Professional Documents
Culture Documents
Septiembre 2006
Introducción
Índice Cada año se realizan más transacciones comerciales electrónicamente y
las organizaciones guardan un volumen cada vez mayor de información
2 Introducción confidencial. Para muchas organizaciones, la información se ha convertido
3 La creciente amenaza de los en un activo de incalculable valor, en la parte vital de sus operaciones.
ataques internos El acceso a esta información está al alcance de una base de usuarios en
5 Su organización en peligro: expansión, incluidos los empleados, socios comerciales, proveedores y clientes.
entender los riesgos Las infraestructuras de TI son cada vez más amplias, más complejas, más
6 Crear medidas de seguridad
fraccionadas, y más accesibles.
más sofisticadas
11 Conclusión Esta interconexión ofrece muchas ventajas para empresas, organismos
gubernamentales y consumidores similares pero, al mismo tiempo, introduce
posiblemente una gran dosis de riesgo. Cuantos más puntos de acceso
tenga una organización, mayor es la vulnerabilidad de los sistemas y la
posibilidad de sufrir robo de datos. Y los riesgos son altos, especialmente
como depositarios de información privada. Las empresas y organismos
gubernamentales deben cumplir con estrictos requisitos normativos y
proteger el capital intelectual ante competidores y entidades políticas
subversivas. Y los consumidores son por lo general los que están más
preocupados ante una posible usurpación de identidad y otras violaciones de
privacidad.
Las fuertes defensas del perímetro La creciente amenaza de los ataques internos
pueden bloquear efectivamente Las organizaciones han invertido décadas tratando de equilibrar redes más
las amenazas externas, pero sólo abiertas, más extensas y mejor conectadas con defensas más fuertes contra
proporcionan parte de la protección intrusos, incluyendo firewalls, software antivirus, biometría y controles de
que necesitan las organizaciones. identidad para el acceso. Estas medidas han hecho que el mundo de los
negocios sea más eficaz en detener las amenazas desde el exterior, y han
hecho que cada vez sea más difícil para los futuros piratas informáticos
o los virus irrumpir en los sistemas. Estas tecnologías, sin embargo, son
mayoritariamente pasivas en su modus operandi y han sido diseñadas para
frustrar únicamente el acceso no autorizado; proporcionan sólo una primera
línea de defensa.
Aunque a menudo es eclipsado Un estudio publicado en 2005 por PricewaterhouseCoopers y CIO, “The
por los ataques del exterior, el Global State of Information Security 2005,” reveló que el 33 % de los ataques
riesgo de las amenazas internas contra la seguridad de la información fueron perpetrados por empleados
es, sin embargo, una preocupación internos, mientras que el 28 % procedían de antiguos empleados y socios.3
apremiante para prácticamente Aunque las empresas, los organismos gubernamentales y los analistas del
todas las organizaciones.
sector ciertamente lo tienen en cuenta, el riesgo de infracciones contra
la seguridad desde el interior se ve a menudo eclipsado por intrusiones
más espectaculares, como los ataques de denegación de servicio, virus de
difusión masiva, o robos flagrantes de capital intelectual o financiero.
Detener los ataques internos: cómo pueden proteger las
organizaciones su información confidencial.
Página 4
Dar más importancia a las amenazas externas que a los peligros internos es
Puntos destacados
un error, y puede acrecentar sobremanera la vulnerabilidad de las defensas
de una organización. La empresa HSBC Electronic Data Processing (India)
Private, de servicios de asistencia al cliente y procesamiento de tareas
Los “miembros que no son administrativas, informó en 2006 que un empleado, como parte de una
honrados” de una organización red de ladrones más grande, había accedido a información de tarjetas de
pueden explotar la vulnerabilidad débito de clientes y la utilizó para defraudar 425.000 dólares EE.UU. a
de ésta para cometer usurpación 20 clientes del Reino Unido.4 Este incidente es uno solo de los muchos que
de identidad y para sacar a la luz se produjeron en los últimos escasos años. La Privacy Rights Clearinghouse
información confidencial, para mantiene una lista con cientos de violaciones de datos ocurridas en Estados
provecho propio o como parte
Unidos desde el caso flagrante de infracción que tuvo lugar en ChoicePoint en
de una red criminal de mayor
febrero de 2005.5 Muchas de estas infracciones se cometieron desde dentro de
envergadura.
la organización, por personas a las que la lista se refiere como “miembros que
no son honrados”. Fíjese en los siguientes ejemplos hallados en la lista de la
Privacy Rights Clearinghouse:
La Privacy Rights Clearinghouse
mantiene una lista con cientos de • En una compañía dedicada íntegramente a la inversión en la bolsa de
violaciones de datos que tuvieron valores, un antiguo empleado accedió de forma ilegítima a más de 100
lugar en Estados Unidos desde registros de clientes.
febrero de 2005. • Un miembro poco honrado o un pirata informático pusieron en peligro
los sistemas de un hotel al sacar a la luz 55.000 registros: nombres,
direcciones, datos de tarjetas de crédito, números de la seguridad social,
números de permisos de conducir y datos sobre cuentas bancarias.
• “Un miembro poco honrado o un software malicioso” accedió a los sistemas
de una empresa de publicidad en Internet, sacando a la luz nombres,
números de teléfono, direcciones, direcciones de correo electrónico,
direcciones IP, nombres de usuario y contraseñas, tipos de tarjetas de crédito
y cantidades de compra oline.
• En una compañía de seguros, un empleado accedió a datos confidenciales,
incluidos nombres, números de la seguridad social, fechas de nacimiento
y direcciones de propiedades con ejecución hipotecaria, y usó esta
información para beneficio propio.
Otros casos tienen que ver con ordenadores portátiles robados, cintas de
copias de seguridad perdidas o configuración o uso no autorizado de cuentas.5
Aunque estrictamente no sean atribuibles a “ataques internos”, estos incidentes
pueden poner igualmente a una organización en peligro, explotando los canales
autorizados para eludir las defensas del perímetro y escapar, así, a la detección.
Detener los ataques internos: cómo pueden proteger las
organizaciones su información confidencial.
Página 5
Con tanto valor en juego, es cada vez más importante afrontar la amenaza de los
ataques internos, antes de que se produzcan.
Detener los ataques internos: cómo pueden proteger las
organizaciones su información confidencial.
Página 6
Análisis de conductas
La clave para frustrar un ataque interno reside en comprender el alcance
de una conducta normal en un proceso empresarial determinado y localizar
con precisión la conducta que se desvía de la normalidad. Por tanto, uno
de los primeros pasos debe consistir en fijar normas; definir los parámetros
que suponen una conducta aceptable dentro de un grupo con cometidos
similares. Estos parámetros servirán de punto de partida para realizar análisis
comparativos, de modo que es importante establecer perfiles de usuario
basados en datos de historiales o experiencias concretas, no solamente en
Detener los ataques internos: cómo pueden proteger las
organizaciones su información confidencial.
Página 7
La detección eficaz de patrones Piense en cuánto más eficaz pueden llegar a ser las funciones de detección
depende de la capacidad de de patrones de una organización si los eventos se correlacionan a través del
correlacionar mensajes y sucesos entorno de TI. Por ejemplo, una organización podría ejecutar una aplicación
desde sistemas de monitorización confidencial a la cual no se debiera tener acceso por lo general desde un
distintos ubicados por todo el
puesto remoto. Si un empleado inicia una sesión en esa aplicación sin haber
entorno de TI.
Detener los ataques internos: cómo pueden proteger las
organizaciones su información confidencial.
Página 9
pasado por los puntos de acceso físicos, tales como un lector de tarjetas
Puntos destacados
identificativas o una terminal in situ, un sistema integrado puede identificar
inmediatamente la conducta como inusual y potencialmente dañina. Sin
esta correlación automática en tiempo real, el acceso remoto puede que no
sea detectado con la suficiente rapidez. Una demora de pocas horas puede
proporcionar un amplio abanico de oportunidades a un posible agresor. O,
también a modo de ejemplo, un centro de llamadas de tarjetas de crédito
puede devolver diversas quejas de clientes por facturación errónea durante
semanas. Un administrador con registros de acceso de los empleados puede
detectar rápidamente patrones de conducta anormales en el mismo periodo
de tiempo.
Respuesta automática
Las organizaciones necesitan reconocer y responder a las desviaciones de
la conducta normal tan rápido como sea posible. Confiar solamente en la
detección y respuesta humanas puede no ser suficiente, especialmente si el
ataque tiene lugar en horas no laborables.
Los sistemas de seguridad por
sí mismos deben ser capaces de Para evitar o mitigar los daños, los sistemas deben ser capaces por sí mismos
responder inmediatamente a las de actuar inmediatamente en respuesta a una conducta inaceptable. Cuando
conductas inaceptables de los un comportamiento se aleja de la normalidad más allá de cierto límite, el
usuarios.
sistema debería denegar el acceso a una aplicación o fuente de datos, por
ejemplo. Esta respuesta casi inmediata da tiempo a los administradores de la
red a recibir una alerta, analizar los patrones y determinar un plan de acción
apropiado. Y el administrador de la red no tendría que poseer conocimientos
La denegación automática de de seguridad profundos para interpretar los datos o determinar los siguientes
acceso puede frustrar ataques pasos. Los sistemas de seguridad deberían sugerir automáticamente una
antes de que ocurran, y ofrecer así serie de respuestas relevantes basadas en las últimas investigaciones o
a los administradores de la red la conocimientos sobre amenazas contra la seguridad. Además, los sistemas
oportunidad de definir un plan de deberían ser capaces de distinguir las falsas alarmas. Un sistema de alertas
actuación adecuado.
que simplemente transfiere información sin realizar siquiera un análisis de
bajo nivel no añade ningún valor a los procesos de monitorización.
Detener los ataques internos: cómo pueden proteger las
organizaciones su información confidencial.
Página 10
Deberían existir sistemas Es importante no limitar los sistemas de detección a normas específicas y
autorregulables que reaccionaran bien acotadas, ya que la gama de conductas válidas cambia con el tiempo. En
de forma apropiada e inteligente a lugar de ello, las organizaciones deberían establecer sistemas autorregulables
las dinámicas condiciones de los que pudieran reaccionar de forma apropiada e inteligente a las dinámicas
negocios, sin intervención humana.
condiciones de los negocios, sin tener que redefinir por completo las normas.
Por ejemplo, un centro de llamadas puede alterar frecuentemente la duración
media de una llamada para alcanzar ciertos objetivos relacionados con los
costes o con la satisfacción de los clientes. O una campaña de marketing podría
requerir agentes para acceder a datos que normalmente no son necesarios.
Sin la habilidad de adaptarse de forma dinámica a este tipo de cambios, los
sistemas de seguridad pueden agobiar a los administradores con falsas alarmas,
menospreciando así la importancia de las alertas. Al mismo tiempo, los
sistemas necesitan contar con umbrales que sean lo suficientemente sensibles
como para detectar desviaciones sutiles en grandes muestras de datos sobre
conductas. Llegar a un equilibrio razonable entre los dos extremos sólo puede
conseguirse mediante un proceso de modelado iterativo, con el que los sistemas
de monitorización puedan asimilar los ritmos naturales de la organización y
barajar varias capas superpuestas de conductas aceptables.
Detener los ataques internos: cómo pueden proteger las
organizaciones su información confidencial.
Página 11
Conclusión
Puntos destacados Los acontecimientos recientes han demostrado que las organizaciones de cualquier
sector no pueden permitirse continuar ignorando el potencial de los ataques internos.
A medida que las organizaciones crecen, éstas emplean mano de obra que se va
repartiendo cada vez más por todas las áreas geográficas; implementan sistemas
que son más heterogéneos, más complejos y con más conexiones; guardan más
información confidencial; y están sujetas a normativas que cambian constantemente.
O visite:
ibm.com/services
© Copyright IBM Corporation 2006
GSW00316-USEN-00