Llegamos a ustedes gracias a:



Reportajes y análisis

RSA plantea su visión sobre la seguridad

[28/09/2009] Son muchos los problemas de seguridad que ahora agobian a las empresas. A los conocidos problemas que surgen a partir de los ataques de virus, troyanos y otros tipos de malware, hay que añadir la poca coordinación con la que en ocasiones se busca resolver estos problemas. Una solución para cada tipo de problema ha sido lo que tradicionalmente se ha aplicado para sentirnos seguros en las oficinas; sin embargo, RSA, la división de seguridad de EMC, nos dice que las cosas podrían considerarse desde otras ópticas.

El pueblo
La mañana del viernes comenzó un poco nublada en el hotel El Pueblo. El soleado clima característico del lugar tardaría en aparecer unas horas, pero llegó justo a tiempo para el inicio de las charlas que RSA realizó ahí, para exponer su visión sobre la seguridad informática en las organizaciones. La firma había reunido ahí a socios, potenciales clientes y a un grupo de periodistas para explicar su visión sobre los desafíos de la seguridad y la manera en que considera que deben enfrentarse. Sonia Córdova, territory manager para Perú y Bolivia, y Katie Curtin-Mestre, directora de DSG Product Marketing, serían las encargadas principales de la jornada.
El enfoque tradicional de la seguridad se basa en un trabajo a través de soluciones puntuales para problemas puntuales. Eso ha hecho que las empresas tengan diferentes consolas de administración para sus diferentes soluciones que éstas se encuentren fragmentadas de acuerdo a cada una de las vulnerabilidades que combaten. Esta forma de seguridad es ineficiente pues mucho del tiempo del personal encargado no solo se gasta en numerosas capacitaciones para entender todos esta soluciones, sino que ellas mismas no conversan entre sí, sostuvo Córdova a manera de introducción.
Ante ello, la ejecutiva señaló que la visión que tienen en RSA de la seguridad es más simple, y se basa en tres pilares: la identidad, la información y la infraestructura.
Por identidad se entiende que la solución debe ayudar a la empresa a que ésta sepa cuáles son los tipos de usuario que acceden a su información. De acuerdo a los tipos de usuario que se identifiquen, luego, se establecen políticas para definir a qué tipo de información pueden acceder cada uno de estos participantes.
Por información se entiende que la solución debe ayudar a las organizaciones a asegurar su información independientemente del lugar donde ésta se encuentre alojada. Para ello, debe detectar y clasificar los tipos de información y qué parte de ella se puede considerar pública y qué parte de ella es considerada confidencial. Sin embargo, es la empresa la que tiene que determinar cuál pertenece a cada uno de estos grupos.
Y por infraestructura se entiende que la solución debe ayudar a la empresa a que sepa por dónde pasa el usuario para acceder a la información. Una vez que se ha determinado usuarios y tipo de información, la solución debe ayudar a la empresa a determinar si la infraestructura por la que se accede a la información es confiable y estándar, y si tiene las alertas necesarias que le indiquen a la organización que alguien intenta modificarla para acceder a lugares prohibidos.
Córdova resumió los tres pilares del enfoque de RSA en una sola frase: Garantizar que las personas adecuadas tengan acceso a la información pertinente mediante una infraestructura confiable.
Problemas
¿Para qué es toda esta simplificación? Simplemente para enfrentar los problemas que ahora agobian a las organizaciones.
De acuerdo a Curtin-Mestre una de las amenazas principales que se puede apreciar en la actualidad es la pérdida de información confidencial y esto ocurre por bastantes razones. Éstas pueden ir desde un acto no intencional, como cuando el empleado quiere hacer su trabajo -pero lo hace de una forma tal que pone en riesgo la información confidencial-, hasta actos cometidos adrede con la intención de apropiarse de la información confidencial de la empresa, una actividad que desafortunadamente, con la crisis económica, tiene ahora mayor incidencia entre los empleados de las empresas.
Y ante estas actividades hay que considerar que incluso el establecimiento de políticas no tiene necesariamente los resultados que se esperan. Generalmente, las políticas de seguridad se encuentran muy bien custodiadas en un manual al interior de una oficina, pero no existe una persona que supervise su cumplimiento.
¿Quién debe asumir entonces la responsabilidad por la seguridad? De acuerdo a la ejecutiva de RSA es una responsabilidad que, en último término, es de los dueños de la organización, no necesariamente del equipo de seguridad informática. Esto se debe a que son aquellos que manejan la empresa, los que saben cuál información es confidencial y cuál no lo es. Una vez que se ha establecido esta distinción, queda en manos del equipo de seguridad el establecer las herramientas necesarias para proteger la seguridad de la información confidencial.
Un ejemplo interesante se produjo cuando una muy reconocida firma comerciante, que es cliente nuestra, nos dijo que poseían un reporte que enviaban en noviembre a sus colaboradores y en el que se señala cuáles son sus ventas y estimados para la campaña navideña.
Si ese reporte saliera fuera de la compañía las implicancias podrían incluso tener un impacto sobre el precio de la acción de la empresa. Esa es una información confidencial porque ellos conocen cual seria el impacto y por tanto deben comunicarlo al grupo de seguridad, sostuvo la ejecutiva.
Herramientas
Las herramientas que plantea RSA para combatir estos incidentes son las que se agrupan bajo la denominación de DPA o Data Loss Prevention (Prevención de Pérdida de Datos). Aunque ya en uso en varios lugares del mundo, en la región latinoamericana aún nos encontramos en la etapa de conocimiento de este tipo de herramientas.
Un avance a nivel local, por ejemplo, es la reciente acreditación de Electrodata como RSA SecurWorld Solutions Partner. De hecho, es la única firma que existe en el país con esa acreditación y con la capacidad de brindar soluciones y servicios de seguridad tales como RSA enVision o RSA Data Loss Prevention Suite.
Sin embargo, Curtin-Mestre al final de su presentación, hizo hincapié en que la solución del problema no solo se trata de tecnología. No es una solución tecnológica la que va a resolver el problema de la pérdida de datos, sino el entender cuáles son los procesos en el negocio que pueden poner en riesgo a la información confidencial, sostuvo.
Ya en la tarde, al finalizar el día y la semana (laboral), volvimos a Lima dejando atrás al resto del grupo que se quedó para pasar un día más en los bucólicos paisajes del hotel. El evento fue un recordatorio que no todo en la vida es trabajo, y que la seguridad de la información, con todo el estrés que puede ocasionar, es un tema que también puede discutirse en medio de un ambiente relajante.
José Antonio Trujillo, CIO Perú