09 Ene

La gran mancha de la inseguridad

Recientemente confirmamos la teoría de que más seguridad trae consigo mayores dudas sobre la verdadera protección.En una reunión de alto nivel con los responsables de seguridad de uno de nuestros clientes de consultoría del sector bancario nos decía con una profunda preocupación: <<nuestro banco ha invertido grandes sumas en la seguridad de la información, somos, -con mucho-, la institución bancaria con la mayor madurez en blindaje y seguridad de la información y aún así no sabemos si podemos estar seguros y si es que podemos proteger la información sensible de la institución. La mancha de seguridad es tan grande y tan variada, que no sabemos si hemos logrado cubrir todos sus flancos y esta incertidumbre nos hace sentir profundamente vulnerables>>

Y era totalmente cierto. Esta plática se desarrollaba en medio del análisis de un ataque de “Phishing” que había logrado penetrar sus estructuras y que había provocado una desviación en la información destinada a concluir transferencias bancarias. 

Indudablemente, -o presumiblemente- habían colaboraciones internas, o credenciales válidas comprometidas. Habían también intrusiones externas y ojos ajenos en las funciones vitales de este servicio y un sinfín de interrogantes para que un ataque de esta naturaleza tuviera el éxito que había alcanzado este último. Y también era indudable que los filtros tecnológicos habían sido insuficientes y que sin una buena línea de defensa al nivel de los recursos humanos todo intento de contener los ataques de este tipo serían, como quedó demostrado, insuficientes.

Puestos a la tarea de llevar soluciones a un esquema tan complejo, buscamos acotar el alcance del “phishing” mediante el conocimiento de los vectores de ataque y el daño que cada uno logra a la institución afectada.

El problema real, es que esta forma de amenaza en línea, toma como eje principal al factor humano. Las estadísticas nos marcan que aún hoy en día, con toda la difusión que ha tenido este problema, siguen respondiendo a los ataques de “phishing” el 17% de los empleados y el 4% lo hacen de manera regular, aún cuando son conscientes de esos ataques o han sido víctimas en el pasado o aún cuando se les ha capacitado e instruido para no responder a los ataques. Lo que sucede es que son tantos los formatos y es tanta la presión laboral que incluso al mejor cazador se le puede escapar alguno de ellos. Y más dramático todavía es el hecho de que no se requiere de una respuesta numerosa, solo es necesario un “clic” en un momento de distracción.

El phishing atenta contra la naturaleza humana, -o la utiliza hábilmente-, contra las estructuras mentales y conductuales que nos hacen seres sociales. Efectivamente, está en nuestra naturaleza querer ayudar a los demás, adquirir notoriedad, ser reconocidos y conservar nuestros puestos de trabajo. Los ataques se basan en ello y utilizan, en ocasiones de manera simultánea, varios vectores de ataque, como el correo electrónico, la llamada telefónica, los sitios WEB apócrifos o comprometidos, la presencia física, la observación y generar confianza o amenazar para tener la respuesta esperada: el “clic”.

¿Qué hay de las soluciones?
Evidentemente es una respuesta complicada de ofrecer en este ambiente complejo y cargado de oportunidades de éxito para el perpetrador, mayormente motivado por fines económicos, de daño moral a las instituciones, o bien, de activismo político y hasta “ciberterrorismo” cuando apunta a instalaciones y funciones críticas.
De cualquier manera, hay formas de atenuación del impacto frente a situaciones de fuerza bruta, explotación de vulnerabilidades y particularmente de phishing. La primera de ellas es ineludible: el entrenamiento especializado. Sólo con personal entrenado es que podremos atenuar su efecto y reducir el porcentaje e impacto de las fugas de información. Es posible realizar procesos de entrenamiento en tiempo real, mediante simulaciones de “phishing” las que reproducen las condiciones de buena parte de los ataques conocidos.Dado que es un problema complejo las soluciones también tienden a ser complejas en especial en los ambientes de alta sofisticación tecnológica. Así, cobran importancia, tras el entrenamiento, soluciones de tecnología que permiten controlar algunos vectores de ataque: Filtrado de correo electrónico, filtrado de Contenido, soluciones de prevención de pérdida de datos (DLP), control de accesos con analítica conductual, auditoria de gestión, bóvedas de contraseñas, y formatos de control de buenas prácticas en el uso de Internet y el correo. Todo, en su conjunto, se pone a prueba, todos los días, por los grupos de cibercriminales y hacktivistas.

No hay defensa contra la estupidez” se dice en el mundo “Cracker” pero nosotros creemos que sí podemos administrar el riesgo y que esta amenaza puede no tener efectos devastadores si es que estamos preparados. El punto de partida es el entrenamiento del personal, seguido del análisis del riesgo y la implementación de soluciones de tecnología, y redondear con campañas permanentes de comunicación estratégica, las que mantendrán la atención en el personal. Así podemos mitigar el efecto de este flagelo y llevar un poco de tranquilidad a los responsables de la protección de datos personales y de la seguridad de la Información.
Si deseas conocer más del tema y de su impacto en la protección de los datos personales y el cumplimiento con la ley, de los programas de entrenamiento y simulaciones y de las soluciones de tecnología, déjanos saber con un correo a clic@pikitdigital.net o llama al (55) 50278444

related posts

add a comment