RSA investigó los riesgos asociados a la implantación apresurada de tecnologías móviles

16 Jun 2009 en Seguridad

RSA, La División de Seguridad de EMC (NYSE: EMC), hizo público hoy 2 nuevos informes que examinan los eventuales riesgos de seguridad en estrecha vinculación con las promisorias tecnologías “cloud computing”, la virtualización, el armado de redes sociales y las comunicaciones móviles.

El primer estudio – realizado por la consultora IDG Research Services -revela una brecha significativa entre la velocidad de adopción de parte de las organizaciones de nueva conectividad, de tecnologías de colaboración y de comunicación y el grado de seguridad en las capacidades de implementación. El segundo, del Consejo de Innovación en Seguridad de RSA -RSA’s Security for Business Innovation Council-, destaca como las compañías pueden capitalizar las significativas ventajas de negocio intrínsecas a estas novedosas tecnologías sin poner en riesgo a la organización.

“Los negocios se transforman en ‘compañías hiper-extendidas’, intercambiando información en múltiples maneras, con una comunidad cada vez más numerosa y en mayores locaciones,” dijo Art Coviello, Vicepresidente Ejecutivo de la corporación EMC y Presidente de RSA, la División de Seguridad de EMC. “La rápida adopción de tecnología en Web, sociales y móviles, en combinación con la utilización creciente de la tercerización, esta rápidamente disolviendo el remanente de las fronteras tradicionales de nuestras organizaciones y los activos de la información. Las compañías deben adaptarse dramáticamente al cambio para garantizar el alcance de los objetivos de reducción de los costos y de las expectativas de ventas sin crear nuevas y peligrosas vulnerabilidades del negocio.”

El Reporte IDG Muestra a Muchas Compañías que Escalan sin Mirar
Bajo comisión de RSA, un reporte investigación de IDG para el año 2009 sobre la base de un muestreo estadístico conformado por 100 altos ejecutivos en seguridad de compañías con ventas de U$S 1,000 millones o más, ha mostrado que algunas compañías estan tan entusiasmadas con el potencial de tecnologías Web y móviles, que actualmente las están implementando sin resguardar adecuadamente los procesos críticos y los datos.

Los hallazgos claves incluyen:

. Más del 70% de los encuestados creen que los niveles de escalabilidad, conectividad e intercambio de información impulsada por innovadoras tecnologías Web y de comunicación están transformando sus organizaciones en compañías ‘hiper-extendidas’.
. La mayoría de las organizaciones han incrementado la utilización de la virtualización, movilidad y redes sociales en los pasados 12-24 meses, con más de un tercio de los encuestados reportando un incremento en la implementación de “cloud computing”.
. Sin embargo, muchas de las compañías encuestadas no tienen adecuadas estrategias para ponderar los asociados en la adopción de estas nuevas tecnologías. En algunas organizaciones, el departamento de seguridad corporativa se involucra cuando los problemas ocurren y en otras, los asuntos relacionados con la seguridad ni siquiera son informados antes que estan tecnologías sean utilizadas.
. Menos de la mitad de los encuestados han desarrollado políticas orientadas a empleados a fin de guiarlos en la utilización de herramientas y sitios en una red social.
. Más del 30% de las compañías encuestadas tienen actualmente al menos algunas aplicaciones de empresa u operaciones de negocio en procesamiento y residencia de datos en la Web -computación “cloud”-, con otro 16% planeando el comienzo de una migración completa en los próximos 12 meses. Entre este 16%, unos 2 tercios no tiene aún una estrategia de seguridad en debida correlación con los riesgos asociados a la computación “cloud”.
. Más de 8 de 10 encuestados no reconocen la proporción directa entre la exigencia comercial de mayor rentabilidad y el incremento en la exposición de la compañía a riesgos asociados de seguridad. Más de 7 de 10 encuestados han experimentado un incidente relacionado directamente con la seguridad en los últimos 18 meses.
. La mayoría de los encuestados concuerda que debe cambiar y mejorar su perspectiva respecto de una estrategia de seguridad a fin de adecuarse a las realidades de una ‘compañía hiper-extendida’.

Los hallazgos del informe de los Servicios de Investigación IDG- IDG Research Services-, “A Medida que las ‘Compañías Hiper-Extendidas’ Crecen, También lo Hacen los Riesgos de Seguridad” – “As Hyper-Extended Enterprises Grow, So Do Security Risks,” los que pueden ser descargados en www.rsa.com/innovation .Desde este sitio, las organizaciones pueden comprobar su alistamiento cualitativo en seguridad test their security readiness en la ‘compañía hiper-extendida’ y comparar sus resultados con los obtenidos entre los ejecutivos encuestados.

La ‘Compañía Hiper-Extendida’ Requiere Una Nueva Perspectiva de Seguridad
También hoy, RSA publicó los resultados del cuarto reporte del Consejo de Innovación en la Seguridad de RSA: “Trazando el Camino: Permitiendo la ‘Compañía Hiper-Extendida’ en la Fase de Riesgos sin Precedentes” o “Charting the Path: Enabling the “Hyper-Extended” Enterprise in the Face of Unprecedented Risk.” En este reporte, los líderes en seguridad a escala global exploran cómo las estrategias de seguridad deben transformar un mundo en el que las acciones bien intencionadas tendientes a impulsar valor de negocio pueden tener consecuencias desastrosas en cuanto a exposición al riesgo.

“En este punto en particular en el tiempo, en donde tenemos un ambiente altamente cambiante, enfrentamos la necesidad de una exhortación determinante, ¡’Tiempo Afuera!’. Debemos aislarnos de este ambiente, y necesitamos además examinar si nuestro programa tiene el debido y sólido fundamento en su mecanismo de funcionalidades,” comenta la miembro del Consejo Dr. Claudia Natanson, Ejecutiva de Seguridad de la Información de Diageo. “¿Es nuestro programa capaz de procesar información en estadios de perfomance al límite considerando las tecnologías abiertas al procesamiento y residencia de datos en Web-computación “cloud”-? Por que solamente los más ágiles, los más aptos, los más flexibles sobrevivirán estas tecnologías Web y móviles.”

El estudio previo de RSA: “Impuso Rápido y Hacia Adelante: Administrando la Seguridad de la Información hacia una Ventaja Estratégica en una Economía Difícil” o “Driving Fast and Forward: Managing Information Security for Strategic Advantage in a Tough Economy” resaltó la importancia de no retrasar la innovación a la luz de las restricciones de presupuesto y de recursos. Este nuevo reporte demuestra cómo los líderes en seguridad lidian esforzadamente y en simultáneo con la necesidad de promover la innovación a la vez de proteger la información en un ambiente de riesgos crecientes.

Los 7 Pasos de los Ejecutivos del Consejo Para Desarrollar Un Nuevo Modelo de Seguridad en la Empresa
Sobre la base de conversaciones profundas en el Consejo de Innovación en la Seguridad del Negocio de RSA, cuyos miembros son algunos de los más altos ejecutivos en seguridad a escala global, este reporte tiene la perspectiva a futuro del rol de la seguridad de la información. El mismo ofrece recomendaciones específicas para el desarrollo de un modelo actualizado de seguridad de la información que refleje las oportunidades emergentes y peligros al alcance de la mano. Los miembros del Consejo destacan porqué el ambiente amenazante actual es particularmente decepcionante, compartiendo de tal forma consultoría respecto de cómo proteger con seguridad máxima la ‘compañía hiper-extendida’ a fin de lograr ventajas de negocio.

La Guía Específica Incluye:

1.) Reine en el Ambiente de Protección: Encuentre metodologías para utilizar los recursos más eficientemente mediante un perspectiva de administración del riesgo en el existente ambiente de seguridad Por ejemplo, el Consejo destaca estrategias sobre cómo limitar la utilización de recursos de seguridad que protegen simultáneamente activos de información, datos almacenados y dispositivos. Mediante la supremacía en el ambiente de protección, las empresas pueden de manera compatible reducir costos, reducir el riesgo y liberar recursos para proyectos de alta prioridad.
2.) Alcance Competividad: En estos tiempos económicos desafiantes, si los líderes perciben que no satisfacen sus requerimientos por parte de la seguridad interna de la organización, pueden incrementar la suma de los riesgos recurriendo a proveedores de servicio externo y sin involucrarse con la seguridad corporativa. El consejo explica como los equipos de seguridad deben enfocarse en la calidad y eficiencia de sus servicios y ser capaces de articular efectivamente el valor proveído en función del costo del servicio.
3.) Sujete en Términos Proactivos a la Tecnología en Sus Propios Términos: Los departamentos de seguridad de la información deben aceptar que no es posible bloquear el uso de nuevas tecnologías Web y de comunicación; por el contrario deben habilitar sus seguros usos. Los miembros del Consejo comparten consultoría respecto de trasladarse desde una seguridad reactiva a una seguridad preventiva, estableciendo además una guía y cronograma de trabajo para que el negocio se adapte a estas nuevas tecnologías Web y móviles.
4.) De Proteger el Repositorio a Proteger los Datos: En la era de la ‘compañía hiper-extendida’, los datos de la empresa son procesados y almacenados en mayor medida en repositorios sin control de parte del negocio. Por ejemplo, el dato puede ser procesado bajo tercerización por proveedores de servicio o permanecer estacionada en un PDA personal utilizada por 1 empleado o en una computadora portátil perteneciente a aun contratado externo, el que tiene múltiples empresas como clientes. En este ambiente, el Consejo provee una guía en el cambio desde la protección del repositorio hacia la protección de los datos.
5.) Adopte Avanzadas Técnicas de Monitoreo: En actual ambiente amenazante, los equipos de seguridad deben actualizar su perspectiva de seguridad conforme al monitoreo de eventos anormales o maliciosos. Los miembros del Consejo sugieren desplazarse de técnicas como el procedimiento de antivirus sobre la base de firmas bajo proceso de autenticación y las “listas negras” a técnicas más precisas como ser el monitoreo sobre la base de antecedentes de conducta y las listas blancas.
6.) Crear Estándares de la Industria: Los miembros del Consejo exploran el porque de la necesidad de estándares uniformes para profesionales de seguridad, proveedores terceros ya que las tecnologías emergentes han alcanzado una coyuntura crítica.
7.) Comparta Inteligencia de Riesgo: Para ayudar a las empresas a defenderse de “hackers” internacionales y una red incremental de sofisticados impostores, el Consejo recomienda una inteligencia más robusta y colaborativa – compartir -extender a empresas, entes en regulación y gobierno.