Por Agostinho Rocha, Experto en Seguridad y Vicepresidente de Ventas de Unisys Latinoamérica.
Por primera vez en 2013, la Oficina del Contralor de Moneda de los Estados Unidos señaló a la ciberdelincuencia como uno de los principales riesgos para los bancos. En 2014, sin embargo, los reguladores fueron aun más allá, enfocándose específicamente en intrusiones potenciales a la red.
Unisys, en una investigación realizada junto al Ponemon Institute, descubrió que casi el 70% de las organizaciones de infraestructura crítica encuestado informó haber sufrido al menos una violación de seguridad que provocó la pérdida de información confidencial o la interrupción de operaciones durante los últimos 12 meses.
Los cibercriminales ponen cada vez más su atención en las redes de los bancos -en datos en movimiento- para aprovecharse de los tesoros lucrativos de información que circulan dentro de las entidades financieras (entre sucursales y centros de datos, y entre empleados) y fuera del banco (hacia y desde proveedores, Reserva Federal, clientes, bancos beneficiarios, comerciantes, reguladores y más).
Además, no solo son los intrusos los que ponen en riesgo la seguridad. El número de personas con acceso legítimo a las redes de los bancos se ha disparado gracias a los empleados que utilizan el autoservicio vía la red bancaria, los clientes que emplean el servicio de home banking y el uso creciente de banca móvil.
Actualmente, muchos bancos que buscan una mayor agilidad de red y rentabilidad, optan por nuevos procedimientos que ponen en riesgo su seguridad.
Redes planas y redes en capas: Diferentes vulnerabilidades
Durante los últimos años, varias organizaciones han respondido a las presiones de costos aplanando sus redes, que previamente eran complejas y estaban en capas. Esto ha reducido la complejidad de la configuración y el número de dispositivos que deben ser gestionados, y ha disminuido el costo de mantenimiento. Han acelerado su capacidad de realizar cambios (lo que no es una ventaja despreciable en el mercado competitivo de hoy en día) y reducido la latencia al hacer más eficiente el tráfico entre fuente y destino; pero la ganancia ha sido una amplia superficie de ataque y visibilidad de información que de otra manera los usuarios legítimos no tendrían derecho a ver.
Estas redes planas comúnmente fallan a la hora de segregar la información, de manera que los atacantes pueden ver todos los puntos finales de los datos en movimiento y potencialmente acceder a cada sistema involucrado, causando mucho daño.
Otros bancos han resistido a las presiones de aplanar sus sistemas al optar por redes en capas con la esperanza de obtener una mejor protección. Sin embargo, no solo los cibercriminales cada vez son más rápidos y mejores en lo que hacen, sino que las redes en capas presentan un tipo diferente de vulnerabilidad: consecuencias accidentales.
Esas complejas y usualmente desarticuladas redes desafían a los bancos. Convierten lo que podría ser un cambio sencillo realizado por un administrador de la red en una tarea laboriosa que requiere mucho tiempo y esfuerzo e involucra a múltiples equipos. Mientras más estratificada y compleja sea la red, más grande será la posibilidad de que se omita un paso y de que la conexión sea vulnerable.
“Usted sabe que hay algo malo con su configuración de red cuando se da cuenta de que sus players más valiosos son los que documentan sus cambios”, dijo un ejecutivo de red bancaria. “Cuando tiene procesos esenciales que no puede automatizar, usted es vulnerable a costosos errores”, agregó.
¿Cómo obtener lo mejor de ambos mundos?
¿Cómo pueden las empresas aplanar la red sin exponer una superficie amplia a los intrusos, o segmentar la red sin crear un monstruo ostentoso y complejo? La clave radica en cambiar la segmentación física por segmentación lógica. La seguridad definida por software hace posible dividir una red empleando la lógica. De esta forma, en lugar de contar con barreras físicas y de infraestructura, como LAN virtuales, enrutadores y firewalls, los usuarios también encuentran trabas virtuales. Así, no importa qué tan plana sea la red, ellos no podrán franquearla debido a barreras lógicas que, a través de “comunidades de interés” predefinidas y segmentadas por claves cifradas, los limitan.
Esas claves cifradas separan a los usuarios en grupos y permiten el acceso exclusivamente a los pasillos y puertas donde radica el trabajo y la función respectiva a cada perfil. Los cajeros no ven la información financiera, el sector de recursos humanos no ve los datos de CRM y los hackers no ven los mensajes de pago.
No solo se evita que el usuario vaya a otras partes, sino que “otras partes” ni siquiera están visibles dado que distintos lugares en la red permanecen ocultos a la vista. Esto hace posible que los administradores de red tengan un acceso fácil y rápido; si las áreas prohibidas ni siquiera son mostradas, no hay necesidad de medidas de inicio de sesión draconianas.
