Durmiendo con el enemigo
Los empleados y allegados a las compañías siempre han sido un costado vulnerable en la estrategia de seguridad informática de las organizaciones. ¿Qué herramientas usan? ¿Cómo es la estrategia para evitar el robo de información?
El 7 de julio pasado, un ex empleado de Apple era arrestado por el FBI en el Aeropuerto Internacional de San Jose (California), a punto de abordar un vuelo a China con 40 gigas de información acerca del automóvil autónomo de Apple (y la presunta intención de usarla con su nuevo empleador: la china Xmotors). Más recientemente, Marriot anunció una brecha en su seguridad informática, que afecta a 500 millones de huéspedes y expuso números de pasaportes y tarjetas de crédito, y otros datos personales. Los analistas advirtieron accesos no autorizados a su Starwood Network desde 2014, de modo que el involucramiento de un insider no puede ser descartado. Los empleados y allegados a las compañías siempre han sido un costado vulnerable en la estrategia de seguridad informática. Las tradicionales medidas de ciberseguridad perimetral, cada vez más desacreditadas a partir de las nuevas arquitecturas híbridas de IT, tampoco son suficientes en este caso. Es necesario avanzar sobre el monitoreo de la información y del comportamiento de los usuarios, el correcto gobierno y aseguramiento de los datos, políticas de consumo
de datos, procedimientos de reclutamiento y desvinculación, y un larguísimo etcétera. En ciertos verticales, donde se maneja información sensible (como propiedad intelectual, registros médicos, datos de contacto y pago) el tema adquiere ribetes críticos: está en juego la rentabilidad, la competitividad, la reputación corporativa (y la lealtad de los clientes), e incluso hay exposición a litigios y sanciones legales.
El factor humano
Gire es un grupo de servicios financieros con 26 años, cuyos accionistas son Santander Río, HSBC y Citibank. Abarca tres empresas y una en formación. La más conocida es Gire, con productos como Rapipago (que tiene casi 4.000 puntos de atención y más de 1.000.000 de transacciones diarias), y un muy utilizado sistema de tokenización. Se suman Gire Soluciones (servicios bancarios), Ducyt (una transportadora de caudales recientemente lanzada) y Iungam (un proveedor de servicios financieros para el público no bancarizado, del que recién tendremos noticias en 2019). “Internamente, hay que dotar a la empresa de toda la seguridad que necesita, sin que entorpezca el trabajo de las personas —define Gustavo Aldegani, gerente de Seguridad Informática y de la Información del grupo, quien lidera un equipo de ocho personas—. Además, los usuarios deben tener los permisos necesarios para que pueda trabajar”. En el caso de Gire hablamos de más de 800 empleados, sin sumar agentes externos. Aldegani explica que “ningún ser humano accede a las bases de datos”. Este acceso es a través de las aplicaciones y con el uso de un usuario de servicio. Las excepciones a esta regla se manejan desde Seguridad Informática, que concede permisos temporales y registra las actividades con herramientas como SAT (Security Administration Tool). “Estas medidas ayudan a determinar si el empleado cometió una equivocación, y en la mayoría de los casos ayudan a exculparlos.” Gire maneja datos personales, información de tarjetas de crédito, y tiene bases de datos propias, por lo que debe cumplir con normativas como PCI, GDPR y otras. El grupo utiliza un DLP (un sistema de prevención de pérdida de datos), entre cuyas reglas se contempla la manipulación de los números de tarjetas. “Por otro lado, la probabilidad de que un número de tarjeta de crédito caiga en el dominio del DLP es muy baja, porque todo el circuito de manejo de esta información está microsegmentado y automatizado, no hay intervención humana.” Dentro del DLP también hay reglas para evitar fugas de código de programación de los sistemas de Gire, basadas en el análisis de los reservorios de datos de los ambientes de Desarrollo, Testing, Homologación y Producción. “El foco de todo esto, sin embargo, son las personas. Una vez por año todo el mundo recibe cursos de actualización sobre temática de seguridad informática.” Adicionalmente, para evitar el ingreso desde el exterior con credenciales válidas, cualquier rol crítico en la compañía debe ejercer un tercer factor de autenticación a la hora de usar los sistemas. Fernando Raverta, Chief Data Officer de Banco Galicia, explica que el primer paso que su organización realizó en materia de protección de datos fue el establecimiento de las conductas que los empleados deben tener al consumir los datos. “Estas políticas se verifican de varias formas. A veces de manera analítica, y a veces por métodos más tradicionales —puntualiza Raverta—. Además, involucramos a Auditoría Interna.” Esos comportamientos incluyen el no compartir información de datos de contactos de los clientes, el no extraer y almacenar información en medios no contemplados
por el banco, o el no consultar los datos de comportamiento de una persona (saldos, movimientos) si esto no viene de la mano de algún requerimiento del cliente. La mayoría de los puertos USB están bloqueados, al igual que los accesos a los servicios de nube no autorizados. Actualmente, cualquier acceso al entorno analítico de datos dentro del banco pasa por el área de Gobierno de Datos. Adicionalmente, se toman medidas como el hashing de los datos de contacto del cliente, para que los analistas solo tengan acceso a la información de comportamiento. “Hay que tener en cuenta que este tipo de prácticas en su conjunto deben acompañar al negocio. Las capacidades analíticas para el negocio deben estar democratizadas, esto significa que no deben depender de las áreas de Tecnología.” Fruto de esta visión, Raverta aspira a que estas capacidades sean usadas por más empleados. Teresa Piraino, gerente de Compliance de Banco Galicia (que abarca la prevención del lavado de activos, riesgo operacional, y gestión y prevención del fraude), pone uno de los acentos en el monitoreo del empleado: cuánto se lo conoce y si es razonable la forma en que consume los datos. También
Hay que evaluar no solo las habilidades técnicas, sino también si están ligados con los valores del banco.” — Teresa Peirano, gerente de Compliance de Banco Galicia.
pone el foco en la forma en que se selecciona al personal. “Es importante que, dentro de la selección, se evalúen no solo las habilidades técnicas y de conocimiento, sino también si están ligados con las competencias y los valores que tenemos en el banco”.
Control, control, control
“Se debe controlar que no existan anomalías o desvíos graduales del comportamiento de los usuarios, ya sea respecto de su comportamiento en el pasado, como en relación a sus recomienda Darío Goldfarb, arquitecto de Soluciones de Seguridad de IBM Argentina. Para mitigar este tipo de amenazas internas, Goldfarb destaca las herramientas de User Behavior Analytics (análisis de comportamiento de usuario, por sus siglas en inglés, que establece un ranking de usuarios que se apartan del comportamiento habitual), o de inteligencia de seguridad. Muchas de estas herramientas ya se utilizan para detectar ataques externos, aunque en cada caso las fuentes de información a analizar difieren. Más allá de estas medidas, también es importante tener en cuenta qué cosas se están protegiendo y cuál es el objetivo de esa protección, para poner el foco en ese activo. “Lamentablemente, en verticales como Seguros se observa un gran desfasaje en relación al problema que realmente tienen —observa el especialista de IBM—. Y así vemos empleados vendiendo información, que termina en manos de los abogados de la parte contraria. En Banca, por la necesidad del cumplimiento regulatorio, generalmente ya tienen algún tipo de herrapares”, mienta analítica de seguridad, y muchos ya están avanzando hacia herramientas de UBA”, dice Goldfarb. Salud es otro sector sensible, habida cuenta de que un registro médico es decenas de veces más valioso que los datos de una tarjeta de crédito. Allí también Golfarb observa que no se está invirtiendo lo suficiente en tecnología de la información, y menos aún en seguridad. Lo grave es que los recursos para llevar a cabo estos ataques ya están al alcance de los empleados disconformes, y el 77 por ciento de las empresas no
tiene documentado un plan de respuestas a incidentes, cita Goldfarb en base a cifras de IBM y el Ponemon Institute. “Dependerán de las habilidades de quien esté a cargo, o de lo que se les ocurra en ese momento de crisis que a todos les toca.” El grupo Swiss Medical — conformado por unas dieciocho empresas, que incluyen medicina prepaga, sanatorios y compañías de seguros— tiene más de 8.000 usuarios internos de tecnoseñala logía, y unos 400 usuarios externos que trabajan internamente. No hay aplicaciones publicadas más allá que las que usan los afiliados, aunque es posible conectarse remotamente al e-mail y la suite ofimática, Office 365, en la nube. “Cada persona que trabaja aquí posee una identidad digital. Los usuarios externos tienen, sin embargo, un responsable interno o un área responsable que es la que lo contrató”, comenta Herman Maseberg, subgerente de Seguridad Informática del Swiss Medical Group. “Toda nuestra red está segmentada —aclara Maseberg—. Los usuarios solo pueden conectarse desde donde tienen permitido, según su rol.” También hay segmentación en las áreas funcionales. Adicionalmente, Seguridad informática cuenta con herramientas de análisis de logs de acceso de los usuarios para detectar anomalías en caso de incidentes. Cumpliendo funciones de DLP en la nube, SMG usa Cloud App Security de Trend Micro, pero todavía no está implementada al 100 por ciento. El subgerente de Seguridad admite que una implementación incorrecta del DLP puede paralizar la organización. Algo similar puede ocurrir con las herramientas de UBA. “Hay que usarla con mucha delicadeza —opina Maseberg— porque presenta muchos falsos positivos.” Cada nuevo empleado de Fleni es informado fehacientemente de las políticas que debe seguir, y también se le las consecuencias de apartarse de estas políticas. En materia de seguridad de puertas hacia adentro, Eduardo Losi, CTO del Fleni, recomienda (y puso en práctica) un diseño cuidadoso de los permisos, y una estrecha relación con el área de RRHH para adaptar los permisos a las desafectaciones o cambios en los roles laborales. “Una vez que las personas tienen el acceso, debo controlar que lo usen correctamente”, dice Losi. También es necesario que haya controles dentro de las aplicaciones (logs de todos los movimientos). Para detectar movimientos anómalos en los servidores de los archivos, o en relación a los permisos, Fleni implementó Adaudit de Manageengine. “Por ahora no tenemos un análisis inteligente y automatizado de esos logs para tomar acciones proactivas, aunque hay planes para que esto suceda. Lo que sí hay es una auditoría médica. Y también tenemos campañas. Si enviamos los mensajes correctos, con la frecuencia correcta, la gente los lee y les da la importancia que merecen.”
Hay que dotar a la empresa de toda la seguridad que necesita, sin que entorpezca el trabajo.” — Gustavo Aldegani, gerente de Seguridad Informática y de la Información de Gire.