Informe Deloitte 2008 sobre seguridad bancaria

 

 

Enviado por Fernando Acero el 21 Febrero 2009 - 5:44pm

Por Fernando Acero

La empresa Deloitte ha publicado un interesante informe [PDF] de 42 páginas titulado "Informe Anual de Seguridad en Instituciones Financieras", que, a pesar del tamaño en páginas, es ameno y parco en texto.

Está lleno de información interesante; por ejemplo, en la página 28, se remarcan y recuadran las siguientes amenazas: pérdida de información sobre clientes y privacidad, phising/pharming, uso inapropiado de datos y ciberterrorismo. Además, se añaden otras amenazas que son muy evidentes para los usuarios de informática, como los ataques de virus/gusanos, o el efecto de de redes zombie...

En la página 30 del informe se nos revela algo que también se intuye con facilidad: "La principal fuente de ataques externos hacia las entidades financieras son virus y gusanos, correo basura y programas de spyware". Creo que no es necesario que aparezca en este informe, para que seamos conscientes de que esta afirmación es una realidad casi omnipresente. En relación con el phising, el informe también destaca algo muy preocupante. Sigue produciéndose con la misma frecuencia que en años anteriores. Otro dato que aparece en la página 30, es que las conductas inapropiadas de los empleados, favorecen un 11% de los ataques externos a las entidades, algo que no es poco y que no deja de llamar la atención, si tenemos en cuenta el tipo de información que se maneja.

En la página 31 se nos señala que la principal fuente de ataques internos son los virus y los gusanos. Asimismo, se destaca que las pérdidas de privacidad de la información, así como las fugas de activos de información, han experimentado un ascenso en los últimos tiempos, algo que no deja de ser curioso.

Entre las medidas de seguridad utilizadas por los bancos, que se muestran de forma gráfica en la página 33, podemos ver que casi todos ellos usan antivirus y cortafuegos y que un elevado porcentaje añaden además, sistemas de filtrado de spam o de contenidos web y sistemas de identificación de intrusos. Sin embargo, menos del 50% de las empresas financieras, usan sistemas de gestión de vulnerabilidades, sistemas anti phising, de detección o prevención del fraude, herramientas de detección de amenazas, sistemas de provisionamiento de usuarios o biometría.

No deja de ser curioso, que siendo el phising/pharming una de las amenazas más importantes para las entidades y para los fondos de los usuarios y que se ha materializado en el 2008 con la intensidad que en años anteriores, menos de un 40% de las entidades estudiadas disponen de medios para su detección o prevención.

De lo anterior saco tres conclusiones:

a) Gran parte de estos problemas son fruto del monopolio tecnológico que nos invade, tanto como fuente de problemas externos, como de problemas internos. Está claro que la protección genética no existe en el mercado informático mundial y cuando aparece una vulnerabilidad, o exploit, en la plataforma mayoritaria, son vulnerables el 99% de los ordenadores de todo el mundo. Por otra parte, la inseguridad de los sistemas de los ciudadanos tiene un peso importante en la inseguridad global, lo que es complicado de solventar en el momento actual.

b) Todavía hay que avanzar mucho para lograr unos niveles adecuados de seguridad, para ello hace falta inversión y especialistas.

c) Muchas de las necesidades de seguridad que se muestran como necesarias, o incluso indispensables, se podrían desplegar de forma eficaz y económica mediante el uso de software libre. Siempre será mejor usar software libre, que no poner nada, o esperar a tener los fondos necesarios para afrontar los problemas de seguridad mediante sistemas privativos, que se han de desplegar con elevado coste, en miles de sistemas. El software libre permite elevar los mínimos de las políticas de seguridad sin necesidad de gastarse grandes cantidades de dinero en el despliegue de las soluciones.

En la página 36 encontramos algo que nos puede dar una pista sobre el motivo por el que todavía están así de mal las cosas:

"Obstáculos a la seguridad. La escasez de recursos y de profesionales especializados en seguridad son los principales impedimentos a la hora de desarrollar una estrategia eficiente de seguridad. En este sentido, la principal causa por la que fallan los proyectos de seguridad es la carencia de recursos, y el error humano es el motivo principal de los fallos de los sistemas."

Yo añadiría además, que el monopolio tecnológico, la actitud de los usuarios frente a la seguridad y las decisiones de las direcciones tecnológicas de las corporaciones, tienen mucho que ver con el problema.

Como he dicho, es un interesante informe, del que se pueden sacar muchas conclusiones útiles.

"Copyleft 2008 Fernando Acero Martí­n. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved".

Comentarios

Selecciona arriba tu forma preferida de visualizar los comentarios y pulsa el botón para guardar tu elección para próximas visitas (sólo si eres usuario registrado).
anónimo's picture

Juas no creo que bancos

Enviado por anónimo el 23 Febrero 2009 - 9:48am.

Juas no creo que bancos como BBVA o El Santander no contraten a empresas tipo s21sec o por lo menos tendrán ellos mismos su grupo de "seguratas" de informática.

Y casi todos ellos el tema del soft propietario creo que no lo tocan mucho.

anónimo's picture

Pues con noticias como esta

Enviado por anónimo el 23 Febrero 2009 - 12:26pm.

Es una percepción que nos gustaría tener a todos de la seguridad de las empresas que nos proporcionan servicios críticos, pero no dudo de la veracidad de un informe de Deloitte y noticias como esta que enlazo a continuación, me hacen dudar seriamente:

Como vulnerar la protección de datos con un “he olvidado mi contraseña”.

Un saludo, Fernando Acero

anónimo's picture

Seguridad física y lógica

Enviado por anónimo el 23 Febrero 2009 - 11:52am.

Esto es como lo de: "¿Eres de ciencias o de letras?" y llega un psicólogo y no sabe dónde situarse, o un economista, o un sociólogo o cualquiera que se dedique a eso de las "ciencias sociales".

Con la seguridad pasa lo mismo, que se habla de "seguridad física" y "seguridad lógica" y al final - tal y como lo veo y lo vivo - es lo mismo. Lo malo es que se suele enteder que so cosas diferentes, así que unos cubren una parte, otros cubren otra y por los huecos que quedan es por donde se cuelan los chorizos.

Los soportes físicos gestionan la información, que a su vez permite el acceso a recursos físicos. Por tanto, la seguridad de la información y la seguridad física deberían entenderse de forma conjunta y global, lo que no suele ocurrir.

Ante casos aislados y puntuales quizás sea posible hacer un acercamiento desde una de las dos posturas, pero en general ambas se quedan cortas para enfrentarse a los problemas habituales.

Además, se suele obviar que tras el ataque de un gusano, virus o cualquier otro tipo de bicho tecnológico, suele haber una organización criminal formada por personas físicas.

Creo que se emplea mucho tiempo, dinero y esfuerzos en fabricar chalecos antibalas, (cada vez más pesados e incómocos porque las balas son cada vez más gordas) y muy pocos recursos en luchar contra el que empuña la pistola.

Andy's picture

Permíteme disentir

Enviado por Andy el 23 Febrero 2009 - 6:05pm.

Hola Fernando,

Normalmente estoy de acuerdo con tus artículos y los tengo en muy buena estima.

Sin embargo, después de leer tu artículo y el informe que enlazas, hay cosas que no me cierran. No logro ver cómo llegas desde lo que pone el informe a afirmar que "gran parte del problema es por el monopolio tecnológico"... Eso no sale en el informe por ningún lado...

Vamos, que puede ser que sea así, eso no te lo voy a discutir. Pero a mi humilde juicio no se desprende del informe.

Por otra parte, no está de más destacar (otra vez) que la seguridad no son los firewalls, los sistemas operativos, los IDS, etc, son sólo herramientas. La seguridad es un proceso. Eso es lo que hace caro a la seguridad. Para gestionar seguridad necesitas personal.

Por ejemplo, la página 34 pone:

Destaca la escasa periodicidad con la que se realizan los test de intrusión internos, máxime cuando el factor humano es uno de los principales problemas de seguridad.

No menciona herramientas. No menciona tecnologías. Menciona un proceso o parte del mismo, que no se lleva a cabo. No dice porqué, pero seguramente será por falta de recursos.

Y así todo lo demás. Ninguna mención a monopolios tecnológicos.

Personalmente creo que hasta que no cambie la legislación en temas de seguridad informática, no creo que veamos soluciones reales. Hace varios años el grán Bruce Schneier lo dijo bien clarito aquí y sus probables consecuencias aquí o aquí.

Un cordial saludo,
Andy

Fernando Acero's picture

Claro que no lo pone, son consecuencias que saco yo

Enviado por Fernando Acero el 23 Febrero 2009 - 7:57pm.

Hola Andy:

Claro que no lo pone, por eso digo que son consecuencias que saco yo de la lectura del informe, nunca he dicho que esas consecuencias estén escritas en el informe. Por otra parte, aunque son consecuencias directas y que pueden estar en la mente de muchos de los que hemos leído el informe, parece que Deloitte quiere evitar publicarlas abiertamente.

Cuando el informe dice textualmente "La principal fuente de ataques externos hacia las entidades financieras son virus y gusanos, correo basura y programas de spyware", yo considero que es gracias a que una gran parte de sus sistemas están usando un software que permite que eso sea así, es decir, por culpa del monopolio tecnológico que nos embarga y que alcanza a casi el 99,2% de los sistemas mundiales.

Pero luego se remata la jugada cuando el informe dice textualmente: "la principal fuente de ataques internos son los virus y los gusanos", es decir, más de lo mismo. Yo no se si estaré en lo cierto o no, pero mucho me temo que es el monopolio de facto, amén de otros factores, como la actitud de los usuarios, lo que facilita que eso sea así.

Dicho de otro modo, no hay protección genética, casi todos los sistemas son iguales, tienen la misma configuración, corren el mismo software y si uno es vulnerable, todos lo son al mismo tiempo. Pero no olvidemos que el 99,2% del malware es para una determinada plataforma mayoritaria ¿no es acaso este hecho, nada trivial por cierto, una consecuencia directa o indirecta de ese monopolio?

Luego, cuando se habla en el informe de los problemas para mejorar la seguridad, se habla de escasez de recursos, recursos que pueden ser económicos o humanos. Con los humanos no se si se podrá hacer algo en un panorama de crisis global, pero muchos de los problemas de seguridad a los que se hace referencia en el informe, se podrían atajar, o como poco, minimizar de una forma más económica con software libre, de eso también estoy convencido. No es menos curioso que en muchas corporaciones no se despliegan herramientas de seguridad por su coste, sobre todo, cuando son privativas y sin embargo, no consideran el uso de herramientas de seguridad libres, que tienen un coste mucho menor.

Pero ya que lo mencionas, fue Bruce el primero que denunció [PDF] el riesgo para la seguridad, o mejor dicho, los riesgos para la seguridad, que implica ese monopolio de facto en la tecnología informática.

Por lo demás, está claro que la seguridad es un proceso, eso es así sin duda, pero también por desgracia, se basa en una evaluación de riesgos y cuando hay dinero por medio, parece que dicha evaluación se suele hacer más bien a la baja, sobre todo, cuando los que pueden acabar pagando el pato de la inseguridad son terceros, como se demuestra, con demasiada frecuencia, en los casos de phishing.

Por otro lado, no perdamos de vista el lado de los usuarios, en los que ese monopolio de facto, facilita que los ordenadores domésticos también estén repletos de sofisticados troyanos bancarios. Pero ¿qué podemos decir de las botnets?, es más de lo mismo, ya sea para enviar correo basura, o para provocar denegaciones de servicio, todo ello es favorecido por ese monopolio de facto.

Está claro estimado Andy, no está escrito en el informe, pero yo lo tengo tan claro como Bruce, la culpa, en gran parte, es de lo mismo, del monopolio.

Un saludo, Fernando Acero

"Copyleft 2008 Fernando Acero Martí­n. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved".

"Copyleft Fernando Acero Martí­n. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved. Quotation is allowed."

Andy's picture

No hace falta justificarse

Enviado por Andy el 23 Febrero 2009 - 9:36pm.

Fernando,

Me temo que quizás has interpretado mi comentario como un ataque a tu nota. Por favor, no era esa mi intención.

Sólo quería puntualizar que, aunque la conclusión que pones sobre lo del monopolio es probablemente cierta, la misma no se deriva del informe. Era eso lo que no entendía. Ya me lo has aclarado, gracias.

Por lo demás, en todo de acuerdo.

Un cordial saludo,
Andy

anónimo's picture

No te preocupes...

Enviado por anónimo el 24 Febrero 2009 - 7:58am.

Hola Andy:

Solamente he intentado explicar los motivos que me llevaban a esas conclusiones, que como he dicho, no están en el informe. En ningún caso interpreté tu comentario como un ataque.

Está claro lo que dices "No logro ver cómo llegas desde lo que pone el informe a afirmar que "gran parte del problema es por el monopolio tecnológico"... Eso no sale en el informe por ningún lado..."

Simplemente lo he explicado y en parte me alegro, ya que así queda más claro.

Un saludo, Fernando Acero