<img height="1" width="1" alt="" style="display:none" src="https://www.facebook.com/tr?ev=6016380644279&amp;cd[value]=0.00&amp;cd[currency]=USD&amp;noscript=1">
canal-comstor-logo
El blog de Comstor México
  • Cisco Intersight: gestión de centro de datos basada en la nube
  • ¿Sus clientes están preparados para la nueva generación de red?
  • 3 recomendaciones para poder escoger un firewall de última generación
  • Cisco Intersight: gestión de centro de datos basada en la nube
  • ¿Sus clientes están preparados para la nueva generación de red?
  • Seguridad digital: los 6 principios de la defensa integrada contra amenazas

Cómo la criptografía puede ayudar a los bancos a protegerse de la violación de datos

Publicado en 11-jun-2015 5:00:00

Cómo esta estrategia puede proteger las redes y los datos de las instituciones bancarias.

Cómo la criptografía puede ayudar a los bancos a protegerse de la violación de datos

De acuerdo con un estudio realizado por Verizon, más del 50% de los robos de propiedad intelectual o datos secretos se realiza por empleados de las propias empresas. Por lo tanto, en teoría, sólo la prevención de fugas no es una estrategia muy efectiva para proteger los datos corporativos, ya que cada empresa tiene sus propios “enemigos” internos. En dicho entorno, es necesario, además de prevenir, estar atento y crear otros mecanismos de control que eviten este tipo de invasión.

Los costos de perder la confianza de un cliente como resultado de un ciberataque a un sistema bancario, por ejemplo, son casi el doble del valor de cualquier pérdida económica que se pueda sufrir, según un estudio de la agencia Longitude Research. Esto se debe al hecho de que las instituciones bancarias son naturalmente vistas como organizaciones que valoran la seguridad. Una invasión termina por ser una pesadilla para la empresa y un buen motivo de preocupación para el cliente. Un ataque que desconecta la red de un banco puede ser incapacitante, ya que el costo por minuto de una parada puede llegar a la casa de los millones de dólares. Aunque se trate tan sólo de una reducción de la velocidad de la red debido a tráfico malicioso, los efectos pueden ser sumamente perjudiciales para las instituciones bancarias y financieras.


¿Qué hacer en casos como estos?

No es fácil proteger la red de una institución bancaria basándose en un enfoque de aceptación de invasiones. Proteger los datos corporativos es uno de los principales desafíos que actualmente enfrenta un departamento de TI debido a la implementación de determinadas tecnologías, como Cloud Computing, Virtualización e, incluso, BYOD, práctica ésta bastante difundida. Estas nuevas tecnologías están provocando un aumento exponencial de la superficie susceptible a ataques. Unas de las estrategias aplicadas por los equipos de TI para resolver este problema es limitar el número de veces que los datos son compartidos y permitir que sólo un pequeño y controlado grupo de empleados tenga acceso a las informaciones.

Sin embargo, esta estrategia de autorizar el acceso a sólo algunas personas va en contra de todo lo que permite actualmente la tecnología. A fin de cuentas, ésta ha aportado grandes ventajas, como acelerar los procesos y aumentar la posibilidad de verificar informaciones desde un dispositivo conectado sin tener que buscar dichas informaciones físicamente. Hoy en día, la regla es adoptar una estrategia que esté construida alrededor de la consciencia de que el movimiento y la compartición de datos son fundamentales para el éxito de los negocios.


Preocuparse con lo básico

No importa lo que suceda, los principios básicos de confidencialidad, integridad, autenticidad y negación seguirán siendo los pilares de la confianza, como lo han sido por más de 30 años[J1] . Aunque estos pilares sean fundamentales para la seguridad de los sistemas financieros, las instituciones bancarias no han logrado extenderlos y replicarlos en otras aplicaciones críticas de los procesos centrales.[J2] Dichas instituciones aún siente recelo de compartir servicios de infraestructura o contratar prestadores de servicios externos, a pesar del hecho de que esto resultaría en gigantescos ahorros por la reducción de los costos operativos y protección adicional para sus datos, ya que estos proveedores cifran la información y tienen el control de las claves de acceso.

Actualmente, algunos bancos están usando métodos independientes de seguridad como, por ejemplo, el de respuesta (basado en contraseñas). Se utilizan también contraseñas digitales de un único uso, huellas digitales y verificación por iris. Sin embargo, eses últimos métodos aún no están muy difundidos ni reconocidos por la legislación, por lo que toda la responsabilidad legal recae exclusivamente sobre los bancos en caso de una disputa judicial.


Criptografía: una mentalidad diferente

La criptografía es necesaria para proteger los datos de importancia central y es la única estrategia comprobadamente eficaz que transita entre entornos tradicionales y entornos virtualizados o en Nube. Ninguna otra metodología o herramienta de seguridad cumple con el mismo nivel de calidad los principios básicos de la seguridad. Tener un plan B –proteger los datos o inutilizarlos en el caso robo– debe posibilitar que los bancos cumplan la legislación que regula las cuestiones de TI.

Diversos incidentes que ocurrieron en el pasado reciente expusieron las vulnerabilidades de seguridad de los bancos que emplean sus propios métodos de seguridad independientes y no reglamentados. Esto hizo que la responsabilidad económica de las transacciones objeto de disputa (aquellas que requieren información adicional para su aceptación y procesamiento) recayese sobre las instituciones bancarias. A pesar de las recomendaciones de proteger las transacciones de alto valor mediante Certificados de Firma Digital (DSC, del inglés Digital Signature Certificate) con el objetivo de evitar consecuencias legales, pocos bancos integraron esta opción a sus aplicaciones de Internet Banking, Core Banking, Gestión de Liquidez y Banca Minorista, entre otras.

El uso de la criptografía ayudará a los bancos a evitar esta responsabilidad económica[J3] , al prevenirse de las consecuencias legales de forma jurídicamente aceptable mediante el uso de Certificados de Firma Digital. Cuando se utiliza la criptografía, el riesgo se transfiere de los propios datos a las claves criptográficas. Sin un sistema de seguridad robusto para las claves privadas, los sistemas estarán siempre vulnerables. Esta es un área en la que los fabricantes de software[J4] han trabajado mucho. Cuando las claves privadas se almacenan en el mismo servidor tal cual los demás componentes de un sistema, es muy más fácil obtener acceso a dichas claves y vulnerar el sistema. Con una copia de la clave privada, un hacker puede crear todas las identidades y certificados fraudulentos que desee.

3 recomendaciones para poder escoger un firewall de última generación 





Categorias: Redes, Seguridad