Channel Planet Inc.

- Estrategia, Tecnología y Negocios

Caso 39
ESTRATEGIAS PARA ADMINISTRAR RIESGOS DEL COMERCIO ELECTRÓNICO
A los múltiples beneficios que el e-Commerce lleva a las empresas, se les
suman grandes riesgos que aún son ignorados por muchas de ellas y que
abarcan un amplio espectro. KPMG presenta una guía para reconocerlos,
combatirlos y prevenirlos.

“¿Qué tan grande es el problema de los crímenes de cómputo y relacionados con tecnología? Simplemente no lo sabemos.
Sabemos que los crímenes de cómputo cuestan a la industria y la sociedad billones de dólares cada año. Hay evidencia sustancial
de que están incrementando en alcance y complejidad. Sabemos además que si no se toman acciones correctivas, el crimen
electrónico limitará la expansión del comercio electrónico y potencialmente será una amenaza seria para la salud y la seguridad
pública, particularmente cuando miramos las vulnerabilidades en infraestructuras críticas como los sistemas de control de tráfico
aéreo, la red energética y los sistemas de defensa nacional, los cuales dependen totalmente de redes de cómputo”. General Eric
Holder, Subsecretario de Justicia de Estados Unidos.

E n la época actual, las organizaciones buscan crecer y ser cada vez más competitivas, lo cual hace que
vean los sistemas de comunicación y otras tecnologías de información como importantes habilitadores
del negocio.

La tecnología no se considera más como incidental en

los procesos de una organización: es parte integral de los
negocios de hoy. Sin embargo, al mismo tiempo, este sistema
nervioso digital, que habilita y mejora nuestro trabajo
también crea nuevos riesgos, los cuales aún no han sido
percibidos o considerados por muchas organizaciones.

La complejidad de las empresas modernas está

evolucionando rápidamente, aumentando confianza en
la tecnología y en la alta conectividad entre
organizaciones, y generando así un amplio espectro de
posibilidades para el robo, el fraude y otras formas de
explotación por parte de atacantes externos e internos
a la organización. Con el crecimiento del comercio
electrónico, dichos atacantes pueden aprovechar
vulnerabilidades reconocidas en cuestión de segundos.
También pueden tomar ventaja de nuevas debilidades El e-Commerce es una realidad fascinante que el mercado acepta
en las arquitecturas de hardware y software que forman mejor cada día, sin embargo su implementación requiere la aplica-
ahora la espina dorsal de la mayoría de organizaciones. ción de exigentes modelos de seguridad que minimicen los riesgos.

Cuando crece el negocio, los sistemas se hacen cada vez más sofisticados y menos dependientes de la
intervención humana. Monitorear el comportamiento individual llega a ser más complejo –y ciertamente
más importante–, y la vulnerabilidad ante el crimen electrónico crece tanto como las organizaciones se
interconectan y confían en individuos y sistemas que no se controlan directamente.

CAPÍTULO 12 - SECTOR TECNOLOGIA - CASO 39 153

Casos de Éxito - Productividad al 100%

Los atacantes buscan… Cómo crean una debilidad Cómo disminuir los riesgos

Sistemas operativos de computadores
en red, estaciones de trabajo y otros
dispositivos instalados con sus
configuraciones por defecto.
Un dispositivo con una configuración
por defecto es aquél que no tiene o
tiene pocos cambios en su configu-
ración de fábrica. Al ser conocidas en
el ambiente de seguridad de infor-
mación, estas configuraciones son
aprovechadas por los crackers.
Inhabilitando todos los servicios
innecesarios que corren por defecto
al realizar la instalación de los
diferentes servidores y dispositivos de
red. Dichos elementos deben operar
con todas las actualizaciones de
seguridad disponibles.

Configuraciones inadecuadas de
hardware o software, activando
servicios de red como FTP, que son
ampliamente conocidos en el
ambiente de seguridad de infor-
mación.
FTP puede ser utilizado para Diseñando e implementando proce-
transferir grandes cantidades de dimientos rigurosos de selección y
información. Muchas aplicaciones del pruebas de productos.
servicio FTP tienen debilidades
conocidas y pueden ser explotadas
durante un ataque si es configurado
inadecuadamente.

Un enfoque de “una sola cosa sirve
para todo” como estrategia de
protección de sus sistemas de
información (por ejemplo, se cree que
un firewall protege todos los sistemas).
Esto demuestra una limitación
conceptual en el enfoque de seguridad,
frente a las complejidades que conlleva
la protección de los sistemas de
información.
Desarrollando una evaluación integral
de la arquitectura de seguridad.
Creando e implementando guías para
el análisis forense y la respuesta a
incidentes.

A la par que las organizaciones desarrollan y
refinan sus estrategias tecnológicas, requieren
considerar aspectos que impactan la confidencia-
lidad, integridad y disponibilidad de sus datos. En
este contexto, se requiere conocer cómo pueden ser
afectadas por los nuevos riesgos de crímenes
electrónicos y cómo una inadecuada preparación
puede exponer a un ataque que puede fácilmente
disminuir el valor del negocio.
Además de las debilidades tecnológicas
inherentes, se debe considerar la carencia de una
cultura respecto al crimen electrónico al interior de
muchas organizaciones. Muchos no observan que los
mismos avances tecnológicos que habilitan la
innovación y crecimiento del negocio están también
disponibles para facilitar comportamientos
electrónicos inadecuados. Adicionalmente, las
organizaciones posiblemente no entiendan aún que
proteger los activos en el mundo virtual es más
complejo y requiere un esfuerzo más exigente que
proteger los activos en el mundo físico.
Tipos de atacantes
Los ataques externos involucran a ofensores que
sobrepasan las medidas de control de la red de la
víctima para tomar algo de valor o con el propósito
de comprometer las medidas de seguridad y
modificar los mecanismos de seguimiento o
programas legítimos para permitir futuros accesos
que no puedan ser monitoreados. El propósito del
atacante es obtener control completo de los sistemas
de información de la víctima para poder ejecutar
funciones no autorizadas que no puedan ser
reconocidas o identificadas por el propietario o
responsable del sistema.
Los intrusos externos incluyen crackers sofisticados
y de receta. Los primeros, trabajando individual-
mente o en asocio con grupos de confianza, y algunas
veces contratados por terceros, desarrollan y utilizan
herramientas que facilitan el acceso ilegal en las redes
de información u otras tecnologías de las víctimas.
Una vez han alcanzado sus objetivos, distribuyen sus
herramientas, generalmente en forma anónima y vía
Internet. Los crackers de receta carecen del
conocimiento, las destrezas y habilidades para crear
herramientas de intrusión sofisticadas, pero saben
utilizarlas para ejecutar ataques.

Existe una concepción popular equivocada acerca
de las características de los atacantes de redes. Se piensa
que son jóvenes dañinos o con comportamiento social
incorrecto. La experiencia indica que estos individuos,
sin embargo, representan un pequeño número de los
diversos grupos de criminales que perpetran crímenes
electrónicos dentro o fuera de las organizaciones.
Los atacantes internos pueden incluir empleados
actuales no satisfechos que ejecuten sus acciones solos
o con otros empleados internos, o quizá con antiguos
empleados a disgusto con la organización. Algunos
expertos consideran que las organizaciones corren un
gran riesgo de posibles actos fraudulentos cometidos
por sus propios empleados o ex empleados con

154 CAPÍTULO 12 - SECTOR TECNOLOGIA - CASO 39


conocimientos de sus sistemas, ejecutados incluso desde
conexiones externas. Los contratistas o empleados de
proveedores o vendedores que exceden el uso autorizado
de los sistemas de información de una organización
también representan una gran amenaza.
Independientemente de quien lo ejecute, un ataque
electrónico deliberado puede destruir un activo (en tal
caso, perdería su valor), corromperlo (reducir su valor),
negar el acceso a un activo (continúa existiendo, pero
es inaccesible), o robarlo (conserva su valor inherente,
pero cambia su posesión).
Cómo llegan las organizaciones
a ser víctimas
Los intrusos establecen sus objetivos de la
misma forma en que otros criminales lo hacen.
Utilizan información disponible públicamente
acerca de vulnerabilidades técnicas de sistemas
de red, unida a información interna obtenida
involuntariamente de personas de la organi-
zación, para desarrollar los métodos de ataque.
Cuidado con la seguridad física y
los servicios de terceros
Sin embargo, no todos los ataques
comienzan en el ciberespacio. La seguridad
física de sistemas y otros recursos tecnológicos
es vital para un adecuado programa de
protección. Las organizaciones necesitan asegurar que
sus sistemas de seguridad física controlen y monitorean
adecuadamente la llegada y los movimientos de
personas en sus instalaciones críticas para prevenir, por
ejemplo, que un atacante, haciéndose pasar por un
vendedor o proveedor de servicios, instale software no
autorizado en los servidores o facilidades para poder
tener acceso no autorizado más adelante.
Tomando acción para proteger la empresa
La seguridad en los medios y las facilidades
electrónicas están en desarrollo, pero las acciones
que se definan deben estar basadas en estrategias de
administración de riesgos que consideren el proble-
ma de una manera integral y que estén integradas
dentro de las prácticas de Gobierno Corporativo, el
cual tiene dentro de sus metas entender los riesgos y
contingencias del negocio e integrar los procesos
de control interno en los procesos de la compañía.
CAPÍTULO 12 - SECTOR TECNOLOGIA - CASO 39
Channel Planet Inc. - Estrategia, Tecnología y Negocios
Las organizaciones líderes se protegen:
• Establecen políticas de seguridad de información
claras, integradas y enfocadas en la organización
y sus procesos.
• Suministran a los empleados un adecuado
entrenamiento de cultura en seguridad, además
del técnico.
• Reconocen la capacidad, y tienen empleados y
equipo de soporte entrenados para establecer y
mantener procedimientos de respuesta a incidentes
• Inculcan la cultura sobre amenazas y riesgos
electrónicos a través de toda la organización.
• Persiguen a los responsables de crímenes electrónicos
contra la organización con la intención de que se le
apliquen las penalidades posibles.
Proteger los activos en el mundo virtual es más
complejo y requiere un esfuerzo más exigente que
protegerlos en el mundo físico.
Im ag en co
rt es ía C ha nn el
Pl an et
Tales iniciativas ofrecen innumerables beneficios
en ayudar a disuadir a los atacantes y a disminuir los
efectos de una probable intrusión. Adecuadamente
implementado y comunicado, un sistema de
protección de ataques por medios electrónicos a lo
ancho de la organización le ayuda a ésta a prevenir
la responsabilidad de la administración del cliente,
evitar acciones legales o regulatorias, recuperar
pérdidas de rentabilidad y mantener o restaurar su
reputación e integridad.
Diez preguntas para evaluar la seguridad
informática en la organización
Éstas son preguntas críticas para evaluar cómo
están las organizaciones preparadas frente al riesgo
de un crimen electrónico:
• ¿Se tienen establecidas políticas y procedimientos
para el análisis forense, dar respuesta a incidentes
155
Casos de Éxito - Productividad al 100%
y administrar la privacidad de información de los
clientes (para mitigar la exposición a demandas
civiles)?
• ¿Se tienen establecidos planes para comunicar
efectivamente estas políticas?
• ¿Se tienen programas de entrenamiento efectivos
para el personal, en una variedad de niveles,
considerando la cultura de amenazas electrónicas,
análisis forense y respuesta a incidentes?
• ¿Se cuenta con metodologías para evaluar
proveedores de outsourcing potenciales?
• ¿Se asegura de que terceros, ejecutores del
soporte de tecnología de información, también
estén adecuadamente evaluados?
• ¿Realiza análisis de vulnerabilidades en sus
diferentes sistemas para identificarlas y corregirlas?
• ¿Tiene un procedimiento específico para asegurar
los diferentes servidores u otros sistemas donde se
almacene propiedad intelectual o datos sensitivos?
• ¿Tiene sistemas de detección de intrusos en red
y planes establecidos para realizar seguimiento a
los resultados de éstos?
• ¿Tiene sistemas de registro para recoger la
evidencia de actividades irregulares?
• ¿Monitorea sistemas de red especialmente
sensibles, en los que se despliegan advertencias
sobre las restricciones de acceso?
Cuando lo peor sucede es aún posible
evitar daños adicionales
Cuando un ataque ocurre y logra sus objetivos,
debilidades en la respuesta o investigación puede
exponer a la organización, directivas y propietarios a
riesgos operacionales y legales mayores. La experiencia
muestra que muchas organizaciones, sus empleados,
abogados y asesores técnicos tienen poca experiencia y
conocimiento de estas situaciones –o no la tienen–.
Sin intención, frecuentemente subestiman la intrusión
y se equivocan al tomar acciones que pudieran
disminuir pérdidas adicionales. En otros casos,
inadvertidamente destruyen la evidencia digital reque-
rida que podría servir de soporte para el seguimiento,
una acción legal o una acción administrativa.
Las organizaciones pueden perder sus activos de
información en nanosegundos a través de crímenes
electrónicos. Cuando un evento de estos sucede, se
debe reaccionar inmediatamente siguiendo planes
preestablecidos de respuesta a incidentes, para evitar
pérdidas adicionales. Dichos planes de respuesta
deben incluir esfuerzos orientados a evitar la
exposición a demandas civiles.
156
El personal que responde a incidentes
debe tener destrezas específicas
Las organizaciones actuales reconocen la demanda
existente de destrezas en el campo de tecnologías de
información. En general, los profesionales de
tecnología de información están entrenados para
establecer y proveer servicios tecnológicos específicos,
pero generalmente no están entrenados o no tienen
experiencia relevante cuando se ejecuta un ataque a
estos recursos. Muchos de ellos están enfocados en
construir medidas defensivas para protegerse de las
amenazas, y algunos incluso tienen experiencia en
cómo podrían ser atacados, pero muy pocos
profesionales de seguridad de tecnología de informa-
ción tienen la experiencia y el auténtico conocimiento
en análisis forense para investigar efectivamente y tomar
la evidencia de crímenes electrónicos para que sean
utilizados durante procesos legales.
Tomado de la serie Assurance & Advisory Services Center,
de KPMG. La información suministrada en este artículo es
de naturaleza general y no pretende reflejar circunstancias
específicas de un individuo u organización.
Contactos
KPMG COLOMBIA
Jaime Bueno Miranda
Country Senior Partner
E-mail: jabueno@kpmg.com
Teléfono: 618.8000
Calle 90 No. 21-74. Bogotá, D.C.
Luis Eduardo Niño Cortés
IRM Partner
E-mail: lenino@kpmg.com
Carlos Mario Duque
IRM Manager
E-mail: cmduque@kpmg.com
Teléfono: 314.0404
Carrera 43 A No. 16 A Sur 38, Piso 3.
Medellín, Antioquia.
http://www.kpmg.com.co/
CAPÍTULO 12 - SECTOR TECNOLOGIA - CASO 39