Riesgos de la información de las empresas. La seguridad en las entidades financieras.
(F&B, 124, nov. 2007.) En la actualidad nuestra sociedad se mueve en un mundo digital en el que las prácticas comerciales y las comunicaciones cuentan con una gran cantidad de datos que se almacenan y se transmiten a través de redes que son continuamente amenazadas por nuevos virus y por nuevas mafias que utilizan nuevas técnicas para robar datos, identidades e información que puede ser utilizada de forma fraudulenta.
La amenza phising
La opinión de Pedro Galatas (CEO de Afina)
La opinión de Marcos Checa (Panel Sistemas Informáticos)
Gestión del riesgo de la seguridad
Fraude de tarjetas

La seguridad en las entidades financieras.

Desde los orígenes de nuestra civilización, el hombre ha estado sometido a constantes ataques de todo tipo. La defensa de la integridad física, la protección frente a los elementos climáticos así como la defensa de los territorios y las propiedades ha sido uno de los ejes principales de la evolución del ser humano. Incluso en el reino animal y vegetal podemos observar mecanismos de autodefensa ante las agresiones de sus semejantes o de otras especies. Pero no sólo la seguridad física es motivo de preocupación, en la actualidad nuestra sociedad se mueve en un mundo digital, tanto las actividades de ocio como las transacciones financieras. En este nuevo contexto las prácticas comerciales y las comunicaciones cuentan con cantidad de datos que se transmiten a través de redes digitales consiguiendo una mejora de la productividad, de la eficacia y de la comodidad.

Pero desgraciadamente, esta nueva forma de relacionarnos ha traído consigo nuevos problemas. A medida que el mundo digital avanzaba, han aparecido intrusos en forma de virus, gusanos y piratas informáticos malintencionados que se han convertido en verdaderas amenazas para cualquier usuario de las comunicaciones digitales y de la información que albergan en sus sistemas informáticos. A estas amenazas se han incorporado nuevas ideadas por ingeniosos criminales que utilizan técnicas de robo de identidad (phishing), falsificación (spoofing) y sitios web fraudulentos para robar dinero, identidades y secretos corporativos.

Panorama actual

Nuestras infraestructuras digitales, la información, las interacciones se han convertido en aspectos esenciales de nuestras vidas, y por tanto, corren más riesgos que nunca. Según los datos ofrecidos por Symantec en su Informe sobre Amenazas a la seguridad en Internet durante el primer semestre de 2007, España fue el segundo país de la región EMEA con mayor número de ordenadores infectados por bots, por detrás de Alemania. En cuanto a ciudades de la región, Madrid ocupa el primer puesto del ranking. Pero este dato no es más que la punta de iceberg de otros igualmente relevantes.

Londres se ha convertido en la capital del fraude de tarjetas on line con un aumento del 22% respecto al año anterior.
En la India, la web de uno de los principales bancos del país, fue violada por unos hackers que introdujeron un virus malicioso que distribuyó treinta tipos de malware obligando a la entidad a cerrar la página durante cuatro días para reparar el daño.
En Tokio un policía perdió su trabajo por filtrar información confidencial de 12.000 personas relacionadas con investigaciones criminales y en Estados Unidos un hombre ha sido condenado a siete años por robar las identidades de los clientes de la compañía AOL y posteriormente usarlos de forma fraudulenta.

Estos nuevos cibercriminales pertenecen a grupos organizados, a mafias concretas que operan desde sus bases y que controlan el mercado por motivos de proximidad geográfica, idioma, cultura, etc. Un ejemplo de ello es el de las mafias que operan en España que dirigen sus ataques hacia países de habla hispana mientras que las mafias que operan en la India o China están abriendo sus mercados hacia el resto de países asiáticos.

Como afirmó Art Coviello, Vicepresidente ejecutivo de EMC Corporation y Presidente de RSA el pasado mes de octubre en el marco de la RSA Conference celebrada en Londres, "los gobiernos deben de hacer un esfuerzo mayor para controlar las amenazas con medidas reglamentarias unificadas destinadas a estos criminales. El objetivo es cerrar el cerco a los violadores de datos mediante la colaboración entre las políticas europeas, estadounidenses y asiáticas y crear un puente entre los gobiernos de los distintos países para que se impliquen en estas políticas de seguridad".


Tipos de amenazas actuales

Los problemas a los que nos enfrentamos se pueden catalogar de la siguiente manera:

— Amenazas externas entre las que se encuentran técnicas de hacking, phishing y pharming que provocan robos de datos personales de los clientes, detalles de cuentas, números de tarjetas de crédito, etc.
— Amenazas Internas que dependen exclusivamente de los empleados de una empresa como es el robo directo de datos o la connivencia con elementos criminales de fuera de la compañía.
— Las pérdidas accidentales y/o la exposición de los datos como sucede cuando hay fallos técnicos o incluso falta de cuidado o de responsabilidad de los empleados o terceras personas.

Las consecuencias de estos ataques son serias para las compañías que las sufren ya que a las pérdidas financieras directas que padecen, hay que añadir las multas que se imponen por la violación de las normativas y la pérdida de imagen y posición en el mercado.

Impacto de la seguridad en la industria financiera europea

En el estudio que ha realizado Datamonitor, durante el tercer trimestre de 2007 entre bancos de Benelux, Francia, Alemania, Italia, España y Reino Unido, las entidades han valorado principalmente la pérdida de imagen y reputación lo que se refleja en una pérdida de clientes, así como el riesgo al que están expuestos que les puede hacer llegar a perder su licencia. Otros aspectos que valoran son las implicaciones legales por la pérdida de información que les puede llevar a tener que compensar a sus clientes así como las elevadas pérdidas financieras que tienen que soportar.

El informe también revela que las entidades financieras europeas comprenden la importancia que tiene la seguridad en el ciclo completo de vida de la información y que los riesgos deberían ser evaluados durante todo el periodo de vida de la misma.
Para poder realizarlo Art Coviello nos sugiere que "debemos conocer los tipos de datos que tenemos, analizarlos y clasificarlos por orden de importancia, determinar qué información es sensible y cuál no lo es y una vez realizado este examen, determinar el tipo y la clase de información que debemos proteger más y mejor. En definitiva se trata de auditar continuamente la información que poseemos y el riesgo de la misma ya que la información es dinámica."

La orientación al cliente es el objetivo de las entidades financieras actuales y obtener su confianza el reto al que se enfrentan diariamente. El cliente tiene que estar seguro del uso de su dinero así como de la información privada que maneja frente a terceros por lo que un fallo de sus sistemas o un problema de seguridad puede hacer peligrar la base de su negocio.

El sector financiero se enfrenta actualmente al fraude en las tarjetas y a la usurpación de identidad como problemas cruciales debido a la falta de una política de seguridad apropiada. Ya no es suficiente reparar los daños causados, ni trabajar para evitar daños predecibles, ahora deben trabajar para realizar un adecuado análisis de los riesgos y del impacto de la infracción.

En España los bancos y entidades financieras españolas están a la vanguardia en el uso de la tecnología pero deberán mejorar sus políticas de seguridad para poder enfrentarse a estas nuevas amenazas y poder garantizar a sus clientes la confidencialidad de sus datos y la salvaguarda de su dinero.

Nuevas normativas

En la actualidad la Ley Orgánica de Protección de Datos (LOPD) es la única normativa que deben cumplir todas las empresas españolas, pero a partir de enero de 2008 entrará en vigor SEPA (Single Euro Payment Area) o Zona Única de Pagos que afectará a todas las empresas y en especial a las entidades financieras. Esta normativa traerá nuevos estándares como el EMV que obligará a las entidades a incorporar un chip en las tarjetas con el que se realizará la comprobación de la compra realizada mediante el uso de un PIN o de otros medios de autentificación. De esta manera se pretende reducir el fraude en el uso de tarjetas y el robo de identidad.

En julio de 2008 entrará también en vigor el estándar PCI cuyo objetivo será proteger la información de los poseedores de tarjetas.

Para Fernando Martínez, Country Presales Manager de España y Portugal de Symantec "En un plazo medio, las empresas tendrán que recurrir a la automatización de la monitorización del cumplimiento de dichas normativas ya que hoy en día, las auditorías son tareas que se realizan de forma manual lo que se traduce en un esfuerzo humano de alto coste para las empresas".

Las empresas españolas para seguir siendo competitivas, tener una continuidad segura del negocio, estar a la altura de los cambios regulatorios y continuar su expansión en nuevos mercados tendrán que adaptar sus procesos.

El futuro de la seguridad de la información pasa por implicar a la vez a la tecnología y a la propia organización de la empresa para poner en funcionamiento políticas de seguridad más integrales que aseguren la información en todo su ciclo de vida independientemente del tipo de dato que se trate: información almacenada, en tránsito o en uso. Lo que no cabe duda es que las organizaciones criminales que, a nivel mundial, operan en este mercado, seguirán buscando nuevas brechas para conseguir su objetivo. Seguro que seguiremos hablando de nuevas amenazas. Como dice el refrán: "La Ley hace la trampa".