Por primera vez el año pasado, la Office of the Comptroller of the Currency, del Departamento del Tesoro de Estados Unidos, señaló a la ciberdelicnuencia como uno de los principales riesgos para los bancos. Este año, los reguladores estadounidenses fueron aún más allá, enfocándose específicamente en intrusiones potenciales a la red.
Al respecto, una investigación de Unisys llevada a cabo con el Ponemon Institute, descubrió que casi el 70% de las organizaciones de infraestructura crítica encuestadas han informado al menos una violación de seguridad provocó la pérdida de información confidencial o la interrupción de operaciones durante los últimos 12 meses.
Los cibercriminales colocan cada vez más su atención en las redes de los bancos –en datos en movimiento– para aprovecharse de los tesoros lucrativos de información que circulan dentro de la institución (entre sucursales, centros de datos y empleados) y fuera del banco (hacia y desde proveedores, clientes, bancos beneficiarios, comerciantes, reguladores y más).
Es difícil exagerar la delicadeza de esos datos. La seguridade de los registros personales que, en ocasiones, incluyen nómina e información médica, se ve sobrepasada. Finanzas envía y recibe mensajes delicados; Wall Street y Conformidad hacen lo mismo con los reguladores.
Además, no sólo los intrusos son los que colocan en riesgo la seguridad, sino también el número de personas con acceso legítimo a las redes incluyendo los empleados que utilizan el autoservicio vía la red bancaria, los clientes que compran en línea o hacen uso de las ofertas del propio banco y, evidentemente, el uso creciente de banca móvil.
Principales temores de un CSO
Los responsables de seguridad bancaria comentan que una de sus principales preocupaciones son los hackers, pero también temen que un inocente empleado de la institución entre en el sistema para archivar un informe de gastos en su tablet desde un restaurante de comida rápida y se encuentre con datos que deberían estar segregados. Las exposiciones accidentales son malas para la reputación y buenas para los hackers.
Hasta ahora muchos bancos que buscan una mayor agilidad de red y mayor rentabilidad, lo han tenido que hacer a costas de la seguridad.
“Aplanar” la red, ¿la mejor opción?
Durante los últimos años varios bancos han respondido a las presiones de costos aplanando sus redes, que previamente eran complejas y estaban en capas. Esto ha reducido la complejidad de la configuración, al reducir el número de dispositivos que deben ser gestionados, lo cual ha permitido disminuir el costo de mantenimiento a sus redes, acelerar su capacidad para realizar cambios (lo que no es una ventaja despreciable en el mercado competitivo de hoy en día) y reducir la latencia, al hacer más eficiente el tráfico entre fuente y destino.
Pero la ganancia ha sido una amplia superficie de ataque y visibilidad de información que de otra manera los usuarios legítimos no tendrían derecho a ver. Estas redes planas comúnmente fallan a la hora de segregar la información, de manera que los atacantes pueden ver todos los puntos finales de los datos en movimiento y potencialmente acceder a cada sistema involucrado. Si tienen las habilidades y el tiempo suficiente para ejecutar sus ataques, ellos pueden causar muchos daños.
Redes en capas, otra alternativa
Otros bancos han resistido a las presiones de aplanar sus redes al optar por redes en capas con la esperanza de obtener una mejor protección. Sin embargo, los cibercriminales no sólo mejoran y son más rápidos en lo que hacen, sino que las redes en capas presentan un tipo diferente de vulnerabilidad: consecuencias accidentales.
Esas complejas y usualmente desarticuladas redes desafían a los bancos. Realizan lo que podría ser un cambio directo efectuado por la administración de la red, digamos, una actualización de producto, o un nuevo dispositivo de banca online, un esfuerzo que lleva tiempo, que es riguroso y laborioso y que involucra a múltiples equipos.
Mientras más estratificada y compleja sea la red, más grande será la posibilidad de que se omita un paso y de que la conexión sea vulnerable a las intrusiones.
“Usted sabe que hay algo malo con su configuración de red cuando se da cuenta que sus participantes más valiosos son los que documentan sus cambios”, aseveró un ejecutivo de red bancaria. “Cuando tiene procesos esenciales que no puede automatizar, usted está vulnerable a costosos errores”.
Así que, ¿cómo pueden obtener los bancos lo mejor de ambos mundos? ¿Cómo pueden aplanar la red sin exponer una superficie amplia a los intrusos, o segmentar la red sin crear un monstruo costoso y complejo?
La clave radica en cambiar la segmentación física por una segmentación lógica. La seguridad definida por software hace posible dividir una red empleando la lógica.
En vez de contar con barreras físicas y de infraestructura como LANs virtuales, enrutadores y firewalls; los usuarios que consiguen pasar el firewall, encuentran barreras virtuales. No importa qué tan plana sea la red, ellos no podrán atravesarla debido a barreras lógicas que los limitan, a través de “comunidades de interés” predefinidas y segmentadas por claves cifradas.
Esas claves cifradas separan a los usuarios en grupos y permiten el acceso exclusivamente a los pasillos y puertas donde radica el trabajo y la función del usuario. Los cajeros no ven la información financiera. Recursos Humanos no ve los datos de CRM. Los hackers no ven los mensajes de pago.
No sólo se evita que el usuario vaya a otras partes, sino que “otras partes” ni siquiera están visibles. Otros lugares en la red están ocultos de la vista. Esto hace posible que los administradores de red realicen un acceso fácil y rápido; no hay necesidad de medidas de inicio de sesión draconianas si las áreas prohibidas ni siquiera son mostradas.
________________
El autor de este artículo, Agostinho Rocha, es experto en Seguridad y vicepresidente de Ventas de Unisys Latinoamérica.
