Inicio Articulos. Amenazas internas y externas críticas para las áreas de TI. 1a. de...

Amenazas internas y externas críticas para las áreas de TI. 1a. de 2 partes

Revista Mundo-Contact

   

Amenazas internas y externas críticas para las áreas de TI
Los 5 incidentes causados por los empleados, que amenazan a las empresas

1ª. de 2 partes

Una visión convencional de seguridad está enfocada principalmente en asegurar los activos de una organización, incluidas las instalaciones, bienes, infraestructura de TI e información. Sin embargo, las características del entorno hostil al cual las organizaciones se encuentran expuestas, están cambiando.

En el pasado, intrusos solitarios buscaban entrar a la red e instalaciones de una empresa y generaban daños menores. Hoy, estos ataques provienen de grupos altamente organizados, cuyo fin es la obtención de servicios y dinero mediante la interrupción o desvío de las operaciones normales de negocio de sus víctimas. Para lograr esto, la diversidad y sofisticación de sus sistemas y metodologías han aumentado drásticamente: de los que se basan en TI a la ingeniería social; plantando un espía o teniendo su propio dispositivo conectado a la red. Los posibles daños a las organizaciones pueden traducirse en millones de dólares o más, y los directivos pueden ser considerados legalmente responsables.

Con el fin de eliminar eficazmente esta amenaza, las organizaciones deberían enfocarse en asegurar los procesos básicos del negocio o cadenas de valor, ya que son críticos para la empresa y la continuidad de sus operaciones.

“Actualmente, en muchas organizaciones, el enfoque de seguridad se encuentra disperso: la seguridad de las TI es gestionada y mantenida en una categoría de TI, la seguridad física, administrada y conservada en un nivel de instalaciones, etc., afectando los procesos, mientras los activos más valiosos para la empresa son pasados por alto”, comenta Francisco Farrera Loaiza; Tecnología, Consultoría e Integración de Soluciones en Unisys México. 

Los procesos de negocio, por naturaleza, consisten en un número de tareas desempeñadas por diferentes individuos, usualmente de distintos departamentos, que los hacen vulnerables a errores, malentendidos, mala comunicación y abusos.
La seguridad se divide tradicionalmente en tres componentes:

Disponibilidad: los sistemas deben ser accesibles a los usuarios autorizados, proporcionándoles datos confiables y procesándolos en tiempo. Confidencialidad: la información no es, de ninguna manera, revelada a sujetos no autorizados, ya sean personas o procesos. Integridad: la información y los sistemas no deben ser modificados accidental o maliciosamente.

Esta “triada de seguridad” es el conjunto de componentes fundamentales para la comunidad de seguridad, se emplea en el manejo de datos, aplicaciones y sistemas, e igualmente es utilizada en otros campos de seguridad.

La vulnerabilidad es una debilidad hablando de software, hardware o procedimientos, que tal vez proporcione al atacante la oportunidad que busca para comprometer todos los componentes mencionados. Las vulnerabilidades se presentan de diferentes formas: en sistemas no actualizados, información confidencial olvidada, cerraduras inadecuadas en la sala de servidores, o el uso de archivos con contraseñas no encriptadas en una arquitectura de red abierta. Algunas de estas vulnerabilidades pueden ser salvaguardadas a través de la implementación de software y hardware de seguridad, o mediante la instalación de cerraduras correctas, entre otros aspectos.

Las empresas gastan billones para proteger sus activos de información con firewalls, software antivirus, etc. Se crean modelos ingeniosos para gestionar el control de acceso a las aplicaciones y datos; se llevan a cabo grandes proyectos de implementación para todos los puntos mencionados; y las empresas confían en que las aplicaciones y los datos se encuentran seguros.

Pero ¿esto es lo que realmente necesita ser protegido? La clave de los procesos de datos y reglas de procedimientos es que son almacenados y ejecutados dentro de una aplicación de soporte, y protegerla contribuirá definitivamente a la seguridad de todo el proceso. ¡Pero esto aún no es suficiente!

Los procesos enfrentan un amplio espectro de amenazas, no limitadas necesariamente al beneficio personal; la lista es larga e incluye las motivaciones que van desde los fines de lucro, ataques políticos, espionaje industrial, error humano, o venganza….y esto aplica igualmente a la mayoría de los procesos del negocio, tanto para el sector público como privado.

Amenazas internas

Un estudio demostró que existen 5 tipos de incidentes internos, causados por los empleados, que tienen potencial para amenazar uno o más componentes de seguridad de los procesos de negocio:

Provecho propio: un empleado se aprovecha de su función al proveer el servicio que el proceso proporciona para sí mismo, sus amigos o su familia, en lugar de los clientes que pagan. Violación de políticas: un empleado hace a un lado la política de la compañía. Esto puede ser por un sin fin de razones, conveniencia o falta de conocimiento, siendo éstas las dos principales. Colusión externa: un empleado, junto con uno o más de afuera, conspiran para interrumpir o desviar el proceso o cometer fraude. Robo de datos: los datos son replicados o robados, causando la violación de la confidencialidad de un proceso. Los datos robados pueden proveer al ladrón información acerca del proceso y su funcionamiento interno; cosas que supuestamente no debe conocer y que le proporcionarán una visión para más adelante permitirle el abuso del proceso para beneficio personal.  Malversación: un empleado gana dinero o desaparecen otros valores. 

Amenazas externas

Las amenazas dependerán en gran medida del proceso mismo. Para determinar la magnitud de las amenazas al proceso, las preguntas deberían hacerse acerca de lo que hace el proceso, y quién (potencialmente) podría beneficiarse de estos tipos específicos de interrupciones, como las transacciones ilícitas o retrasadas. Como regla general, la mayoría de los procesos son susceptibles a alguna forma de interrupción, desviación o abuso, en algunos casos para beneficio personal, pero en otros,  la “mentalidad hacker” entra en juego y los procesos son comprometidos por ninguna otra razón más que el jactarse de los derechos. 

Las amenazas externas están evolucionando. Antes, un hacker o kiddy script pagaba la visita, y posiblemente dañaba un proceso; hoy los peligros son mucho mayores. Los ataques lentos y bajos montados por el crimen organizado, con tiempo virtual y recursos ilimitados, se están volviendo más comunes. Este tipo de ataques penetran lentamente las defensas, e inician una interrupción bien pensada, generalmente descubierta por la organización cuando ya es demasiado tarde. Aún más, el enfoque de estos ataques ya no sólo es infligir daños, o quebrar un servidor web; más bien el objetivo es obtener dinero o servicios de la víctima.

Es de vital importancia tener en cuenta que estos ataques no necesitan estar basados en TI. Una organización criminal, con suficiente tiempo y dinero, puede lentamente manipular a los empleados de la organización objetivo a través de técnicas sociales, o plantar a alguien de su propia gente como un espía. En el montaje como ataques directos, firewalls de red, dispositivos de seguridad, e incluso los guardias de seguridad a la entrada de los locales, son completamente ineficaces. El espía, una vez en el lugar, se encuentra en una posición ideal para provocar daños serios a la organización, mientras realiza los deberes diarios de su puesto de trabajo.

La pregunta más difícil que enfrentan las empresas es simplemente, ¿cómo puedo hacer esto? Cada proceso es diferente; es decir, no existe un enfoque estandarizado que pueda aplicarse de forma fiable para el escrutinio de las vulnerabilidades.

En el siguiente número: Los elementos que debe incluir un proceso o proyecto para la mejora de la seguridad.