En las empresas medianas y pequeñas, el departamento de informática, que
tiene que ver con el desarrollo y mantenimiento de los sistemas, engloba normalmente
también la seguridad informática.
Pero en organizaciones que tienen una cierta dimensión, como pueden ser las
financieras, en las que cada año crece exponencialmente el volumen de
información, la seguridad informática suele ser una actividad
independiente.
En ocasiones, en este tipo de empresas las plataformas SIEM, tal como hasta
ahora están concebidas van perdiendo su efectividad operativa, lo que ha
obligado a la industria a desarrollar nuevas soluciones tecnológicas más
potentes, que han sido definidas por la consultora GARTNER como “BIG DATA”.
El término “BIG DATA” hace referencia a sistemas capaces de manipular
grandes conjuntos de datos (“data sest” o minería de datos), que no
pueden ser capturados, gestionados y procesados en un tiempo razonable con
el “solfware” habitual.
Y es que el aumento de información ha roto el perímetro que la controlaba hasta
hace poco tiempo, y por ello las bases de datos que utilizan las empresas
normalmente ya están distribuidas en diferentes ubicaciones tecnológicas y
geográficas. Esta situación se está consolidando por, el auge que está teniendo
la computación en nube, la variedad de fuentes de datos existentes, cada una
con su propia estructura y tipología, la diversidad de recursos y
dispositivos que utilizan los directivos y empleados para acceder a la
información, y por el intercambio de recursos propios y ajenos entre las
empresas y su entorno.
Es cierto que las organizaciones no pueden renunciar a toda la
información que necesitan para la gestión de sus negocios, pero son tantas las fuentes
que pueden ser consultadas, que termina habiendo un exceso de información que
no sirve a los fines propuestos si antes no es convertida en inteligencia,
entendida ésta como información preparada para resolver problemas.
El acceso por la empresa a fuentes de información internas y externas, así
como la transformación de la información contenida en las mismas en
inteligencia, suele realizarse en los departamentos de negocio, gestión,
control y cumplimiento, a través de sus propias herramientas informáticas,
todas ellas controladas por el Departamento de Informática mediante una
plataforma SIEM o “BIG DATA”.
Estas últimas plataformas controlan la seguridad de los datos y su
almacenamiento, así como el acceso autorizado a los mismos; filtran las puertas
de entrada y salida hacia las fuentes de información; distribuyen los datos
entre diferentes GPU (Unidades de Procesamiento Global) para su proceso masivo
en paralelo, lo que permite la correlación de datos, la generación de patrones
y su análisis por los departamentos de gestión, negocio, control y
cumplimiento.
El conocimiento del funcionamiento de esta tecnología, por los distintos
departamentos de la empresa, resulta imprescindible para que estas estructuras
complejas y costosas puedan ser rentabilizadas convenientemente, no sólo por
los departamentos de informática que ya lo hacen, sino también por el resto de
departamentos operativos, que han de saber pedir a los informáticos lo que
necesitan de las máquinas.
Las plataformas SIEM o “BIG DATA” tienen como función principal
controlar la seguridad informática, pero bien gestionadas pueden ofrecer
informes valiosos sobre la actividad de las diferentes plataformas
departamentales, al tener una visión centralizada de todas las fuentes de eventos
que están dispersas en la empresa.
Por ejemplo, la información sobre los clientes se genera en los
departamentos que están en contacto directo con ellos, cuando los comerciales
les solicitan determinados documentos identificativos y de solvencia que son
necesarios para el establecimiento de las relaciones de negocios u operaciones.
La información contenida en estos documentos, una vez verificada por la
unidad receptora de los mismos, se convierte en datos informáticos (unidades
elementales de información) mediante las plataformas tecnológicas de gestión,
que la pasan de forma automática por determinados filtros de calidad antes de
cederla a la Base de Datos de Clientes.
Llegada esta información a la Base de Datos de Clientes, se convierte en
uno de los activos más importantes de la empresa, por lo que se le rodea de un
entorno de seguridad.
Este entorno se consigue mediante una compleja estructura tecnológica, que
posibilita la gestión de los datos manteniendo la necesaria seguridad de
los mismos, al mismo tiempo que permite que la información sólo pueda ser
utilizada por cada miembro de la organización con una autorización específica.
Esta estructura se conoce en el mundo tecnológico como “Security
information and event management” o su correspondiente acrónimo SIEM,
que es una plataforma de control, además de ser el núcleo operativo
sobre el que funcionan las restantes aplicaciones, entre ellas la Base de
Datos de Clientes.
Las organizaciones que manejan mucha información suelen dotarse de plataformas
tecnológicas SIEM o “BIG DATA”, porque les permiten el almacenamiento de datos
históricos y de gestión, y porque les facilitan su correlación
inmediata a efectos operativos.
Las plataformas SIEM o “BIG DATA” suelen tener las siguientes
características:
- Permiten la agregación, consolidación y monitorización de datos procedentes de diferentes fuentes internas y externas.
- Permiten el trabajo de correlación de los datos para crear inteligencia, mediante la búsqueda de atributos comunes o mediante el enlace de eventos que están interrelacionados.
- Generan alertas cuando en el sistema se introducen filtros, a través de las plataformas de control departamentales. El sistema hace llegar en línea y en tiempo estas alertas a los destinatarios de las mismas, lo que ayuda a agilizar la resolución de problemas.
- Ofrecen herramientas para crear tablas informativas que sirven para definir patrones, o para identificar actividades que se salen del patrón estándar.
- Permiten la recopilación de datos de cumplimiento y la elaboración de informes para la dirección, para auditoría, para otros departamentos, o para autoridades externas.
- Contienen los repositorios centralizados de datos históricos.
- Controlan el sistema de acceso y las autorizaciones para el acceso a los datos.
El aseguramiento de los datos es un tema técnico cuya responsabilidad
corresponde al CISO (chief information security officer), que es
el ejecutivo de más alto nivel para la seguridad de la información. Tiene la
responsabilidad de establecer y mantener la visión empresarial, la estrategia y
los programas necesarios para asegurar los activos de información y para
protegerlos adecuadamente.
Pero existe otra importante función operativa dentro del departamento de
seguridad informática y es la prevención y la reacción frente al fraude
informático. Este departamento tiene bajo su responsabilidad las alertas
tempranas originadas por secuencias conocidas relacionadas con el ciberdelito,
que ayudan a la empresa a reducir el tiempo de impunidad del atacante, y
permiten obtener pruebas del ataque.
En la prevención del fraude, por tanto, existen dos departamentos con
funciones anti-fraude específicas pero con muchos puntos de contacto operativo:
- El departamento de seguridad informática en lo que se refiere a la prevención y reacción frente el ciberdelito.
- El departamento de prevención del fraude, en lo que se refiere a la prevención y reacción del fraude no informático.
Ambos departamentos se complementan, por lo que resulta imprescindible una
buena colaboración entre ellos, respetando cada uno su propia independencia
operativa.
Toda la estructura tecnológica de una organización está sometida
constantemente a diferentes cadenas de ataques y malware, que resulta necesario
identificar y rastrear, especialmente cuando los atacantes logran
penetrar en los sistemas. Entonces es necesario conocer cómo se produjeron los
hechos y determinar la información que pudo quedar comprometida, así como
recoger las pruebas e indicios tecnológicos para su denuncia ante las autoridades.
Esta función está encomendada al departamento de seguridad
informática, que en muchas ocasiones suele tener el apoyo tecnológico de
empresas externas especializadas en seguridad informática.
Pero como el mundo virtual suele ser un fiel reflejo del mundo real, la
experiencia de la prevención del fraude en el mundo real resulta de la máxima
utilidad para prevenir y atacar el fraude informático, y para poder
ofrecer de forma adecuada a las autoridades judiciales y policiales los
rastros informáticos dejados por los delincuentes, con el fin de que puedan ser
investigados de forma eficaz por las unidades policiales especializadas.
La colaboración entre el departamento de seguridad informática y el
departamento de prevención del fraude puede servir para mejorar la gestión de
las propias plataformas tecnológicas en la gestión del fraude.
Esa colaboración puede servir también para generar inteligencia para la
empresa en materia de prevención del fraude, mediante la programación de ciclos
específicos que ayuden al análisis de la información a través de las máquinas.
Un ejemplo de ciclo de inteligencia podría ser el siguiente:
- Planificando la investigación que se pretende realizar
- Accediendo a diferentes fuentes internas y externas
- Programando las máquinas y automatizando los procesos
- Procesando la información para generar el análisis de los datos
- Generando informes y alertas
- Distribuyendo esta información de forma conveniente para la toma de decisiones
Entendemos como evidencias electrónicas, los rastros
informáticos que quedan en los equipos de las entidades y de sus clientes
tras los ataques recibidos a través de Internet. Estos rastros informáticos,
debidamente preservados, pueden demostrar la naturaleza de los ataques y
ofrecer datos muy valiosos sobre su autoría, especialmente si se logra que esta
información se interrelacione con otras evidencias o hechos ya esclarecidos.
Las evidencias electrónicas tienen también una gran utilidad en el ámbito
interno de las entidades, porque permiten a sus expertos la elaboración de
planes para reforzar la seguridad de los sistemas y para prevenir riesgos.
Las entidades financieras y otras empresas también, están integrando en sus
sistemas herramientas y métodos de trabajo que les permiten potenciar la
prevención y preservar las evidencias electrónicas, para así poder
utilizarlas como pruebas o indicios en los procesos penales y civiles.
Las evidencias electrónicas, cuando se obtienen de una forma adecuada, no
sólo sirven para convencer a los Jueces y Tribunales de los ataques sufridos,
sino que facilitan las investigaciones necesarias para la identificación de sus
autores.
Pero aún no se ha conseguido una plena colaboración entre las empresas, especialmente
dentro del sector financiero, y con las unidades policiales de investigación
tecnológica. Esta colaboración beneficiaría la lucha contra la
ciberdelincuencia en la actividad económica y financiera y, especialmente un
mayor desarrollo del comercio electrónico.
Se podrían alcanzar de una forma más efectiva estos objetivos de interés
general si mejorase la colaboración entre las propias entidades
victimizadas, así como la colaboración de éstas con las instituciones públicas
y privadas que trabajan en la investigación del ciberdelito, lo que serviría
también para generar confianza en los consumidores sobre el uso de las nuevas
tecnologías.
No hay comentarios:
Publicar un comentario