Proceso de adecuación de las prácticas de los clientes a las exigencias emanadas de los reguladores, en materia de riesgo tecnológico y seguridad de la información.

 

Origen del riesgo tecnológico ¿Cómo nos afecta?

El riesgo tecnológico tiene su origen en el continuo incremento de herramientas y aplicaciones tecnológicas que no cuentan con una gestión adecuada de seguridad. Su incursión en las organizaciones se debe a que la tecnología está siendo fin y medio de ataques debido a vulnerabilidades existentes por medidas de protección inapropiadas y por su constante cambio, factores que hacen cada vez más difícil mantener actualizadas esas medidas de seguridad.

Adicional a los ataques intencionados, se encuentra el uso incorrecto de la tecnología, que en muchas ocasiones es la mayor causa de las vulnerabilidades y los riesgos a los que se exponen las organizaciones.

revista seguridad riesgo tecnológicoEl riesgo tecnológico puede verse desde tres aspectos, primero a nivel de la infraestructura tecnológica (hardware o nivel físico), en segundo lugar a nivel lógico (riesgos asociados a software, sistemas de información e información) y por último los riesgos derivados del mal uso de los anteriores factores, que corresponde al factor humano como un tercer nivel.

Si se revisan las definiciones de las metas, objetivos, visión o misión de las organizaciones, estás no se fundamentan en términos técnicos o con relación a la tecnología. Sin embargo, al analizar de forma profunda y minuciosa este tipo de planteamientos gerenciales, se encuentra que su aplicación trae como base el desempeño de una infraestructura tecnológica que permita darle consecución a dichas cualidades. Por ello, el cumplimiento correspondiente con la prestación de los servicios y desarrollo de los productos ofrecidos por la empresa, el mantenimiento de la actividad operativa e incluso la continuidad del negocio, dependen del cuidado y conservación que se tenga de la base tecnológica y por supuesto, del personal que la opera.

Medidas de aseguramiento ante el riesgo tecnológico

Hablar de controles y medidas que permitan a las organizaciones contrarrestar este tipo de riesgo puede ser complicado, pero es posible tomar acciones que lleven a su mitigación. El aseguramiento puede realizarse desde los tres niveles antes mencionados.

En el nivel físico, las medidas a tomar son de carácter técnico o de seguridad informática, referidas a la aplicación de procedimientos de control y barreras físicas ante amenazas para prevenir daño o acceso no autorizado a recursos e información confidencial que sea guardada en la infraestructura física. Dentro de éstas se encuentran:

  • Controles de acceso físico, que pueden incluir el uso de sistemas biométricos y vigilantes para acceso en áreas específicas.
  • Manejo de tokens o tarjetas de identificación.
  • Controles a nivel de equipos, tales como ubicación y protección, seguridad en cableado o mantenimiento periódico de equipos.
  • Servicios básicos (energía, agua y alcantarillado, entre otros) de soporte para continuidad.
  • Gestión de medios de almacenamiento removible.
  • Controles de vulnerabilidades técnicas, entre otros.

En el nivel lógico, las medidas a tomar se dan con respecto al uso de software y sistemas, enfocadas a proteger los datos y garantizar el acceso autorizado a la información por parte de los usuarios a través de los procedimientos correctos. Como parte de estas medidas se pueden tomar:

  • Controles de acceso lógico con la gestión de usuarios, perfiles y privilegios para acceso a aplicaciones y gestión de contraseñas.
  • Controles de acceso a la red interna y externa, segregación en redes y controles para asegurar servicios de la red.
  • Controles a nivel de teletrabajo y equipos móviles.
  • Soluciones de protección contra malware.
  • Respaldos de bases de datos e información crítica.
  • Protocolos para intercambio de información y cifrado de información.
  • Monitoreo de los sistemas, sincronización de relojes y protección sobre registros.
  • Limitación en tiempos de conexión a aplicativos y cierres de sesión por inactividad.
  • Gestión de control de cambios, entre otros.

El tercer nivel y el más crítico dentro de las organizaciones, dada su naturaleza impredecible, es el personal o recurso humano. Las medidas a este nivel deberían ser más procedimentales, ligadas a la regulación y concienciación. Dentro de éstas se pueden incluir:

  • Definición de políticas de seguridad que presenten las correspondientes violaciones con el fin de dar cumplimiento.
  • Controles relacionados a acuerdos con terceros, prestación de servicios que se puedan dar con éstos y segregación de funciones.
  • Controles a nivel contratación de personal.
  • Gestión antes, durante y después de la terminación de los contratos.
  • Educación y capacitación continua en aspectos de seguridad.
  • Procedimientos e instructivos para manejo de información.
  • Políticas de escritorio y pantalla limpia.
  • Cumplimiento de legislación aplicable, entre otros.

Riesgo tecnológico como raíz de otros riesgos

El riesgo tecnológico puede ser causa y consecuencia de otro tipo de riesgos, una falla sobre la infraestructura puede implicar riesgos en otros ámbitos, como pérdidas financieras, multas, acciones legales, afectación sobre la imagen de la organización, causar problemas operativos o afectar las estrategias de la organización. Si pensamos en el caso de un empleado descontento que puede representar un riesgo operativo, podría implicar también un riesgo tecnológico por manipulación inapropiada de sistemas e información.

A coninuación, se presentan algunos ejemplos que ilustran lo anterior:

  • El reciente descubrimiento en mayo de 2012 del malware Flame, el cual tenía como objetivo ataques de ciberespionaje en países de oriente medio. Este ataque representó pérdida de información confidencial y crítica. [1]
  • Otro caso de ciberespionaje industrial es el malware encontrado en archivos de AutoCad, cuya finalidad es el robo de información sensible como planos arquitectónicos. [2]
  • Un ataque muy nombrado en marzo del año pasado es el relacionado al robo de información realizado a RSA, que implicó riesgos para la banca en línea. [3]
  • Por último, el ataque que sufrió Sony en 2011, donde robaron información de cuentas de usuarios. [4]

Todo lo anterior, confirma la posibilidad de daños y perjuicios que puede desencadenar un fallo en la seguridad a nivel tecnológico.

Con estas aproximaciones damos por terminada la primera parte de este artículo, en una próxima entrega hablaremos sobre la importancia de las buenas prácticas y el marco de referencia COBIT en algunas de sus versiones.

Referencias

[1] Meet ‘Flame,’ The Massive Spy Malware Infiltrating Iranian Computers, Revista Wired, Mayo de 2012. Disponible en: http://www.wired.com/threatlevel/2012/05/flame/

[2] Malware en archivos AutoCad podría ser inicio de ciberespionaje industrial, Subdirección de Seguridad de la Información - Información y servicios de seguridad en cómputo. Disponible en:http://www.seguridad.unam.mx/noticia/?noti=420

[3] En riesgo más de 40 millones de usuarios de banca electrónica, blog de tecnología ALT1040, Marzo 2011. Disponible en: http://alt1040.com/2011/03/en-riesgo-mas-de-40-millones-de-usuarios-de-banca-electronica

[4] Sony admite un robo adicional de datos que afecta a casi dos centenares de usuarios en España, Diario El mundo España, Mayo 2011. Disponible en:http://www.elmundo.es/elmundo/2011/05/03/navegante/1304383366.html