õQui©n es el responsable de una seguridad deficiente?

õQui©n es el responsable de una seguridad deficiente?

Por Deborah Radcliff
Traducciãn del art­culo original publicado en SecurityPortal (22 de mayo de 2000). Publicado con permiso del propietario del copyright

22 de mayo de 2000 - Cuando el virus "I Love You" afectã hace un par de semanas a Matrix Direct, Inc., una de las primeras acciones que tomã el director de inform¡tica fue la de llamar a un abogado. "Quer­a saber cual era nuestro grado de responsabilidad", indica Robert Thomas, director de inform¡tica de la citada empresa de San Diego especializada en marketing para el sector de los seguros.

El grado de responsabilidad fue tambi©n una de las principales preocupaciones hace un par de meses cuando los ataques DDoS (ataques distribuidos de denegaciãn de servicio) desconectaron a Yahoo, e-Bay y otros negocios-e. Dado que los ataques DDoS fueron lanzados mediante v­ctimas involuntarias (mayoritariamente instituciones educativas), muchos profesionales de las tecnolog­as de la informaciãn se quejaron que el bajo nivel de seguridad en estas instituciones contribuyã al ©xito del ataque. Y un mes antes, un importante nêmero de empresas que hacen negocio a trav©s de la web no protegieron correctamente la informaciãn de las tarjetas de cr©dito de sus clientes simplemente por no haber aplicado los parches necesarios para solucionar algunas vulnerabilidades ampliamente conocidas en los sistemas operativos y los servidores web. Como resultado de este olvido, permitieron que los crackers accedieran y publicaran en la web los datos un importante nêmero de tarjetas de cr©dito.

"Los niveles de responsabilidad son diferentes en el mundo virtual debido a la facilidad con que se accede a la informaciãn y a los datos, a la posibilidad de copiarlos y al hecho que algunas personas no entienden que algunas cosas de la web no se pueden obtener de forma gratuita", explica Larry Zanger, responsable del grupo de tecnolog­as de la informaciãn y pr¡cticas electrãnicas del bufete de Chicago McBride, Baker and Coles (MBC). "Los responsables de inform¡tica antiguamente sãlo ten­an que preocuparse de tener las m¡quinas en funcionamiento. Actualmente tienen que preocuparse de cosas como el marketing, el correo electrãnico, la gestiãn de clientes y la protecciãn de bases de datos repletas de propiedad intelectual e informaciãn de clientes".

Muchas de las cuestiones de responsabilidad que abundan en la actualidad entorno al mundo de los negocios por la red --propagaciãn de ataques, privacidad del cliente, protecciãn de la propiedad intelectual-- son el simple resultado de brechas en la securizaciãn de la informaciãn. A pesar de que no existe, todav­a, ningên proceso originado por la deficiente seguridad de la informaciãn, las empresas de seguros si que han tenido que hacer frente a estos problemas en los êltimos tres aáos.

De esta forma, mientras que la mayor­a de empresas aseguradoras sãlo evalêan los niveles de responsabilidad en la seguridad de la informaciãn, otras ya han empezado a emitir pãlizas. Por ejemplo,  Ace Group (http://www.acelimited.com/), con sede central en Bermuda y con unos beneficios, sãlo en Estados Unidos, de 938 millones de dãlares USA el aáo pasado, ofrece dos tipos de pãlizas sobre seguridad de la informaciãn dentro de su grupo de "riesgos de la red". El primero cubre los daáos a los activos electrãnicos; el segundo, cubre la responsabilidad ante virus, ataques DoS, empleados descontentos y pirater­a inform¡tica (hacking). De la misma forma, empiezan a florecer los agentes, como InsureTrust.com, de Atlanta (que ya cuenta con 22 personas) (http://www.insuretrust.com/insurance.html).

Sus nêmeros son pequeáos. Y las compaá­as de seguros y los agentes no est¡n vendiendo estas pãlizas masivamente, todav­a. Pero tienen la certeza que este tipo de seguros para e-business son inevitables. Puede pasar un aáo (pero no mucho m¡s) antes que el director financiero o gestor de riesgos pregunte sobre asegurar el nivel de seguridad de la informaciãn. Una de las primeras preguntas que formular¡ el director financiero es: "ões fiable nuestra pol­tica de seguridad de la informaciãn?".

Esta pregunta se debe a que una empresa de seguros ni siquiera nos considera si no disponemos de una valoraciãn de la pol­tica de seguridad de pol­tica de seguridad de informaciãn y su aplicaciãn a nivel corporativo. Los profesionales de las tecnolog­as de la informaciãn, nos dicen que al principio, puede parecer ofensivo permitir a una organizaciãn externa dictar la pol­tica de seguridad. Pero en realidad, esto se convierte en un forro plateado. A medida que las empresas de seguros definen y redefinen las l­neas maestras de la pol­tica de seguridad, nos acercan m¡s a disponer de las tan necesitadas pol­ticas de seguridad de ¡mbito global. Tambi©n tienen la ventaja de llevar la problem¡tica de seguridad de la informaciãn al ¡mbito del director financiero, lo que significa que recibir¡ m¡s atenciãn y que las mejoras necesarias para la seguridad podr¡n disponer de m¡s recursos financieros.

Vendiendo la seguridad al Director Financiero

No deber­a ser muy dif­cil vender la idea de un seguro para la seguridad de la informaciãn a nuestro director financiero, independientemente de los costes (las evaluaciones cuestan unos 20.000 dãlares USA; las compaá­as de seguro no nos han facilitado ninguna estimaciãn del coste).

Recuerda que el director financiero o el director de riesgos es el m¡ximo responsable de gestiãn de riesgos en la organizaciãn. Para hacerles comprender el valor final del seguro, indicarles la potenciaciãn de la seguridad, una pol­tica m¡s fuerte y una mejor ejecuciãn. Todo esto reduce los riesgos, el lenguaje que entiende el director financiero.

El negocio del riesgo
Las compaá­as de seguros tienen dificultades para poder aplicar su m©todo habitual, pensado en la d©cada de los sesenta, consistente en la protecciãn de activos materiales y en las pol­ticas de responsabilidad, al mundo digital. Steve Haase, director general y fundador de InsureTrust.com indica que a medida que se escriben estas pol­ticas, se suelen encontrar deficiencias para cubrir los riesgos en los activos de informaciãn y en responsabilidad.

Por ejemplo, el seguro de propiedad sãlo considera como p©rdida de renta cuando hay un daáo f­sico directo. Esto es muy dif­cil probar en el mundo digital, incluso cuando un disco duro ha sido borrado. Para que esta pol­tica sea aplicable y cubra los daáos, es necesario que el ordenador se incendie, aáade Hasse que ha trabajado m¡s de veinte aáos en la gestiãn de riesgos para la industria aseguradora antes de embarcarse en InsureTrust hace tres aáos.

Las pol­ticas tradicionales no cubren las p©rdidas originadas por brechas en la seguridad. Entre las mismas se incluye la p©rdida de servicio, producciãn o ventas provocadas por un ataque de denegaciãn de servicio; el coste de la mano de obra necesaria para la reparaciãn de un sistema comprometido por un cracker; el impacto en la imagen cuando se hace pêblico la existencia de un problema de seguridad; la p©rdida de oportunidad de negocio si el cliente pierde la confianza en nuestro servicio o no es posible el acceso a la web. Todas estas son las responsabilidades que cubren las pãlizas de riesgo de e-business que empiezan a ofrecer las compaá­as aseguradoras.

A medida que el sector asegurador empiece a asumir el riesgo para los activos y los sistemas de informaciãn, los niveles de seguridad de la informaciãn finalmente evolucionar¡n. Podemos pensar en ellos como los niveles sobre los que est¡ basado Internet. Es evidente: õque compaá­a aseguradora expedir¡ un seguro de propiedad para un edificio sin antes verificar su nivel de protecciãn contra incendios y terremotos?

Pero la cuestiãn es õcãmo una empresa de seguros podr¡ obtener el nivel de conocimientos suficientes para determinar qu© constituye una buena seguridad de la informaciãn? õComo un asegurador podr¡ aplicar las tablas de valoraciãn a nuestros activos de informaciãn? õCãmo podr¡ determinar cu¡les son estos activos? õCãmo se realizar¡ la evaluaciãn del coste de la responsabilidad ante daáos cuando las m¡quinas de nuestra empresa se utilicen para lanzar ataques contra otros?

õCãmo podemos llegar a saber que nuestros activos intelectuales han sido comprometidos? aáade Nick Economidis, un asegurador independiente de Philadelphia especializado en pãlizas de protecciãn de activos. "A veces, es f¡cil de demostrar; por ejemplo si somos una empresa que realiza ex¡menes y vemos que alguien publica las preguntas de nuestro ex¡menes en la web. Pero, que sucede si observamos que la media de las notas de los ex¡menes ha aumentado un 10%. õEs suerte? õO tal vez alguien ha distribuido por email las preguntas de los ex¡menes?"

Las compaá­as aseguradoras y los agentes no facilitar¡n ningên detalle de sus fãrmulas de valoraciãn y alcance, dado que forma parte de su propiedad intelectual. Afirman, por contra, que utilizan las mejores pr¡cticas de seguridad de la industria y contratar¡n un cuadro de dirigentes especializados en seguridad de la informaciãn para ayudarles a resolver estas preguntas.

Evaluando riesgos
En la medida que asumen riesgos, las compaá­as aseguradoras tienen un enorme inter©s en la securizaciãn de las redes que han asegurado.

"Los aseguradores son los êltimos en asumir riesgos", indica Randy Sandone, fundador de la empresa de desarrollo de sistemas operativos seguros Argus Systems Inc., en Savoy (Illinois, USA). "a medida que ellos (las compaá­as aseguradoras) vayan conociendo los riegos 'reales' de las empresas que hacen e-business, inevitablemente se negar¡n a asegurar los sistemas inseguros".

Las empresas con experiencia hacen outsourcing de sus valoraciones de seguridad en empresas consultoras de seguridad. InsureTrust realiza sus valoraciones con su propio grupo de especialistas de seguridad, la mayor­a de ellos ex-t©cnicos del ej©rcito. Esto, segên Haase, hace que las cosas cada vez sean mejor. Y, por otra parte, sus clientes no se ven en la necesidad de contratar servicios de seguridad adicionales o productos en otras empresas externas.

El nivel de la valoraciãn varia en funciãn de la naturaleza del cliente y los activos de informaciãn que necesita asegurar. Pero los elementos de seguridad que deben ser incluidos, segên los asesores, incluyen:

  • "Completa funciãn de registro de actividad", lo que significa la disponibilidad 24x7 de personal pendiente de los sistemas de registro de la red. Las empresas aseguradoras desean disponer de sistemas que les indiquen claramente a los administradores de la red quien est¡ conectado, que est¡n haciendo y cuando lo hacen. "A m¡s eventos que se registren, mejor", aáade Economidis.
     
  • Autorizaciãn: Quien tiene permiso para utilizar una parte del sistema y para acceder a determinados archivos. La mayor parte de las pol­ticas de seguridad no cubren correctamente la autorizaciãn, incluso cuando consideran temas tales como la autenticaciãn y el no repudio, segên Economidis.
     
  • Conformidad de los empleados: õqu© hacen los empleados para proteger sus contraseáas? õSon f¡cilmente influenciables en un ataque de ingenier­a social? Por lo que se refiere a los administradores de sistemas, õtodas las contraseáas por omisiãn han sido modificadas? õSe han preocupado de proteger los sistemas eliminando los agujeros de seguridad y las vulnerabilidades conocidas en los sistemas y productos que han instalado?

Adicionalmente a estos apartados vitales, las compaá­as de seguros muestran una preocupaciãn especial por el elemento humano. Esta preocupaciãn est¡ motivada por el hecho que la herramienta que utilizar¡ un cracker con m¡s frecuencia es el antiguo truco del engaáo. Como explica Ecnomidis, "la forma m¡s f¡cil de obtener una contraseáa o una clave de encriptaciãn es, simplemente, pregunt¡ndola".

Por esto, los asesores se centran en la pol­tica de seguridad de los empleados: õest¡n informados? õCumplen las normas para la protecciãn de contraseáas? õSe ha implementado realmente la pol­tica? Si la organizaciãn tiene importantes activos financieros a proteger, las compaá­as de seguros recomiendan un modelo de ejecuciãn de la pol­tica como el que puede utilizar la Reserva Federal de los Estados Unidos. Este modelo contempla la existencia del enlace pol­tico, cuya ênica misiãn consiste en informar y verificar el nivel de cumplimiento de la pol­tica de seguridad entre los usuarios del banco, los empleados internos y externos y, inclusive, los empleados de seguridad del edificio.

Una p­ldora dif­cil de tragar
Las valoraciones no son baratas. Una valoraciãn est¡ndar empieza por los 20.000 dãlares y su coste aumenta a medida que se incluyen m¡s elementos, de acuerdo con los datos facilitados por Economidis. Este es el motivo por el que InsureTrust y Ace no tienen un gran nêmero de clientes llamando a su puerta, todav­a. (No obstante, InsureTrust ha conseguido este mes un contrato que los convierte en el proveedor de gestiãn del riesgo de ataques cibern©ticos para la Asociaciãn de la industria de Internet de los Estados Unidos, lo que les abre las puertas del mundo de los puntocom, los proveedores de servicio y las empresas de ASP).

Otro problema con algunas de las pol­ticas de "riesgo de e-business" es que no cubren nada de la seguridad de la informaciãn. Por ejemplo, Chubb Insurance, Inc., anuncio el pasado abril su "Seguro de responsabilidades para Internet", aunque la consulta que realizamos a Chubb revela que sãlo incluye las responsabilidades originadas por la publicaciãn en Internet, tales como la difamaciãn, calumnias e infracciones del copyright.

Debido a confusiones como estas y debido a la relativa inmunidad de la industria del riesgo en el mundo del e-business, Robert Thomas, consejero delegado de MatrixDirect, ha decidido paralizar la adquisiciãn de cualquier seguro. Su intenciãn es no limitar la protecciãn a la informaciãn de seguridad. Un activo de informaciãn y la pãliza de responsabilidad deber­a cubrir cualquier daáo o p©rdida de los activos de informaciãn independientemente de si son provocados por la acciãn de los crackers, ideas de marketing desafortunadas, problemas originados por falta de energ­a el©ctrica o cat¡strofe ambiental.

"Parece como si (el seguro de seguridad de la informaciãn) se hace despu©s del hecho", aáade. "Mi consejo es asegurarse que los equipos est©n bajo garant­a, disponer de piezas de recambio, cumplir religiosamente las revisiones periãdicas, controlar el tiempo medio entre fallos en los componentes clave y realizar pruebas y formaciãn para estar preparados ante un desastre".

A pesar de este punto de vista de los directivos de las tecnolog­as de la informaciãn, los planes de seguros de seguridad de la informaciãn se extender¡n durante los prãximos dieciocho meses. Por tanto se hace necesario prepararse para el d­a inevitable en que nuestro jefe nos preguntar¡ sobre la posiciãn de la empresa respecto a la seguridad y a la protecciãn el riesgo en e-business.

"Sin ninguna duda, la mayor parte de los directivos de las tecnolog­as de la informaciãn reaccionaran de forma negativa ante esta pregunta. No obstante, esta reacciãn no es lo m¡s influir¡. Por contra, es la posiciãn del consejero delegado, del director general y los otros miembros directivos, as­ como la reacciãn del sector privado lo que realmente importar¡", aáade Winn Schwartau, director general de Interpact, Inc., conferenciante habitual en temas de lucha contra el fraude electrãnico. (http://www.infowar.com/)

Mantel de plata
Las buenas noticias son que las pãlizas de seguro ayudar¡n a lograr las tan necesarias normas globales de seguridad y est¡ndares. El seguro de la informaciãn de la seguridad ayudar¡ tambi©n al departamento financiero a entender el riesgo real en los activos digitales de la empresa. Gracias a esto, se podr¡n realizar mayores inversiones en seguridad (ver recuadro).

"Para poder finalizar el d­a, los directivos de las tecnolog­as de la informaciãn, lo que realmente necesitan son est¡ndares universalmente reconocidos y bien documentados", afirma Sandone de Argus, que el aáo pasado escribiã un libro blanco sobre los riesgos legales de las fisuras en la seguridad de los ordenadores dentro del sector financiera. "Los poderes econãmicos hacen que las empresas americanas se obliguen en lo referente a la seguridad de la informaciãn. Nos tenemos que acostumbrar a ello".

Para estar preparados el d­a en que el departamento financiero nos presente a este nuevo amigo, el agente de seguros de seguridad de la informaciãn, hemos de evaluar la fortaleza de nuestra posiciãn actual de seguridad, nos aconsejan Sandone y otros. Con esto reduciremos el trabajo ha hacer cuando los agentes de seguros se infiltren dentro de nuestra organizaciãn.

"Enfr©ntate a la arquitectura existente. Si las pol­ticas no est¡n por escrito y aprobadas, ©sta tarea debe ser prioritaria", aáade Sandone. "Establece una l­nea base clara y definitiva del aspecto de tu arquitectura de seguridad, de modo que cuando aparezca una directiva, sea m¡s f¡cil identificar los pasos a realizar para poder cumplirla".

Deborah Radcliff escribe art­culos sobre delitos tecnolãgicos y seguridad en la empresa para ComputerWorld, Upside, NetworkWorld y otras publicaciones especializada. Previamente hab­a trabajado en la secciãn de sucesos del San Jose Mercury News hasta que hace cinco aáos cambiã de g©nero mientras buscaba informaciãn sobre Kevin Mitnick para el libro de Jon Littman "The Fugitive Game".

[Inicio] [Soluciones] [Socios] [Informes] [Mapa] [Contacto]