martes, 30 de octubre de 2007

Cuáles son los principales agujeros de seguridad de la banca electrónica

Una investigación mundial revela las preocupaciones del sector financiero y bancario ante los ataques internos y externos a sus sistemas informáticos.
El factor humano sigue siendo el eslabón más débil de las brechas de seguridad tecnológica en la industria de servicios financieros, en el mundo y en la Argentina.

Según una encuesta global de seguridad y privacidad en bancos, seguros, fondos de inversión y procesadores de pago, realizada por la consultora Deloitte, que incluyó a instituciones que operan en el país, todos los usuarios (empleados, contratados, clientes, proveedores) “representan riesgos de seguridad para la organización”.

La encuesta revela que la seguridad y la privacidad es “una preocupación creciente de los niveles ejecutivos”, aunque advierte que “se requeriría un mayor nivel de inversión e involucramiento del negocio” por parte de los niveles máximos de conducción.

Esto se refleja en la brecha entre lo que dicen y actúan en realidad esos niveles ejecutivos con la base. Aunque el 88% informó que la preocupación por la seguridad llegó al nivel ejecutivo como un tema crítico para el negocio sólo el 35% indicó tener recursos humanos con capacidades y competencias adecuadas para responder a los requerimientos de seguridad actuales y futuros; y sólo el 30% indicó que cuenta con un responsable de privacidad, y un 31% indicó que cuenta con un programa o iniciativa de cumplimiento de los requisitos de privacidad y protección de datos.

¿Cuaés son los factores que más impulsan la implementación de seguridad en las instituciones financieras? El cumplimiento de leyes y regulaciones globales y locales, en medio de un “escenario de amenazas constantes” en profundización. “Esto requiere una mejor organización (planificación y estrategia), una redefinición del rol del líder de seguridad y de su nivel de reporte y de nuevos skills, no siempre disponibles en las instituciones”, advierte la consultora.

Según lo reportado, los niveles de madurez de seguridad de América latina en general y de la Argentina en particular, están “bastante alineados y cercanos con los del resto del mundo”, salvo en el área de privacidad y protección de datos personales, donde existe “un importante camino por recorrer”.

La definición de una estrategia de seguridad y de un modelo de gestión que involucre soluciones que de seguridad (como por ej., administración de identidad y acceso) junto con la concientización a usuarios y el desarrollo de planes de contingencia y continuidad de negocio “parecieran ser las principales necesidades e iniciativas actuales, de acuerdo con la tendencia mundial”, apunta el informe, al que tuvo acceso Infobaeprofesional.com

¿Cómo es el contexto y los desafíos actuales de seguridad y privacidad en el sector financiero? La encuesta lo describe como un ambiente de negocios “muy complejo en materia de control de riesgos y seguridad”.

* La alta gerencia sigue presionada por crecer, mejorar la rentabilidad, aprovechar las oportunidades mercado, dentro de un marco de control y seguridad.
* El cumplimiento de leyes y regulaciones globales y locales empujan a la implementación de mejoras en la seguridad y protección de la información.
* Hay una tendencia creciente de los consumidores a exigir confidencialidad de su información personal.
* El nivel de ataques y expuestos de seguridad aumenta en cantidad y sofisticación.
* Las organizaciones de todo tipo enfrentan desafíos concretos para poder lograr niveles de seguridad aceptables, a costos razonables.
* Si bien la seguridad de la información es reconocida como un tema crítico, muchas veces no recibe la atención y apoyo que debería de la alta gerencia

Luces y sombras
Entre los 13 aspectos evaluados, América latina se destaca en uno a nivel mundial: La incorporación de la seguridad y la privacidad dentro de su ciclo de desarrollo de aplicaciones: El 46 por ciento de los consultados en la región expresó que realiza esta práctica, por encima del promedio mundial, que fue del 32 por ciento.

En cambio, el déficit se presenta en la capacitación anual de los empleados en materia de seguridad. El 61 por ciento dijo que encara esta capacitación, el menor porcentaje en el mundo.

Los números regionales empeoran cuando se consultó acerca de la existencia de un responsable de privacidad: Apenas el 30 por ciento de los bancos latinoamericanos consultados dijo tenerlo. “En la Argentina ninguno de los encuestados tiene un responsable de privacidad”, dijeron socios locales de Deloitte. Y sólo el 31 por ciento de las entidades dijo tener un programa de privacidad.

Cambio de prioridades
Respecto a la anterior encuesta, realizada en 2006, se observa un cambio de prioridades: Hoy encabeza la preocupación la necesidad de que los bancos estén prepatrados para un escenario de amenazas continuas.

Las cinco principales iniciativas de seguridad para las instituciones financieras son:

* Administración de identidades y accesos: 50%
* Implementación de seguridad para cumplimiento de leyes y regulaciones: 49%
* Capacitación y concientización: 48%
* Organización del “governance” de seguridad: 37%
* Recuperación ante desastres y continuidad del negocio: 37%

En la Argentina, las tres primeras prioridades son coincidentes, principalmente en instituciones bancarias.

“Existe una creciente preocupación por la protección de datos, potenciada por la visibilidad e impacto de incidentes de seguridad relacionados con el robo de identidades y de grandes volúmenes de información confidencial de clientes”, apunta el estudio, que destaca que “la capacitación y concientización en seguridad adquirió mayor relevancia; esto responde a reconocer la debilidad del factor humano y al nuevo escenario de amenazas continuas”.

Como resultado de la mayor interdependencia entre las organizaciones y de la globalización de procesos, el impacto potencial de situaciones que no pueden ser controladas por las empresas lleva a incrementar los esfuerzos e inversión en desarrollar capacidades de recuperación ante desastres y continuidad del negocio.

Paradoja
El estudio revela la existencia de una “paradoja de la seguridad”: Los ejecutivos “están preocupados pero no asumen la seguridad como una responsabilidad propia”. ¿Por qué se da esta paradoja?

Si se considera la madurez de la industria en temas de seguridad y privacidad, “contar con una estrategia de seguridad debería ser la norma”. Sin embargo, la encuesta mostró que sólo el 63% de las instituciones tenía una estrategia de seguridad (en América latina, 68%); y sólo el 10% indicó que la estrategia está soportada a nivel ejecutivo y alineada con el negocio (en la región, 14%).

Las deficiencias de seguridad se deben, en parte, por la falta de una estrategia de seguridad que guíe la implementación de controles de seguridad. 37% indicó que no ha formalizado la estrategia de seguridad; 13% identificó la falta de estrategia como la mayor barrera para implementar seguridad. Cuando no hay una estrategia, se observa como muy difícil medir el retorno de la inversión en seguridad; 26% mencionó como una de las iniciativas del año al desarrollo de la estrategia.

El gasto/inversión en seguridad continúa en aumento para el 98% de los encuestados. 44% manifestó gastar entre un 1% y un 3% de su presupuesto de TI, mientras que 36% manifestó gastar entre un 4% y un 6% de su presupuesto de TI.

Cuando no se mide el retorno de la inversión (ROI), es más dificil la presupuestación y la planificación a mediano y largo plazo; 54% no tiene o son escasas las métricas para evaluar el retorno de la inversión en seguridad.

Al no existir métricas e indicadores de gestión de seguridad, la función de administración de seguridad sigue siendo vista por los ejecutivos como un servicio más de TI, sin llegar a lograr la prioridad necesaria para considerar a la seguridad como un aspecto estratégico para el negocio en sí misma.

Brechas
Las brechas de seguridad que, en forma repetitiva fueron reportadas por las entidades son las siguientes:

* Externas
Ataques por e-mail: 52%
Virus y gusanos: 40%
Phishing/pharming: 35%
Ex empleados: 31%
Spyware: 26%
Ingeniería social: 17%
* Internas
Viruses/worms: 13%
Fraude interno: 11%
Pérdida de datos de clientes: 8%
Robo de propiedad intelectual. 7%
Otras brechas: 10%

Pero las causas primarias fueron:

* Error humano: casi el 80%
* Tecnológicas: Más del 70%
* Terceras partes: Más del 45%
* Operacionales: 40%

Un 65% de los bancos y organizaciones financieras encuestadas reportó incidentes repetitivos de carácter externo, perpetradas fundamentalmente a través de ataques por e-mail/cartas.

Las 3 principales brechas reportadas fueron los virus y worms, ataques a través de e-mail y phishing/pharming.

El 66% indicó que no ve posible una estrategia de seguridad “intrusiva” sobre los clientes (p.ej. protección de sus computadoras).

Sólo el 51% ha implementado mecanismos de autenticación adicionales al de autenticación mediante usuario y contraseñas para transacciones financieras por internet.

Los incidentes de mayor impacto se relacionan con los empleados (39%), tanto por acciones intencionales como por omisiones/errores.

Las instituciones reaccionaron a este escenario incluyendo como una de sus 5 principales prioridades la capacitación y concientización a usuarios (48%). Pero, para que esto sea efectivo, se necesita que estos programas estén adaptados a las necesidades de los diferentes tipos de usuarios.

“Hasta que se llegue a niveles aceptables de capacitación y concientización sobre todas las distintas poblaciones de usuarios, las instituciones estarán a merced de los riesgos inherentes propios de cada situación”.

Fuente: http://tecnologia.infobaeprofesional.com/notas/55956-Cuales-son-los-principales-agujeros-de-seguridad-de