credential Protection ha sido creada para reducir de manera contundente la posibilidad de ataques exitosos mediante la modalidad robo relámpago sobre servidores con contraseña que ponen en peligro al cliente, portales financieros y de vendedores minoristas de todo el mundo, que ponen en riesgo a millones de contraseñas y credenciales.
