El robo de identidad es una de las principales amenazas de seguridad para las empresas, y un grave riesgo para todos los usuarios, corporativos y finales. Para prevenirlo, los encargados de seguridad y gerentes de TI necesitan una adecuada estrategia… y el apoyo de todo el factor humano.
Phishing, pharming, spam, spyware, keyloggers, ingeniería social, POS slurping. Todos estos tipos de ataques informáticos tienen una cosa en común: son herramientas utilizadas para robar la identidad de los usuarios. Protegerse contra ellas supone tener en claro este objetivo, y desarrollar un plan de acción como el que sugiere Gerardo Alcarraz, Certified Information Systems Auditor (CISA) del Banco de la República Oriental del Uruguay.
Si no se cumple con alguno de los puntos de este “roadmap”, mejor será que se empiece a trabajar… o a rezar.
PRIMER PASO: TENER UN OBJETIVO CLARO
Aunque parezca obvio, es importante saber exactamente qué se quiere proteger para poder desarrollar un plan de seguridad exitoso. En este caso, dice Alcarraz, se trata de proteger el servidor, las estaciones de trabajo, la red interna, todas las comunicaciones, el access point. En pocas palabras, proteger toda la información de la empresa, esté donde esté. ¿Por qué es esto tan importante? Baste decir que, según el 2007 CSI Computer Crime and Security Survey, las pérdidas por robo de datos confidenciales durante ese año sumaron $5,685,000 dólares.
Con esto en mente, se debe buscar el apoyo del nivel ejecutivo –o sea que hay que convencer al jefe– y determinar quién será el responsable formal de la seguridad TI de la empresa. Conseguido esto, es momento de definir estándares.
Gerardo Alcarraz recomienda tener en cuenta los requerimientos y las estrategias de negocio de la empresa al momento de definir los estándares de seguridad. Después, hay que documentarlos adecuadamente, al igual que el plan de acción y las políticas de protección.
No hay que olvidar que una buena estrategia implica haber realizado un análisis previo de riesgos, para identificar las amenazas y vulnerabilidades de la organización, asociadas a aspectos tales como la información, el entorno y la infraestructura, la organización, los procedimientos y el personal.
“Los desafíos (de una buena estrategia) son: lograr el balance entre las medidas de protección versus el nivel de riesgo aceptado; decidir la cantidad de inversión requerida para disminuir ese riesgo; poder seguir operando y mejorando con incidentes de seguridad; y tener en cuenta el impacto potencial de estos sobre la reputación de la empresa”, manifiesta el CISA.
Adicionalmente, el experto declara que es necesario elaborar una estructura organizacional específica, la cual incluya una asignación clara de roles y responsabilidades que pueda soportar los diferentes aspectos de la infraestructura de seguridad.
Completada esta etapa, es momento de establecer la arquitectura y los procesos.
| CÓMO EVALUAR LA EFECTIVIDAD DE LA TECNOLOGÍA DE SEGURIDAD |
| Estas son las principales técnicas utilizadas por las organizaciones de Estados Unidos:
• Auditoría de seguridad por staff interno 63% • Pruebas de penetración por staff interno 53% • Auditoría de seguridad por organización externa 53% • Herramientas automatizadas 49% • Software de monitoreo de actividad web 45% • Software de monitoreo de e-mail 44% • Ninguna 12% Fuente: Computer Security Institute. 2007 CSI Survey. Universo: 475 expertos en seguridad computacional de corporaciones, agencias de gobierno, instituciones financieras, instituciones médicas y universidades de los Estados Unidos. |
DESPLIEGAR EL ARSENAL… Y EDUCAR
Más que empezar a instalar medidas de protección por toda la empresa, de lo que se trata es de integrar las herramientas tecnológicas de seguridad con las que ya cuenta la corporación, con nuevos productos, definidos y desarrollados en un ambiente para varias arquitecturas e infraestructuras de negocios.
Igualmente, será necesario establecer soluciones y procedimientos para el manejo de incidentes de seguridad, que ayuden a los responsables a manejar de manera eficiente este tipo de situaciones. Es recomendable, según afirma el CISA del Banco de la República Oriental del Uruguay, solicitar la ayuda de servicios de consultoría en seguridad forense e investigación.
Junto con la implantación de la infraestructura de seguridad, se debe llevar a cabo un programa de concientización integral para todo el personal de la empresa, que incluya capacitación y entrenamiento.
No hay que olvidar que el eslabón más débil de una cadena de seguridad corporativa suelen ser los usuarios finales, que acostumbran a usar la tecnología sin saber cómo funciona, o los riesgos que encierra, y que suelen ser los “puntos de entrada” de muchos problemas crónicos.
Gerardo Alcarraz aconseja instaurar una cultura de seguridad vendiéndole a los empleados el concepto de seguridad, haciendo hincapié en el robo de identidad. El experto recomienda empezar la instrucción por los altos mandos, y luego ir descendiendo por los distintos niveles de la organización.
No hay que olvidar que este proceso debe incluir conceptos de seguridad en base al rol que cada uno realiza dentro de la empresa, y que debe ser constante, puesto que cada semana se descubren nuevas vulnerabilidades, nuevas formas de ataque y nuevas maneras de defenderse.
| ALGUNAS MEDIDAS CLAVE |
| Que se pueden tomar para prevenir los robos de identidad en su empresa:
• Contar con soluciones “anti*”, y gestionar las actualizaciones y los parches de productos y sistemas operativos. • Contar con firewalls cooporativos y personales (ej. Windows SP2, Zonelabs, SyGate), así como sistemas de detección y prevención de intrusos. • No olvidar monitorearlos. • Instalar barreras antiphising (Netcraft). • Usar aplicaciones seguras. • Realizar hackeos éticos. • Configurar sistemas de navegación segura (filtros de contenido). • Instrumentar mecanismos de encripción. • Emplear soluciones de control de uso de dispositivos removibles. • Tener controles de acceso físico. • Configurar clientes delgados, y aprovechar la virtualización de PC. • Preferir sistemas de autenticación robustos de dos factores. • Instalar sistemas biométricos. • Usar token y/o OTP (onetime password). |
NO OLVIDAR MONITOREAR
Finalmente, vienen los dos últimos pasos del plan maestro de seguridad contra el robo de información, según Gerardo Alcarraz. Uno, el uso de métricas de seguridad, para medir la eficiencia, efectividad, valor y performance de la seguridad empresarial como proceso continuo. Dos, realizar auditorías y monitoreos de los procesos y controles para comprobar el cumplimiento de las políticas y estándares de seguridad en la organización, y asegurarse así de que todo el trabajo y la inversión no han sido en vano, y de que se cuenta con un plan que perdurará en el tiempo.
Para el CISA Alcarraz, es importante que en esta etapa se realice una correcta medición de la cantidad de cursos realizados, del porcentaje de empleados entrenados en las diferentes prácticas de seguridad, al igual que el resultado de los cursos y la inversión en tiempo y dinero. Eso debe confrontarse con el número de intentos de robo de identidad, los robos de identidad que sí se produjeron, los incidentes pendientes de resolución y el tiempo promedio desde el comienzo hasta la finalización del incidente. El resultado nos dirá qué tan exhaustivo ha sido nuestro trabajo, y qué detalles faltan aún por afinar.
En cuanto a las auditorías, es importante que consideren la participación proactiva de los encargados de seguridad en los aspectos de control que permitan prevenir incidentes. Igualmente, deben analizar los riesgos, identificar las diferentes “capas de profundidad” de la empresa y sus puertas de acceso, y verificar el cumplimiento de las políticas y procedimientos.
De acuerdo con Alcarraz, las metas del programa deben ser obtener cambios positivos en el comportamiento y actitudes del personal, mejorar significativamente la seguridad de la organización, reducir las acciones no autorizadas del personal, aumentar la efectividad de los controles y medidas de protección, y aportar a la lucha por evitar fraudes, gastos y abusos de los recursos informáticos de la organización.
LAS CONCLUSIONES
En resumen, Gerardo Alcarraz dice que si bien el robo de identidad es un problema que afecta a toda la organización, depende de un buen equipo de expertos de seguridad informática (y del apoyo de la gerencia) proteger la información de la empresa y sus clientes de manera prioritaria.
“Es indispensable establecer una estrategia que profundice en las capas que conforman la organización, a fin de identificar y mitigar riesgos. Hay que adoptar mejores prácticas que involucren la validación de identidad para mejorar los controles y alinearse al ámbito regulatorio; y se deben llevar a cabo actividades sencillas de educación y concientización en seguridad de manera constante a nivel interno, pues solo así se podrá lograr los objetivos, logrando buenos resultados con poco esfuerzo”, ratifica el CISA del Banco de la República Oriental del Uruguay.
| PRINCIPALES CONTROLES DE SEGURIDAD |
| Que debe tener toda empresa (especialmente si es grande y compleja):
• COBIT • ISO 17799 –27001 • NIST (http://csrc.nist.gov): 800-100 Information Security Handbook: A Guide for Managers; 800-83 Guide to Malware Incident Prevention and Handling; 800-61 Computer Security Incident Handling Guide • ISO 18044 Information Security Incident Management • ISO 11131 Banking and Related Financial Services – Signon Authentication • ISO 13569 Banking and Related Financial Services –Information Security Guidelines. |
SÍGUENOS
© 2009 Netmedia S.A. de C.V.
Políticas de privacidad
Sócrates 128 4to piso, Polanco
CP 11560, México D.F.
Tel: 2629 7260