Nuevas ciberamenazas y gestión de la seguridad de la información: ¿están las organizaciones preparadas?

El 11 de Mayo de 2013 se publicó en la prensa la noticia de un robo a nivel mundial realizado mediante disposiciones de efectivo fraudulentas en cajeros automáticos. Con una coordinación perfecta, la cantidad total sustraída en cientos de cajeros de más de 20 países fue de 45 millones de dólares americanos en apenas unas pocas horas. Nada parece saberse  sobre los responsables últimos de la operación.

Según informó a la prensa la fiscalía del Distrito Este de Nueva York, sólo en esta ciudad, un equipo de 8 personas (la mayoría ya detenidos) retiró fraudulentamente de 2.094 cajeros,  2,4 millones de dólares USA en unas 10 horas. Las retiradas de efectivo se realizaron usando tarjetas prepago  falsificadas con número de cuenta del Bank of Muscat de Omán.  Al parecer, por este mismo procedimiento se sustrajeron el pasado mes de Febrero 5 millones de dólares a un banco de Emiratos Árabes. Una característica interesante de esta operación es que en ella la única víctima es la entidad financiera y no los clientes ya que las tarjetas “pirateadas” eran tarjetas prepago no vinculados a ninguna persona concreta.

La falsificación de las tarjetas físicas empleadas en el robo pudo ser realizada, según parece, porque previamente se había vulnerado la seguridad de los sistemas informáticos de dos compañías procesadoras de tarjetas financieras, una en India en diciembre de 2012 y otra en Estados Unidos en febrero de 2013. Se supone que los ciberdelincuentes accedieron a las bases de datos de tarjetas y robaron los datos que luego serían usados para fabricar los plásticos falsos. Además, los piratas informáticos manipularon los sistemas de estas compañías aumentado los saldos disponibles de las tarjetas. Una vez falsificadas, las tarjetas fueron distribuidas a grupos de personas encargadas de las retiradas en cajeros.

Nuevas tendencias  en el cibercrimen

El incidente referido no es sino una manifestación de una tendencia cada vez más clara: La ciberdelincuencia ha empezado desde hace ya algún tiempo a tener como objetivo a las grandes empresas  y está dedicando cada vez más recursos a la organización de operaciones muy sofisticadas a gran escala para obtener botines millonarios o sustraer información crítica de empresas y gobiernos.

La premisa de que la robustez de los sistemas de seguridad de las grandes compañías era un freno y que había inducido a los ciberdelincuentes a centrarse en el eslabón más débil de cadena; es decir, en el usuario final de servicios bancarios o comercio electrónico,  ya no es válida.  El objetivo ahora es el premio gordo.  Millones en un solo golpe atacando directamente al corazón del sistema.

¿Están preparadas las organizaciones para afrontar este tipo de ataques?

La pregunta obvia que se plantea es si el modo tradicional en que las compañías suelen enfocar la gestión de la seguridad de la información es eficaz para prevenir este tipo de escenarios.  La respuesta respaldada por los hechos es clara y en sentido negativo. Como mencionábamos recientemente en nuestro artículo sobre las nuevas amenazas:   “Si  un gigante líder de la seguridad como es RSA ha sido víctima de un ataque de esta naturaleza sin que pudiesen evitar el robo de información crítica para la seguridad y confianza en sus dispositivos SecureID;  entonces  cualquier empresa puede ser víctima”…

Una evaluación del modo en que se suele abordar la gestión de la seguridad en las empresas, muestra que actualmente hay un  predominio del enfoque de cumplimiento basado en estándares (compliance driven). Este enfoque implica la implantación en la organización de las medidas de control establecidas en un estándar de la industria (ISO 27000; PCI/DSS) o en un conjunto de medidas contenidas en una regulación (Normativa de Protección de datos; HIPAA,…).  Proporcionan  una “receta precocinada lista para su uso” que, en caso de implantarse correctamente, permite a las organizaciones alcanzar  un nivel de madurez mínimo que reducirá la probabilidad de ocurrencia de los escenarios de riesgo más comunes.

Sin embargo, un análisis de los casos más relevantes de ataques sofísticadas dirigidos contra grandes empresas, demuestra que las técnicas empleadas en estos ataques están diseñadas para “volar por debajo del radar”, camuflando las actividades fraudulentas de manera sutil entre las actividades normales de la organización, borrando cuidadosamente las huellas de la actividad y, en definitiva, sorteando los controles organizativos y técnicos habitualmente requeridos por los estándares. Esto no quiere decir que estos enfoques de estándares mínimos no sean necesarios o útiles,  sino que no son suficientes para detectar o mitigar este tipo de ataques dirigidos.

Otro problema importante de los enfoques de cumplimiento es que tienden a la aplicación estereotipada de los mismos. En algunas ocasiones, especialmente en el ámbito de las empresas  proveedoras de servicios de outsourcing,  he observado cómo puede perderse el foco principal de los programas de seguridad.  En estos casos,  el objetivo de los controles de seguridad se desvirtúa y parece más orientado a evitar sanciones y/o “contentar” a los auditores o clientes que a reducir situaciones de riesgo. Esto puede derivar en una falsa sensación de seguridad al confundir el cumplimiento formal con la seguridad.  Se trata de la burocratización de la seguridad en la peor de sus facetas.

Como un insigne colega le dijo una vez a un gerente de riesgos: “…Incidente de seguridad es aquello que ocurre mientras se dedica gran parte del tiempo a marcar ticks  en enormes listas de verificación de Excel y se·emite un informe al director de la compañía en el que se proclama que todo está bajo control y que se cumple con todos los controles…”. Quizás esto es un poco exagerado, pero de manera caricaturesca ayuda a entender cuál es el problema al que nos referimos…

Causas más frecuentes de fracaso de los programas de seguridad de la información

Con independencia de los problemas mencionados relacionados con el enfoque metodológico seguido, las causas o errores más comunes detrás de una gestión ineficaz de los riesgos derivados de la tecnología se encuentran en el plano cultural, organizativo y de gobierno de las empresas:

  • La seguridad de la información tiende a considerarse como un mero problema que es responsabilidad  del departamento de informática y por tanto, ajeno al resto de áreas de la organización.
  • Tiende a considerarse que la seguridad se alcanza por la sola implantación de herramientas de seguridad como antivirus, firewalls, etc…
  • Se considera que con la subcontratación de las cuestiones de seguridad a una empresa tercera el problema queda resuelto y la responsabilidad transferida.
  • La gestión de la seguridad es asignada como responsabilidad adicional, a tiempo parcial, a alguien en la organización que no tiene el perfil, experiencia, los conocimientos necesarios y/o no puede dedicarle el tiempo que requiere esta función.
  • Los responsables de gestión de la seguridad no tienen suficiente “peso” dentro del organigrama de la organización para poder promover las iniciativas de seguridad necesarias.
  • El comité de dirección o el consejo de administración no tienen visibilidad sobre los riesgos que afectan a su negocio o no tienen información suficiente y clara sobre la magnitud real de los mismos.
  • La seguridad de los sistemas de información es considerada como un gasto inoportuno y no se entiende el valor que aporta para la consecución de los objetivos de negocio. Por tanto, el presupuesto no suele estar ajustado a las necesidades reales de la organización, ni hay una dotación suficiente de recursos humanos.
  • Los temas de seguridad son considerados por la dirección como un obstáculo impuesto por reguladores o auditores. Ante esto, se adopta un posicionamiento de “cumplir por la mínima” con los aspectos formales para evitar sanciones.
  • Las medidas de seguridad implementadas no están alineadas realmente con los objetivos de la empresa, su apetito de riesgo ni su perfil de riesgo real.
  • La seguridad de los sistemas de información tiende a ser aplicada como un “añadido” (o parche) para corregir deficiencias o vulnerabilidades que se manifiestan al final del ciclo de desarrollo de productos, procesos o servicios.
  • La política de seguridad existe formalmente sobre el papel, pero los empleados no la conocen o no la aplican en su día a día. Por tanto, esta desconectada de la realidad.

Con este sucinto resumen ponemos fin aquí a este post, esperando que sirva para centrar el tema y como inspiración a todos aquellos interesados en la materia o encargados de la gestión de riesgos. En un artículo futuro continuaremos con este tema presentando los elementos de un programa avanzado de gestión del riesgo tecnológico. Hasta entonces un fuerte abrazo y gracias por la atención prestada…

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s