Llegamos a ustedes gracias a:



Reportajes y análisis

Más vale prevenir

La información confidencial pone en alerta a los sistemas TI

[20/12/2007] El extravío de dos CD con los datos de casi la mitad de la población inglesa en el correo interno entre departamentos gubernamentales ha provocado en Reino Unido dimisiones y pérdidas de confianza en la Administración Pública, así como alarma social por el tratamiento que se podría dar a la información contenida en los discos. ¿Qué consecuencias tiene un suceso así?, ¿cómo se puede prevenir esta brecha de seguridad?

Hace poco más de un mes, el Reino Unido se vio sobresaltado por la pérdida de dos discos compactos con información confidencial de 25 millones de personas: datos bancarios y de la seguridad social sobre 7,5 millones de familias que habían solicitado becas para sus hijos. El suceso se produjo durante el intercambio de los discos entre la Oficina Nacional de Auditoría y el Departamento de Hacienda y Aduanas por falta de rigor en el proceso de seguridad, del que se acusó a la compañía de transportes responsable del correo interno entre departamentos.
Ante la alarma social que se generó, el ministro de Economía británico tranquilizó a los ciudadanos asegurando que la información contenida en los discos estaba protegida con contraseñas y que no había caído en manos de delincuentes. Asimismo, recomendó a los afectados controlar sus cuentas bancarias ante cualquier actividad inusual, frente a la que garantizó estarían protegidos por el código bancario de Reino Unido. Pese a todo, el miedo de las personas afectadas de que sus números de cuenta fueran puestos al descubierto ha llevado en el Reino Unido a muchos de ellos a cancelar sus cuentas actuales para evitar un uso fraudulento de las mismas. Cada una de esas operaciones de cancelación y nueva apertura tiene un costoeconómico concreto, apunta Luis Fuertes, Enterprise Marketing Manager para España y Portugal de Symantec.
A nivel político, la noticia desencadenó la renuncia del responsable de Hacienda y Aduanas, y ha puesto en riesgo el proyecto del Gobierno británico de implantar a nivel nacional un documento de identidad. Además de la intranquilidad de los usuarios, esta circunstancia ha propiciado un descrédito y una falta de confianza en los gobernantes y en las administraciones públicas, que son los que deben encargarse de nuestra seguridad a todos los niveles, apostilla Emilio Castellote, director de márketing de producto de Panda Security.
Riesgos para el ciudadano
Y es que la noticia de Reino Unido saca a relucir no solo las fallas en el manejo de la información confidencial que gobiernos y empresas tienen en su haber, sino también sus posibles consecuencias. Además de las pérdidas económicas antes mencionadas, el usuario podría verse implicado en un proceso de suplantación y robo de identidad personal. Aunque los datos que contenían los CD (el número de cuenta
bancaria, documentos de identidad, domicilio, seguridad social, etc.) pueden no ser suficientes para cometer impunemente un delito, sí pueden resultar tremendamente jugosos para intentar suplantar la personalidad de estas personas a través, por ejemplo, de la banca telefónica o, más aún, para el temido phishing, ya que los estafadores pueden ponerse en contacto con miles de personas haciéndose pasar por empleados de su banco y al conocer tantos datos personales, es mucho más fácil encontrar incautos que caigan en la trampa, advierte José Ángel de las Heras, especialista en IdM (Gestión de identidades) de BMC Software. En este sentido, Manuel Arrevola, director general comercial de Zitralia, incide en que se podrían utilizar las identidades para suplantar a autores de fraudes o robos. Y lo que es más grave, con los datos personales se podría acceder a servicios, subvenciones o a información privada de la víctima (de tipo laboral, jurídica, financiera, etc.). Además, también podrían ser víctimas de fraude bancario al disponer el delincuente de números de cuenta, tarjetas de crédito e información personal que pueda ayudar a conseguir claves de acceso vía Internet. Un reciente estudio de la compañía de asistencia CPP afirma que el robo de identidad supone el 44% del total de las estafas y que la cantidad económica media robada a cada víctima asciende a seis mil euros.
Otro de los temores generados es la venta de los datos en el mercado negro. Si bien no hay cifras oficiales, se baraja que los CD británicos podrían cotizarse por 140 millones de euros. Recientemente, en Estados Unidos un administrador de bases de datos admitió haber vendido los registros de 8,5 millones de clientes por 580 mil dólares. También en Reino Unido, un timador ofrecía en la Red 30 mil números de tarjetas de crédito por menos de 1,5 euros cada uno. Datos del ISTR (Internet Security Threat Report) de Symantec revelan que las tarjetas de crédito son los artículos más anunciados (22%) en Internet, seguidos por las cuentas bancarias (21%), cuyo precio es similar al de las contraseñas de correo electrónico. 
El problema vive en casa
Tanto en el caso británico como en el mencionado de Estados Unidos, las amenazas de seguridad han surgido de la propia organización. En el primer ejemplo, la pérdida de los CD ha puesto de manifiesto que los funcionarios y la empresa encargada del correo se saltaron los procedimientos de seguridad al enviar el paquete sin certificar ni registrar los envíos. En la segunda ocasión, era un trabajador de la compañía quien vendía datos a los traficantes de información. El robo de información interna y el acceso ilegítimo, son, después de los virus y malware en general, las principales amenazas para la seguridad interna de las organizaciones. En este caso, el uso de tecnologías de cifrado de la información que reside en los soportes de almacenamiento (ya sean discos duros, CD o pen-drive) es vital, subraya el director general comercial de Zitralia, Manuel Arrevola.
Asimismo, desde Secuware han detectado que el 70% de los delitos se produce desde dentro de las empresas. Son empleados descontentos o gente con fácil acceso a la información que se la lleva sin pensar que hacen algo ilegal, comenta Carlos Jiménez. La formación del usuario es importantísima, no solo para que aprenda sino para que entienda por qué la seguridad es relevante para su compañía. Igual que pasa por un detector de metales para evitar una bomba, debería seguir una serie de normas para impedir que un troyano o un hacker pueda introducir bombas lógicas dentro de su empresa.
Por lo tanto, además de aplicar las medidas de protección pertinentes a cada tipo de información, es primordial la concienciación de todas las capas involucradas en el tratamiento de datos, desde la alta gerencia hasta el funcionario. Existen protocolos muy bien diseñados cuyo principal defecto es su no cumplimiento, advierten desde CA.
Más vale prevenir?
La seguridad de la información es un concepto que está en constante evolución, debido principalmente a la aparición de nuevas vulnerabilidades más sofisticadas, y por las regulaciones, advierte Alejandro García, de IBM. Ante estas circunstancias y el hecho de que en numerosas ocasiones no se es consciente de los riesgos hasta que suceden, los proveedores de TI se esfuerzan en inculcar en sus clientes la máxima de más vale prevenir que curar. Apostando por enfoques de seguridad preventivos y globales se podrá llegar a un nivel de madurez que disminuya los ratios de fallas de seguridad en las organizaciones, puntualiza García.
Igualmente, Carlos Jiménez de Secuware opina que la política efectiva es la prevención; haber previsto algo y diseñar el sistema para que pueda resistir un ataque. En este aspecto, hay dos sistemas que han cambiado. El primero es que desde el 11 de septiembre del 2001, Occidente intenta protegerse de un ataque que hasta entonces no consideraba. Los sistemas se habían diseñado para que funcionaran en unas condiciones diferentes a las que hoy exigen. Este cambio y la posibilidad de que el ciberterrorismo afecte han cambiado mucho el diseño de los sistemas. Y ése es el segundo problema, que los sistemas no se diseñaron con la seguridad en mente. sino que se ha puesto después como un parche para resistir a ataques, y esto hace que los sistemas no estén lo suficientemente protegidos.
El análisis de las políticas de seguridad empresariales revela que su aplicación se ha centrado principalmente en el perímetro de la red. Por tanto, para prevenir ataques es aconsejable, según el responsable de la firma española de seguridad Zitralia, la aplicación de medidas de seguridad de protección de los datos empleando las tecnologías más punteras de autenticación, certificación digital y cifrado de la información de servidores y cualquier medio de almacenamiento.
En este sentido, desde Symantec indican que el almacenamiento aislado ya no tiene sentido, la tendencia está claramente marcada por la combinación de soluciones de almacenamiento y seguridad. Para Luis Fuertes, director de marketing empresarial de la compañía, estamos convencidos de que para las empresas es vital disponer de una solución de software integrado de seguridad y disponibilidad, gracias a la cual poder garantizar que la información de una compañía va a estar siempre segura y disponible.
Desde RSA, filial de EMC, Roberto Llop considera que las nuevas tecnologías permiten proteger de forma efectiva la información sin comprometer la disponibilidad efectiva para el negocio y respaldando las políticas de seguridad corporativa. El siguiente paso es que las organizaciones van a necesitar cada vez más conocer de forma rápida y efectiva dónde se halla la información confidencial a lo largo de su organización, llegando a la búsqueda contextual incluso, y aplicarle políticas de seguridad de forma automática.
Además, es conveniente desplegar soluciones que permitan mantener diferentes niveles y perfiles de acceso y seguridad en función de los departamentos y necesidades de cada trabajador, aporta Rafael Vigil, director de marketing de la multinacional española de seguridad Optenet. Asimismo, se prestará especial atención a la eficacia de la protección (por ejemplo capacidades multi-lenguaje) y a las funcionalidades de control centralizado sobre plataformas distribuidas.
Como se ha visto con el caso de Reino Unido, otro aspecto a cuidar es el intercambio de información. La protección física y/o lógica de los datos personales es la definición de los procedimientos adecuados para el intercambio de los mismos, ya sea entre equipos informáticos, entre personas o entre personas y sistemas informáticos y viceversa, insiste José Ángel de las Heras, de BMC. Además, Jonathan Priestley, director de estrategia corporativa de esta firma de software de gestión, recomienda revisar las políticas y, particularmente, las mejores prácticas. Lo sucedido en Reino Unido es una llamada de atención para la industria. Debemos darnos cuenta de lo fácil que es tener un gran problema si no se implementan los procesos correctos, como la formación de los propios empleados que manejan la información. Las organizaciones deben adoptar ITIL y concienciarse de que no solo la tecnología soluciona los problemas, sino que también hay que adoptar los procesos más adecuados.
A modo de resumen, Emilio Castellote, director de márketing de producto de Panda Security, sugiere detallar en un grupo de documentos todos los aspectos referentes a la protección informática de la compañía. El estándar ISO 17799 recoge también, entre otros, el inventario y gestión de activos, la formación en materia de seguridad al personal de la empresa, la seguridad física de los sistemas, la de las comunicaciones y operaciones donde se incluyen aspectos como la protección contra malware y la gestión de copias de seguridad, los controles de acceso, los planes de contingencia y por supuesto los requisitos legales que aseguren que la política cumpla y recoja la normativa vigente en el país donde se aplica. También se debe realizar un seguimiento periódico de todos los procedimientos de la empresa, a fin de poder actualizar de forma adecuada todas las políticas siempre que sea preciso. Las políticas de seguridad deben adaptarse continuamente no sólo a la evolución de la empresa, sino también a las nuevas tecnologías y amenazas.
CIO , España