Documente Academic
Documente Profesional
Documente Cultură
Caso 39
ESTRATEGIAS PARA ADMINISTRAR RIESGOS DEL COMERCIO ELECTRÓNICO
A los múltiples beneficios que el e-Commerce lleva a las empresas, se les
suman grandes riesgos que aún son ignorados por muchas de ellas y que
abarcan un amplio espectro. KPMG presenta una guía para reconocerlos,
combatirlos y prevenirlos.
“¿Qué tan grande es el problema de los crímenes de cómputo y relacionados con tecnología? Simplemente no lo sabemos.
Sabemos que los crímenes de cómputo cuestan a la industria y la sociedad billones de dólares cada año. Hay evidencia sustancial
de que están incrementando en alcance y complejidad. Sabemos además que si no se toman acciones correctivas, el crimen
electrónico limitará la expansión del comercio electrónico y potencialmente será una amenaza seria para la salud y la seguridad
pública, particularmente cuando miramos las vulnerabilidades en infraestructuras críticas como los sistemas de control de tráfico
aéreo, la red energética y los sistemas de defensa nacional, los cuales dependen totalmente de redes de cómputo”. General Eric
Holder, Subsecretario de Justicia de Estados Unidos.
E n la época actual, las organizaciones buscan crecer y ser cada vez más competitivas, lo cual hace que
vean los sistemas de comunicación y otras tecnologías de información como importantes habilitadores
del negocio.
Cuando crece el negocio, los sistemas se hacen cada vez más sofisticados y menos dependientes de la
intervención humana. Monitorear el comportamiento individual llega a ser más complejo –y ciertamente
más importante–, y la vulnerabilidad ante el crimen electrónico crece tanto como las organizaciones se
interconectan y confían en individuos y sistemas que no se controlan directamente.
Los atacantes buscan… Cómo crean una debilidad Cómo disminuir los riesgos
Sistemas operativos de computadores Un dispositivo con una configuración Inhabilitando todos los servicios
en red, estaciones de trabajo y otros por defecto es aquél que no tiene o innecesarios que corren por defecto
dispositivos instalados con sus tiene pocos cambios en su configu- al realizar la instalación de los
configuraciones por defecto. ración de fábrica. Al ser conocidas en diferentes servidores y dispositivos de
el ambiente de seguridad de infor- red. Dichos elementos deben operar
mación, estas configuraciones son con todas las actualizaciones de
aprovechadas por los crackers. seguridad disponibles.
Configuraciones inadecuadas de FTP puede ser utilizado para Diseñando e implementando proce-
hardware o software, activando transferir grandes cantidades de dimientos rigurosos de selección y
servicios de red como FTP, que son información. Muchas aplicaciones del pruebas de productos.
ampliamente conocidos en el servicio FTP tienen debilidades
ambiente de seguridad de infor- conocidas y pueden ser explotadas
mación. durante un ataque si es configurado
inadecuadamente.
Un enfoque de “una sola cosa sirve Esto demuestra una limitación Desarrollando una evaluación integral
para todo” como estrategia de conceptual en el enfoque de seguridad, de la arquitectura de seguridad.
protección de sus sistemas de frente a las complejidades que conlleva Creando e implementando guías para
información (por ejemplo, se cree que la protección de los sistemas de el análisis forense y la respuesta a
un firewall protege todos los sistemas). información. incidentes.
A la par que las organizaciones desarrollan y Los ataques externos involucran a ofensores que
refinan sus estrategias tecnológicas, requieren sobrepasan las medidas de control de la red de la
considerar aspectos que impactan la confidencia- víctima para tomar algo de valor o con el propósito
lidad, integridad y disponibilidad de sus datos. En de comprometer las medidas de seguridad y
este contexto, se requiere conocer cómo pueden ser modificar los mecanismos de seguimiento o
afectadas por los nuevos riesgos de crímenes programas legítimos para permitir futuros accesos
electrónicos y cómo una inadecuada preparación que no puedan ser monitoreados. El propósito del
puede exponer a un ataque que puede fácilmente atacante es obtener control completo de los sistemas
disminuir el valor del negocio. de información de la víctima para poder ejecutar
funciones no autorizadas que no puedan ser
Además de las debilidades tecnológicas reconocidas o identificadas por el propietario o
inherentes, se debe considerar la carencia de una responsable del sistema.
cultura respecto al crimen electrónico al interior de
muchas organizaciones. Muchos no observan que los Los intrusos externos incluyen crackers sofisticados
mismos avances tecnológicos que habilitan la y de receta. Los primeros, trabajando individual-
innovación y crecimiento del negocio están también mente o en asocio con grupos de confianza, y algunas
disponibles para facilitar comportamientos veces contratados por terceros, desarrollan y utilizan
electrónicos inadecuados. Adicionalmente, las herramientas que facilitan el acceso ilegal en las redes
organizaciones posiblemente no entiendan aún que de información u otras tecnologías de las víctimas.
proteger los activos en el mundo virtual es más Una vez han alcanzado sus objetivos, distribuyen sus
complejo y requiere un esfuerzo más exigente que herramientas, generalmente en forma anónima y vía
proteger los activos en el mundo físico. Internet. Los crackers de receta carecen del
conocimiento, las destrezas y habilidades para crear
herramientas de intrusión sofisticadas, pero saben
Tipos de atacantes utilizarlas para ejecutar ataques.
Existe una concepción popular equivocada acerca Los atacantes internos pueden incluir empleados
de las características de los atacantes de redes. Se piensa actuales no satisfechos que ejecuten sus acciones solos
que son jóvenes dañinos o con comportamiento social o con otros empleados internos, o quizá con antiguos
incorrecto. La experiencia indica que estos individuos, empleados a disgusto con la organización. Algunos
sin embargo, representan un pequeño número de los expertos consideran que las organizaciones corren un
diversos grupos de criminales que perpetran crímenes gran riesgo de posibles actos fraudulentos cometidos
electrónicos dentro o fuera de las organizaciones. por sus propios empleados o ex empleados con
conocimientos de sus sistemas, ejecutados incluso desde Las organizaciones líderes se protegen:
conexiones externas. Los contratistas o empleados de
proveedores o vendedores que exceden el uso autorizado • Establecen políticas de seguridad de información
de los sistemas de información de una organización claras, integradas y enfocadas en la organización
también representan una gran amenaza. y sus procesos.
• Suministran a los empleados un adecuado
Independientemente de quien lo ejecute, un ataque entrenamiento de cultura en seguridad, además
electrónico deliberado puede destruir un activo (en tal del técnico.
caso, perdería su valor), corromperlo (reducir su valor), • Reconocen la capacidad, y tienen empleados y
negar el acceso a un activo (continúa existiendo, pero equipo de soporte entrenados para establecer y
es inaccesible), o robarlo (conserva su valor inherente, mantener procedimientos de respuesta a incidentes
pero cambia su posesión). • Inculcan la cultura sobre amenazas y riesgos
electrónicos a través de toda la organización.
• Persiguen a los responsables de crímenes electrónicos
Cómo llegan las organizaciones contra la organización con la intención de que se le
a ser víctimas apliquen las penalidades posibles.