seguridad

Sin duda tener un marco regulatorio muy tímido para establecer aspectos tangibles y objetivos es tan malo como no tener dicho marco.

Resulta que en materia de Seguridad y Auditorias de sistemas tenemos 17 años aproximadamente de marco regulatorio, pero se aplica desde Bancos hasta cooperativas pasando en su momento por las diferentes entidades reguladas en el sector financiero.

Sin duda ha sido un proceso de maduración, pero en 17 años ya debió haber madurado. Y no estamos haciendo referencia a que el gobierno actual esta solo 10 años, sino que el sistema de regulación ya lleva muchos años con esta responsabilidad.

Desde la recordada circular SBEF 443/03 que tuvo varias versiones modificadas en su momento hasta la circular ASFI 395/16 vemos que la subjetividad e interpretación del regulado se ha mantenido. Incluso ahora se ha adicionado un trozo que mas parece un rezo que un hecho regulado "En función del tamaño, la complejidad de las operaciones...", es decir, la seguridad debe ser interpretada por el regulado en función de sus características, pero esto no funciona de esa manera. Casi el total de regulados pertenecientes a un sector donde manda la rentabilidad sabe que la mejor ecuación es aquella donde se maximiza la utilidad reduciendo los costos y gastos.

Estamos fallando desde la concepción de los proyectos. Recién en la circular ASFI 395/16 se han animado a colocar que las EEFF, por ejemplo deben solicitar la NO objeción al ente regulador para implementar servicios en la nube. Por cierto algo muy curioso por cuanto la nube es un concepto que se usa desde el primer momento que se ha colocado un sitio web y una pagina. La regulación no es retroactiva entonces solo aplica a los nuevos proyectos cuando debería obligar que TODOS envíen su solicitud no para nuevos servicios, sino para mantener los actuales.

Por que pensar en los proyectos? Simple. En este momento el negocio debe analizar los riesgos y la seguridad sera un elemento a tomar en cuenta. Es en este momento que por ejemplo la regulación debe ser especifica y obligar que por lo menos el 10 o 20% de la inversión en un proyecto este destinada a su seguridad.

Tenemos servicios que salen sin adecuadas medidas de seguridad, impulsados por las áreas de negocio, marketing y publicidad. Las medidas de seguridad se verán luego!! Algo que muchas veces no llega hasta que surgen problemas.

Las auditorias de cumplimiento tienen diferentes riesgos inherentes, por un lado se ha observado que el factor humano esta afectando cuando el revisor no tiene las barbas suficientes, o dicho de manera mas formal, no tiene la experiencia y conocimientos suficientes para evaluar el riesgo y su nivel de cumplimiento en la entidad auditada. Si a esto sumamos que el marco regulatorio en su característica de timidez, ha definido su mismo nombre como "Requisitos mínimos.." entonces el regulado siempre esta en la posibilidad de cumplir con ellos. Desde una cooperativa de nos mas de 10.000 clientes, hasta un banco con casi un millón. dicho de forma mas cruda, con la regulación subjetiva, el regulado despista al regulador!!

Que se puede hacer?

Sin duda muchas cosas, pero ahora que se esta tocando por ejemplo la medida de lo significativo, se debería establecer proporcionalidad numérica.

La inversión en seguridad durante cada gestión debería ser aproximadamente el 20% (por dar un ejemplo), pero esto deberia ser propio de cada proyecto de negocio.

Si lanzo un producto en redes sociales, este debe tener su proyecto y debe reflejar la asignacion de un 20% en temas de control de prevención, detección y correcion.
Si lanzo una nueva agencia, lo propio, minimamente el 20% costaran las cámaras, guardias, seguridad fisica y otros.
Si tengo un sitio web transaccional, lo propio. sistemas antiphishing, firewalls de aplicacion, firewall de base de datos, etc.

En general si pensamos en seguridad de la información, todos los recursos orientados a la prevención, detección y corrección de incidentes y violaciones de seguridad van a su presupuesto.

También en términos generales se puede llegar a imponer que el x% del patrimonio debe haber sido invertido en Seguridad, de esa manera la misma regla es aplicada a un banco múltiple, pyme, EFV, cooperativa o servicios complementarios. Lo que para un Banco múltiple es insignificante, puede ser vital para una cooperativa de ahorro y crédito.

Actualmente el ítem seguridad se negocia como pidiendo una limosna cuando debería ser obligatorio para cada negocio.

Así como esta métrica se puede disponer que personal en seguridad de la información debería ser por lo menos un 1 a 3 % de la cantidad de usuarios. Y no estamos hablando de auditoria por cuanto ahí también tenemos un problema. Hacer una revisión anual de auditoria de sistemas es demasiado extemporáneo. El control de seguridad debe ser muy cercano al hecho ocurrido. Entonces lo que se debe reforzar son herramientas de seguridad y personal que monitoree los resultados.

En conclusión, volvemos a la rememorada frase. "si no se puede medir, no se puede administrar", las métricas serán comunes, pero los indicadores harán la diferencia en cada tipo de Entidad Financiera. Es tiempo que el regulador le ponga los cascabeles al gato en materia de seguridad de la informacion!!

Articulos

Caso en Bancos: mañas conocidas con nuevos instrumentos

Guido Rosales 16/10/2017

El caso de los Bancos UNION y PRODEM deben cuestionar nuestro sistema de control, auditoria y regulación invocando nuestra capacidad de resiliencia. Más allá de buscar culpables que sin duda es necesario, debemos pensar en mitigar este tipo de situaciones.

Por supuesto que la tarea de encontrar controles vulnerados y responsables será la parte más liviana. Es más fácil hacer leña del árbol caído que definir y ejecutar medidas para evitar que el árbol caiga.

Llevo 20 años participando de investigaciones similares, fraudes, desfalcos, estafas, y otros nombres que se le da a la situación donde una o varias personas aprovechando niveles de confianza a veces excesiva, realiza actos contrarios a los inicialmente definidos.

¿El nuevo instrumento? Sistemas de información digital

Queremos definirlos como actos contrarios a los definidos y esperados por cuanto la ley es demasiado compleja y no se los puede tildar de otra manera sin un debido proceso que muchas veces no llega a hacerlo. Pero veamos ciertas lecciones aprendidas que lastimosamente no son aplicadas en la realidad, dando permanente continuidad a estos ACTOS CONTRARIOS.

Que se haga más, pero paguemos menos

1. Típica conducta impulsada por los manejadores de presupuesto que no ven los riesgos de la concentración de funciones. No identifican que la relación hecho contra verificado no puede realizarse por la misma persona o, por otro lado, la persona que verifica no puede controlar actividades en exceso o con carencia de instrumentos. La sola existencia del rol verificador no puede ser tomada como un talismán que asegure su cumplimiento.
2. Si la empresa no puede estructurar un organigrama donde claramente se identifique las instancias de control, el error no es operativo, sino nació en un nivel estratégico.

El mundo digital se administra y controla con herramientas digitales

Los cinco sentidos de una persona le permiten controlar cosas materiales. El mundo digital donde se trafica bits, no puede ser controlado sin adecuados y oportunos instrumentos. La cantidad inmensa de datos que se generan hace imposible su administración sin la adecuada instrumentación del control. Herramientas, capacitación y entrenamiento mitigan el riesgo del desbordamiento de datos.
Toda empresa debe poder identificar en su balance la proporción entre instrumentos operativos e instrumentos de control. Deberíamos llegar mínimamente a un 80/20 entre la inversión para funcionar contra la inversión para controlar. Pero controles dedicados, no un ADEMAS como generalmente se coloca en manuales de funciones. Los instrumentos de control deben ser especializados y no una navaja suiza que se pueda adaptar a cualquier finalidad y sirve para salvar el momento.
La información digital en un negocio tan complejo como Banco es inmensa, tanto para el nivel operativo como para el de control. Los sistemas de control en esta fase previa a un ACTO CONTRARIO deben ser PREDICTIVOS y anticiparse ante la desviación de ciertos parámetros.

¡Los junior cobran menos y hacen más!!

Cuando se hace la valoración de riesgo operativo y se valoran los controles se debe tomar en cuenta no solo el conocimiento de los responsables de control, sino su pericia y experiencia. Salvo sea un superdotado con la capacidad de leer información de muchos casos y digerirlos para generar una Pseudo experiencia, la mayor parte de los responsables de control necesitan equilibrar la relación “Experiencia/trabajo”.
En las instancias de control y auditoria está pasando que el 80% del trabajo es realizado por junior. El 20% lo realiza un senior, pero el riesgo esta que aplica su experiencia en la información colectada por el junior.
Un junior conoce la tecnología de información, pero le falta experiencia. Al contrario de un senior principalmente de auditoria clásica.

La seguridad fisica es también centralizada
1. En entidades con ofician centralizada y también concentrada en la casa matriz, la seguridad física y control sigue la misma línea. La experiencia ha demostrado que en oficinas regionales, sucursales y similares el nivel de control es muy diferente al existente en la central. Mientras más lejos, más relajada.
2. Sin embargo, la seguridad digital no tiene esa limitación, puede estar con la misma intensidad tanto en la central como en el último punto donde llegan los datos. Siempre y cuando se tengan instrumentos digitales

Los malos estan fuera, cierren las puertas

Definitivamente el exceso de confianza nos hace pensar que el mal vendrá de afuera y no desde el interior mismo. No queremos pensar que alguien conocido sea capaz de hacer ACTOS CONTRARIOS.
Los controles al interior de las empresas tienden a ser más relajados por que se han personalizado y dependen de la persona en el cargo. Se va perdiendo la lógica que los controles se hacen a los cargos y no a las personas.

El diamante del fraude

Teoría que dice sobre la coincidencia en tiempo y espacio de 4 factores para laocurrencia de un fraude
1. Oportunidad: Los funcionarios de una empresa tienen la oportunidad permanentemente. Reciben dinero ajeno constantemente. Tienen acceso a los sistemas de información.
2. Justificación: Depende mucho de la formación y valores de las personas. Sin embargo, cuando se trata de actos contrarios contra entidades financieras el remordimiento es casi nulo, por cuanto casi nunca hay víctimas humanas. Al final es seguro cubre todo

Capacidad: Los funcionarios llegan a conocer y dominar su trabajo con el paso de los años. Son expertos en hacer, pero también pueden deshacer.
Presión: Social, familiar, de salud, financiera, etc. Todos tenemos alguna forma de presión.

Los delitos de cuello blanco no son violentos o descuidados

Sin necesariamente entrar en el ámbito digital, desde hace mucho se sabe que los actos contrarios denominados delitos de cuello blanco tienen una característica principal “paciencia y premeditación”. Se modelan con buen colchón financiero y van sentando sus ramificaciones por todo lado. Van creando una red interna y compleja en el negocio.
El NEPOTISMO es un botón que debía servir de muestra, pero ahora es totalmente OBSOLETO. La relación de parentesco consanguíneo ha cedido terreno a los lazos fraternales que se establecen por ejemplo en 12 años de colegio, una fraternidad, una logia y similares. Por supuesto que no podríamos tachar de nepotismo esta vinculación, pero se podrían activar más controles y evitar estas relaciones perjudiciales, pero muy enraizadas en nuestra sociedad. Al final se privilegia la confianza frente a la capacidad.

En arca abierta justos pecan

La seguridad debe ser proporcional al activo protegido: Es un principio muy básico, sin embargo, no entra en la lógica del GERENTE que busca una mayor utilidad con menor inversión. Tenemos un problema desde las aulas universitarias donde los catedráticos han sellado la lógica de tener negocios rentables en desmedro de los negocios seguros.
Si la persona ve que no existe control o es muy relajado va definiendo su ITERCRIMINIS rumbo a esos ACTOS CONTRARIOS. Hace el modelamiento y si no ve respuesta de los encargados de control, llega un punto donde los 4 elementos del diamante del fraude se juntan y convierten a una persona normal en un perpetrador de ACTOS CONTRARIOS.
La sanción, el proceso legal y el juicio son acciones correctivas que lamentablemente priman como instrumento de disuasión, favorecidas por personas inclusive con cierto tipo de formación profesional. Lo más importante no es ganar el juicio y meterle a la cárcel, sino tener una empresa donde se respire CONTROL y las personas cumplan sus funciones, protegidas por la misma empresa.

Los procedimientos de negocio definen no solo hábitos de trabajo sino modus vivendi

La cultura organizacional a través de sus normas y procedimientos calan hondo en las personas, sus hábitos laborales y hasta su forma de vida (modus vivendi). Cuando se quiere ejercer control, se debe monitorear esa habitualidad para detectar alteraciones o cambios al patrón regular. Al final es posible patronizar casi TODO con mucha exactitud. Por ejemplo, el habito de una persona, de un proceso, de un sistema, de una agencia, etc. Por supuesto que se necesitan herramientas tecnológicas primero para patronizar conductas y segundo para determinar esos cambios.
El contagio de hábitos de trabajo es mutuo. Las personas al negocio y este a las personas. Si tienes una mezcla de personas con diferentes antecedentes, tendrás un negocio muy heterogéneo en el espíritu de control. Tomara tiempo hacer que las personas reciban la influencia del negocio. Pero en algunos años el efecto será de arriba/abajo.

Sin duda es un tema de largo aliento. Ambos casos le están haciendo un daño reputacional al país más allá de las mismas instituciones. No solo merman la confianza en un sistema financiero, sino siguen afectando la capacidad de gestión del mismo gobierno como Gestor de negocios. El desafío sigue creciendo y tendrá esta orientación. Lo que ha pasado en estos bancos sin duda ha pasado en TODOS los otros. “El que esté libre de pecado que tire la primera piedra! Y ojo, no solo estamos hablando de Bancos, nos está tocando en TODO tipo de negocio. No estamos asimilando el cambio entre el mundo físico y el mundo digital. El primero era controlado con nuestro sentido. El nuevo orden digital requiere otras capacidades. Debemos buscarlas e implementarlas.

Articulos

Tips de seguridad – copias de respaldo

Guido Rosales 10/10/2017

¡Usuario que hace copias de seguridad con frecuencia (mínimo de forma mensual) debe considerarse un usuario con alto nivel de cultura de seguridad!!

Muchas veces me preguntan sobre recomendaciones de seguridad:

¿Cuál es el mejor antivirus?
¿Como protejo mis datos e información de los hackers?
¿Que equipo debo comprar?
¿Que marca de disco duros es mejor?

En fin, muchas dudas que tienen respuestas coyunturales. En materia de marcas de productos de seguridad, todos son parecidos y siempre insuficientes, complejos de usar, algunos costosos por ser propietarios, otros aparentemente gratuitos, pero con costos indirectos para aprender a utilizarlos o contratar a alguien que los domine.

Hoy no vamos a tocar marcas o tecnologías, sino algo mucho más simple que todo usuario de sistemas computacionales debe SIEMPRE hacer. ¡COPIAS DE RESPALDO!!

Pero hay que ser selectivos, para no caer en el ámbito de los CACHIVACHEROS DIGITALES, personas que, si bien pueden ya no guardar cosas materiales, lo hacen con los objetos digitales, guardan TODO, desde cosas personales que al final son las más importantes hasta tener ingentes cantidades de objetos que podrían encontrarlos en el internet. Dicho de manera más sofisticada, sea MINIMALISTA DIGITAL

¿Que debo respaldar?

Todo aquello que no puedes encontrar en el internet
1. No guardes películas, música, programas
Guarda todo aquello cuya perdida tendría un impacto en TU persona
1. Impacto económico, legal, sentimental.
2. Por ejemplo es bueno digitalizar los títulos de propiedad, los documentos profesionales, académicos, etc. Si bien pueden no tener un valor legal, pero pueden ayudar a generar las copias certificadas e inclusive en cierto nivel de confianza, pueden ser suficientes para dar fe.
Tan peligroso como NO hacer respaldos, es TENER ingentes cantidades donde no puedes encontrar lo que buscas. Evita convertirte en Cachivachero digital!. De todas maneras siempre existe el apoyo de software de indexación que permitiría estructurar tu información para que pueda ser fácilmente encontrada.

¿Como hacer copias de respaldo?

Para no complicar mucho diremos lo siguiente:

Primero es bueno tener cierto orden, mejor si es cronológico, con carpetas por años mínimamente. Así sabe que debe copiar y hasta cuando.
Copia en el formato nativo (el formato inicial), y por si acaso has una copia comprimida en formato ZIP(archivos comprimidos)
Si son documentos en Word, puedes hacer una copia en pdf y guarda ambos según el punto 1.
Imágenes y videos siguen la regla N1.
Los archivos PDF si quieres algo más sofisticado pueden ser digitalmente firmados. Ya hablaremos más adelante sobre esta tecnología.
Duplica el medio donde estén guardados. Es decir, si guardaste en un disco externo, mejor tener un duplicado adicional. Optimo que la duplicación sea una clonación, asi estarás seguro que no olvidaste nada.

¿En que medio de almacenamiento?

No recomiendo memorias flash y tampoco discos ópticos, CDs, DVDs
Algo muy práctico y que personalmente me están durando ya más de 10 años, son los discos duros en unidades externas removibles. En estos recomiendo guardar fotografías y videos propios
La nube es una opción muy buena. Personalmente utilizo aun mi cuenta de Hotmail desde hace unos 15 años y además utilizo Gmail desde hace unos 10 años. Si algo hay que destacar de Google es la facilidad para buscar todo lo que he guardado. Recomiendo guardar copias de correo y documentos. De forma gratuita Gmail te da algo de 16Gb, pero con unos 30 dólares puedes comprar 100Gb anuales. Sin duda una cantidad muy grande para un simple mortal.

¿Cómo debo guardar mis respaldos?

Es importante entender que los medios de respaldo cumplen características físicas, eléctricos, químicas, por tanto, tienen esos mismos riesgos.

Los discos ópticos pueden ser afectados por la humedad y la fricción mecánica.
Las memorias flash por la energía estática, la humedad y el choque eléctrico.
Los discos duros por campos magnéticos, polvo, la energía estática, la humedad y el choque eléctrico.
El respaldo en la nube puede ser afectado si perdemos las credenciales de acceso, dejamos de pagar por el servicio, el proveedor desaparece.

¿Que cuidados en general se debe tener?

Vigile las copias históricas por lo menos una vez por año. Es decir, revise el contenido.
Si es posible, consolide las copias de unidades pequeñas en unidades de mayor capacidad. No deseche las primeras hasta que este seguro que todo ha sido copiado.
Si es posible conserve las unidades originales mínimo por 12 meses. Para comprobar que la nueva unidad funciona y sus datos están resguardados.
Seria optimo decirle que aplique cifrado de datos o robustas contraseñas, pero la experiencia ha demostrado que la probabilidad de que alguien acceda a sus datos, es mucho menor a la perdida de las llaves para abrir o desencriptar. Muchos usuarios olvidan o pierden las llaves dejando todo imposible de ser leído.

Todos estos consejos son perfectamente aplicables a todo usuario doméstico, pero con seguridad también para empresas de todo tamaño. En las muy grandes, los respaldos se hacen a datos del negocio, casi muy parecido con las medianas. En muchas empresas pequeñas ocurre como en muchos hogares. No se hacen copias suficientes hasta que pierden datos.

Mantenemos una experiencia de mas de 10 años dedicados a la recuperación de datos y que penoso es oir al cliente que Toda su vida digital estaba guardada en el paciente que nos traen. A la pregunta: ¿Y las copias de respaldo?, ponen una cara de asombro. ¿Había que hacerlas?