5 recomendaciones para garantizar la confianza en el sistema financiero global
Ciudad de México, julio 2016.- Recientemente, la red del consorcio internacional SWIFT (Society of Worldwide Interbank Financial Telecommunications), hizo público el hecho de que algunos fraudes millonarios vienen ocurriendo en el sistema financiero internacional. Tales fraudes ya pueden haber sumado más de una docena, en diferentes instituciones y países, resultando en pérdidas de más de 100 millones de dólares sólo este año.
El caso involucra ataques a bancos menos protegidos, permitiéndoles a los delincuentes, obtener credenciales de operadores y efectuar transacciones no legítimas. Los ataques siguen en investigación, pero un hecho ya es conocido: fueron perpetrados por gente con conocimiento técnico y del sistema financiero, con acciones sofisticadas y meticulosamente planificadas y ejecutadas.
A pesar de los millones de dólares robados, el principal daño recurrente de los ataques es un activo incluso más importante y menos tangible: la confianza del sistema financiero internacional. Normalmente, se asume que si una institución somete a la red SWIFT una transacción, esta es legítima y puede ser confiable y aceptada por otras. Hoy tenemos más de 11.000 instituciones financieras que usan la red SWIFT globalmente, las cuales se relacionan entré sí con base en esta confianza.
Claro, cada banco necesita ser responsable por su propia seguridad, y la protección del sistema bancario global sólo puede ser asegurada colectivamente. Como se sabe, en un sistema basado en la confianza, la corriente es tan fuerte como su eslabón más débil. Por eso, se recomienda que los bancos analicen inmediatamente sus procesos y sistemas (especialmente aquellos que tienen relación con la SWIFT) y tomen medidas correctivas, en caso de que sea necesario. Con ese propósito, señalamos 5 puntos importantes:
1) Mantenga un proceso de gestión de riesgos, que constantemente evalúe cómo las nuevas amenazas, tecnologías, y cambios en el ambiente de negocios se reflejan en el nivel de riesgo de la organización. Tal proceso debe asegurar que los riesgos sean identificados, evaluados y que soporten la toma de decisión acerca de cuáles controles de seguridad son necesarios para mantenerlos siempre dentro del nivel considerado como aceptable por parte de la organización.
2) Mantenga procesos de monitoreo de incidentes e inteligencia de amenazas, para garantizar que las alertas relevantes sean detectadas (y solamente estas, ya que la complejidad de los ambientes tecnológicos de hoy genera una cantidad enorme de eventos que convierte el foco de monitoreo en algo realmente complicado, como buscar una aguja en un pajar). Herramientas de correlación de eventos y plataformas SIEM (Security Incident & Event Management) serán cruciales para lidiar con el desafío.
Técnicas de Security Analytics que identifican comportamientos anómalos y generan alertas independientemente de ataques conocidos es una capa adicional al SIEM que es igualmente importante. Sume a esto profesionales calificados, en operación 24×7, bases de reglas de correlación y análisis de datos robustos, así como mecanismos para la mejora continua de estas bases; procesos maduros para análisis, confirmación y priorización de los incidentes para garantizar su tratamiento apropiado; y respuesta a incidentes por medio de procesos, herramientas y profesionales calificados.
3) Protéjase de accesos no autorizados, pues estos son el corazón del problema en la red SWIFT. Tenga un directorio de usuarios limpio, así como los perfiles de acceso a cada sistema crítico. Limite el número de credenciales privilegiadas, y revise periódicamente los derechos de acceso concedidos. Utilice autenticación fuerte (multifactorial), fechas de expiración para contraseñas y cuentas, registro de las acciones realizadas por usuarios y auditorías frecuentes para otros controles adicionales relacionados al tema.
4) Persista en la concientización y capacitación de los usuarios, pues como se sabe las personas son el objetivo más vulnerable, y es uno de los recursos más abundantes dentro de las empresas. Pueden ser usuarios bien intencionados de la tecnología, pero sin capacitación o concientización adecuada. En una empresa con 10.000 usuarios de tecnología (sean empleados o proveedores), una campaña con efectividad del 98% incluso dejará 200 personas vulnerables – sin mencionar el desafío de la rotación y la necesidad de reciclaje y actualización para hacer frente a la constante evolución de las amenazas.
5) Prepárese para lo peor, y considere que el atacante tendrá éxito. Los ataques descritos arriba ilustran que sistemas sensibles son altamente buscados por delincuentes sofisticados, como el crimen organizado. Es cruel, pero es necesario admitir que la balanza tiende para el lado de ellos – el atacante puede intentar mil veces y basta apenas una para tener su misión cumplida; al paso que al gestor de seguridad se exige la perfección y éxito todas las veces, importando menos las 999 que obtuvo éxito en detener al atacante. Así, es más realista preguntarse “¿Y si…?”; y evaluar cómo la seguridad reacciona y cuál es el nivel de resiliencia de la organización en caso de que lo peor suceda. Trabajar con Objetivo de Confianza Reducido (Reduced Scope of Trust o RSOT), según Gartner, es la mejor alternativa para aislar sistemas sensibles.
Esto puede ser implementado por soluciones avanzadas de micro-segmentación, seguridad definida por software, que incluyen el uso de cifras, técnicas para volver los sistemas “invisibles” y técnicas para invalidar la exploración de redes utilizadas por atacantes. El resultado final es que, si un sistema crítico cualquiera (como un sistema ligado a la red SWIFT) es aislado por medio de micro-segmentación, el mismo sigue aislado y protegido de los ciber criminales.
* Leonardo Carissimi lidera la Práctica de Seguridad de Unisys en América Latin