Llegamos a ustedes gracias a:



Reportajes y análisis

Seis consejos para protegerse de los pícaros administradores de sistemas

[06/10/2010] Una de las mayores amenazas que enfrentan las organizaciones es la pérdida de datos sensibles -como tarjetas de pago o información de identificación personal sobre los clientes o empleados- robadas por sus propios empleados. La mayor amenaza proviene de los sistemas y administradores de red, que tienen acceso privilegiado a grandes cantidades de datos corporativos y son responsables de la mayoría de los registros comprometidos en los casos internos.

"Hoy en día, me preocupo por las amenazas internas más que de los hackers, ya que es donde somos más débiles", señala Jason Benedict, CISO de la Universidad de Fordham. "Contamos con firewalls. Tenemos protección contra intrusión. Tenemos antivirus. Hemos reducido el riesgo externo con bastante éxito. El agujero en la universidad es la amenaza interna. Creo que nunca hemos tenido personal que se vuelva malicioso, tome información y la venda. Sin embargo, constantemente vemos gente revisando información para la cual no tienen privilegios. Personas con accesos de alto nivel revisan los sueldos de los empleados porque pueden.
Heather Wyson, vicepresidente del programa de fraude en la Mesa Redonda de Servicios Financieros de BITS, dice que ha habido un aumento de incidentes relativos a información privilegiada entre las empresas de servicios financieros de EE.UU.
"Hay violaciones intencionales como el robo de información financiera o privada, así como colocación de bombas lógicas y malware; pero también existen violaciones no intencionales causadas por personal interno, como empleados que abren accidentalmente un archivo infectado, instalan software no autorizado, además de amenazas provenientes de sitios de social media", afirma Wyson. El especialista agrega que han visto un aumento de las violaciones de seguridad  intencionales y no intencionales relacionadas con personal interno.
Hablamos con CISO y expertos en seguridad sobre los pasos prácticos que los departamentos de TI pueden tomar para minimizar las amenazas internas. He aquí sus consejos:
1. Restringir y monitorear a los usuarios con privilegios especiales
Casi la mitad -48%- de todas las violaciones de datos provienen de personal interno, según el Reporte de Investigaciones de Violaciones de Datos 2010 de Verizon. Y la gente interna que debe ser vigilada de cerca es aquella con privilegios especiales. Verizon recomienda que los CIO apliquen una evaluación previa a la contratación para eliminar potenciales empleados que hayan violado las políticas de uso en el pasado.
BITS ofrece a sus miembros un servicio de prevención del fraude en el que pueden compartir información acerca de ex empleados que fueron declarados culpables de crímenes, pero no procesados. Además, los empleados no deberían tener más privilegios que los que necesitan para su trabajo actual, y las tareas deberían ser separadas para que el acceso y el poder no se concentre en un solo empleado. El uso privilegiado debería ser registrado y debe generar mensajes a la gerencia,  recomienda Verizon". Un uso privilegiado no planificado debe generar alarmas y ser investigado".
2. Mantener actualizados el acceso de usuario y los privilegios, especialmente en tiempos de cambios de trabajo o despidos
Verizon encontró que el 24% de los incidentes de información privilegiada involucraban a empleados que recientemente habían experimentado un cambio laboral. La mitad de ellos habían sido despedidos, mientras que otros habían renunciado o se les asignó un nuevo papel dentro de la empresa.
Las infracciones se produjeron cuando las cuentas de los trabajadores no fueron deshabilitadas lo suficientemente rápido o al empleado se le permitió terminar la jornada laboral después de haber sido despedido. Es por eso que Verizon recomienda que las empresas que tienen "planes de desvinculación laboral sean oportunas y abarquen todas las áreas de acceso".
Benedict explica que Fordham es capaz de desactivar un usuario, y retirar todos sus privilegios de acceso dentro de cinco horas.
3. El monitoreo de empleados encuentra culpables de una leve mala conducta online
Verizon ha encontrado que "los empleados involucrados en faltas leves en línea a menudo pasan a delitos mayores, como malversación de fondos o robo de propiedad intelectual". Los CIO deben mantener un ojo en los trabajadores que sean culpables de violaciones a la política en línea y en los que tengan otros comportamientos inapropiados, como pornografía o contenidos ilícitos en sus sistemas, como un indicador razonable de una violación futura. Verizon ha encontrado que los empleados que cometen robo de datos fueron citados a menudo en el pasado por formas leves de mal uso –lo cual se conoce como "teoría de la ventana rota del cibercrimen".
4. Utilice el software para analizar los archivos de registro y que le avise cuando se producen anomalías
Cuando Verizon investiga una violación de seguridad, la evidencia se encuentra en los archivos de registro en el 86% de los casos. La compañía cita tres anomalías importantes que vigilar en el registro de datos: un aumento anormal de los datos de registro; líneas anormalmente largas en los registros, y una disminución anormal o ausencia total de datos de registro. Verizon señala que ha visto aumentar las entradas de registro en un 500% a raíz de una violación, y que ha visto entradas de registro desaparecer por completo después de que un atacante inhabilita el logueo. Inyecciones de SQL y otros ataques dejan líneas más largas que la actividad normal.
Muchos departamentos de TI ajustan el seguimiento de eventos y las herramientas de análisis y se olvidan de ellos, en lugar de controlar regularmente sus resultados. Verizon recomienda configurar estas herramientas para detectar problemas obvios. Es tan fácil como instalar un simple script que cuenta las líneas de registro y envía un mensaje de alerta, señala Verizon. Benedict afirma que el personal de seguridad de Fordham revisa los registros de auditoría de forma manual para identificar anomalías.
5. Considere la posibilidad de implementar la tecnología de prevención de pérdidas de datos
Cada vez más, los CIO están preocupados acerca de la propiedad intelectual en sus redes corporativas, y están instalando software para monitorear y filtrar el tráfico de red saliente. Unisys, por ejemplo, tiene en marcha un proyecto piloto de tecnología de prevención de pérdida de datos para protegerse contra la pérdida de la propiedad intelectual de la empresa, señala la CISO Patricia Titus. Benedict indica que Fordham tiene previsto invertir 500 mil dólares en software DLP tan pronto como su presupuesto lo permita.
Verizon recomienda que todas las organizaciones filtren el tráfico de red saliente, así como el tráfico de red entrante. "Mediante el seguimiento, el entendimiento y el control del tráfico de red saliente, una organización aumentará en gran medida sus posibilidades de atenuar la actividad maliciosa", señala Verizon.
6. Eduque a sus empleados acerca de las amenazas internas
Los CISO recomiendan entrenamiento regular para todos los empleados -especialmente el personal de TI- acerca de las amenazas de seguridad y cómo identificar los compañeros de trabajo que pudieran estar participando en un comportamiento malintencionado, como el robo de datos valiosos. Titus señala que el mayor aliado de un CISO en la batalla contra los agentes internos son los otros empleados. Wyson recomienda que las compañías ofrezcan una línea telefónica para que los empleados -de forma anónima- puedan denunciar fraudes que saben o piensan que están ocurriendo.
Benedict no solo realiza cursos anuales de seguridad sino que proporciona folletos, volantes y panfletos a los empleados sobre las amenazas de seguridad más modernas. Fordham también está adoptando servicios de social media, como Facebook, Twitter y blogs, para educar continuamente al personal de la universidad acerca de las amenazas de seguridad.
Carolyn Duffy Marsan, Network World (US)