Blog del Servicio de Prevención del Fraude

Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF)





C/ Velázquez, 64-66, 2ª planta

28001 Madrid

Teléfono del Servicio: 917814551

Fax: 914314646



Correo electrónico: spfraude@asnef.com







lunes, 18 de febrero de 2013

LA SEGURIDAD DE LA INFORMACIÓN





La información sobre los clientes se genera en los departamentos que están en contacto directo con ellos, como por ejemplo, cuando los comerciales les solicitan determinados documentos identificativos y de solvencia que son necesarios para el establecimiento de las relaciones de negocios u operaciones.

La información contenida en estos documentos, una vez verificada por la unidad receptora de los mismos, se convierte en datos informáticos (unidades elementales de información) mediante las plataformas tecnológicas de gestión, que la pasan de forma automática por determinados filtros de calidad antes de cederla a la BASE DE DATOS DE CLIENTES.

Llegada a la BASE DE DATOS DE CLIENTES, esta información se convierte en uno de los activos más importantes de la empresa, por lo que se le rodea de un entorno de seguridad.

Este entorno se consigue mediante una compleja estructura tecnológica, que posibilita la gestión de los datos manteniendo  la necesaria seguridad de los mismos,  al mismo tiempo que permite que la información sólo pueda ser utilizada por cada miembro de la organización con una autorización específica.

Esta estructura se conoce en el mundo tecnológico como “Security information and event management” o su correspondiente acrónimo SIEM, que es una plataforma de control   además de ser  el núcleo operativo sobre el que funcionan las restantes  aplicaciones, entre ellas la BASE DE DATOS DE CLIENTES.

Las organizaciones que manejan mucha información suelen dotarse de plataformas tecnológicas SIEM, porque les permiten el almacenamiento de datos históricos y de gestión,  y porque  les facilitan su correlación inmediata a efectos operativos.

Las plataformas SIEM suelen tener las siguientes características:
  • Permiten la agregación, consolidación y monitorización de datos procedentes de diferentes fuentes internas y externas.
  • Permiten  el trabajo de correlación de los datos para crear inteligencia, mediante la búsqueda de atributos comunes o mediante el enlace de eventos que están interrelacionados.
  • Generan alertas cuando en el sistema se introducen filtros, a través de las  plataformas de control departamentales. Estas alertas, el sistema  las hace llegar en línea y en tiempo a los destinatarios de las mismas, lo que ayuda a agilizar la resolución de problemas.
  • Ofrecen herramientas para crear tablas informativas que sirven para definir patrones,  o para identificar actividades que se salen del patrón estándar.
  • Permiten la recopilación de datos de cumplimiento y la elaboración  de informes para la dirección, para auditoría, para otros departamentos,  o para autoridades externas.
  • Contienen los repositorios centralizados de datos históricos.
  • Controlan el sistema de acceso y las autorizaciones para el acceso a los datos.


El aseguramiento de los datos es un tema técnico cuya responsabilidad  corresponde al CISO (chief information security officer), que es el ejecutivo de más alto nivel para la seguridad de la información. Tiene la responsabilidad de establecer y mantener la visión empresarial, la estrategia y los programas necesarios para asegurar los activos de información y para protegerlos adecuadamente.





LA EMPRESA Y EL DEPARTAMENTO DE SEGURIDAD INFORMÁTICA

El trabajo del departamento de seguridad informática no es tan conocido por el resto de los departamentos de negocio, control y cumplimiento, como el trabajo del departamento de informática que tiene que ver con el desarrollo y mantenimiento de los sistemas. En empresas medianas y pequeñas, éste último engloba en muchos casos al de seguridad informática.

La SEGURIDAD INFORMÁTICA suele ser una actividad independiente en organizaciones que tienen una cierta dimensión, como pueden ser las financieras,  en las que cada año crece exponencialmente el volumen de información. En ocasiones, en este tipo de empresas las plataformas SIEM, tal como hasta ahora están concebidas van perdiendo su efectividad operativa,  lo que ha obligado a la industria a desarrollar nuevas soluciones tecnológicas más potentes, que han sido definidas por la consultora GARTNER como “BIG DATA”.

Este término hace referencia a sistemas capaces de manipular grandes conjuntos de datos  (“data sest” o minería de datos), que no pueden ser capturados, gestionados y  procesados con el “solfware” habitual en un tiempo razonable.

El aumento de información se debe a la ruptura del perímetro que hasta hace poco tiempo la controlaba, lo que ha ocasionado que las bases de datos que utilizan las empresas comiencen a estar distribuidas en diferentes ubicaciones tecnológicas y geográficas. Esta situación se está consolidando por el auge que está teniendo la computación en la nube, la variedad de fuentes de datos cada una  con su propia estructura y tipología, la diversidad de recursos y dispositivos que utilizan los directivos y empleados para acceder a la información, o al intercambio de recursos propios y ajenos entre las empresas y su entorno.





Es cierto que las organizaciones no pueden renunciar  a toda la información que necesitan para la gestión de sus negocios, pero son tantas las fuentes que pueden ser consultadas, que termina habiendo un exceso de información que no sirve a los fines propuestos si antes no es convertida en inteligencia, entendida ésta como información preparada para resolver problemas.

El acceso por la empresa a fuentes de información internas y externas, así como la transformación de la información contenida en las mismas en inteligencia, suele realizarse en  los departamentos de negocio, gestión, control y cumplimiento,  a través de sus propias herramientas informáticas, todas ellas controladas por el Departamento de Informática mediante una plataforma SIEM o “BIG DATA”.

Estas últimas plataformas controlan la seguridad de los datos y su almacenamiento, así como el acceso autorizado a los mismos; filtran las puertas de entrada y salida hacia las fuentes de información; distribuyen los datos entre diferentes GPU (Unidades de Procesamiento Global) para su proceso masivo en paralelo, lo que permite la correlación de datos, la generación de patrones y su análisis  por los departamentos de gestión, negocio, control y cumplimiento.

El conocimiento del funcionamiento de esta tecnología, por los distintos departamentos de la empresa, resulta imprescindible para que estas estructuras complejas y costosas puedan ser rentabilizadas convenientemente, no sólo por los departamentos de informática que ya lo hacen, sino también por el resto de departamentos operativos, que han de saber pedir a los informáticos lo que necesitan de las máquinas.

Las plataformas SIEM  o “BIG DATA” tienen como función principal controlar la seguridad informática, pero bien gestionadas pueden  ofrecer informes valiosos sobre la actividad de las diferentes plataformas departamentales, al tener una visión centralizada de todas las fuentes de eventos que están dispersas en la empresa.


EL DEPARTAMENTO DE SEGURIDAD INFORMÁTICA Y LA PREVENCIÓN DEL FRAUDE INFORMÁTICO

Existe otra importante función operativa dentro del departamento de seguridad informática y es la prevención y la reacción frente al fraude informático. Este departamento tiene bajo su responsabilidad las alertas tempranas originadas por secuencias conocidas relacionadas con el ciberdelito, que ayudan a la empresa a reducir el tiempo de impunidad del atacante, y permiten obtener pruebas del ataque.

En la prevención del fraude, por tanto, existen dos departamentos con funciones anti-fraude específicas pero con muchos puntos de contacto operativo:
  • El departamento de seguridad informática en lo que se refiere a la prevención y reacción frente el ciberdelito.
  • El departamento de prevención del fraude, en lo que se refiere a la prevención y reacción del fraude no informático.


Ambos departamentos se complementan, por lo que resulta imprescindible una buena colaboración entre ellos, respetando cada uno su propia independencia operativa.


COLABORACIÓN ENTRE EL DEPARTAMENTO DE SEGURIDAD INFORMÁTICA Y EL DEPARTAMENTO DE PREVENCIÓN DEL FRAUDE

Toda la estructura tecnológica de una organización está sometida constantemente a diferentes cadenas de ataques y malware, que resulta necesario  identificar y rastrear, especialmente cuando los atacantes logran penetrar en los sistemas. Resulta entonces necesario conocer cómo se produjeron los hechos y  determinar la información que pudo quedar comprometida, así como recoger las pruebas e indicios tecnológicos necesarios para su denuncia ante las autoridades.

Esta función está encomendada al departamento de seguridad  informática, que normalmente suele tener el apoyo tecnológico de empresas externas especializadas en seguridad informática.

Pero como el mundo virtual suele ser un fiel reflejo del mundo real, la experiencia de la prevención del fraude en el mundo real resulta de la máxima utilidad para prevenir y atacar el fraude informático,  y para poder ofrecer de forma adecuada a las autoridades judiciales y policiales  los rastros informáticos dejados por los delincuentes, con el fin de que puedan ser investigados de forma eficaz por unidades policiales especializadas.

La colaboración entre el departamento de seguridad informática y el departamento de prevención del fraude puede servir para mejorar la gestión de las propias plataformas tecnológicas en la gestión del fraude.

Esa colaboración puede servir también para generar inteligencia para la empresa en materia de prevención del fraude, mediante la programación de ciclos específicos que ayuden al análisis de la información a través de las máquinas.

Un ejemplo de ciclo de inteligencia podría ser el siguiente:




  1. Planificando la investigación que se pretende realizar
  2. Accediendo a diferentes fuentes internas y externas
  3. Programando las máquinas y automatizando los procesos
  4. Procesando la información para generar el análisis de los datos
  5. Generando informes y alertas
  6.  Distribuyendo esta información de forma conveniente para la toma de decisiones



LA PROBLEMÁTICA DE LA INVESTIGACIÓN POLICIAL Y JUDICIAL DEL CIBERDELITO

Entendemos como evidencias electrónicas,  los rastros informáticos que quedan en los equipos de las entidades  y de sus clientes tras los ataques recibidos a través de Internet. Estos rastros informáticos, debidamente preservados, pueden demostrar la naturaleza de los ataques  y ofrecen datos muy valiosos sobre su autoría, especialmente si se logra que esta información se interrelacione con otras evidencias o hechos ya esclarecidos.

Las evidencias electrónicas tienen también una gran utilidad en el ámbito interno de las entidades, porque permiten a sus expertos la elaboración de planes para reforzar la seguridad de los sistemas y para prevenir riesgos.

Las entidades financieras están integrando en sus sistemas, herramientas y métodos de trabajo que les permiten potenciar la prevención y preservar las evidencias electrónicas,  para así poder utilizarlas como pruebas o indicios en los procesos penales y civiles.

Las evidencias electrónicas, cuando se obtienen de una forma adecuada, no sólo sirven para convencer a los Jueces y Tribunales de los ataques sufridos, sino que facilitan las investigaciones necesarias para la identificación de sus autores.

Pero aún no se ha conseguido una plena colaboración entre el sector financiero y las unidades policiales de investigación tecnológica. Para ello sería necesaria primero una buena colaboración entre las propias entidades financieras. Esta colaboración a tres bandas beneficiaría la lucha contra la ciberdelincuencia que ataca al sector financiero y al comercio electrónco.

Se podrían alcanzar de una forma más efectiva estos objetivos de interés general  si mejorase  la colaboración entre las propias entidades victimizadas y, la colaboración de éstas con las instituciones públicas y privadas que trabajan en la investigación del ciberdelito, lo que serviría también para generar confianza en el uso de las nuevas tecnologías.


UN MODELO PARA ESTA POSIBLE COLABORACIÓN

Para lograr una buena  colaboración operativa entre las instituciones públicas y privadas, la Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF) firmó en su día a un Convenio de Colaboración en el Instituto Nacional de Tecnologías de la Comunicación (INTECO).

En base a este convenio, el Servicio de Prevención del Fraude de ASNEF ha estado colaborando con INTECO en la coordinación de las entidades financieras y las unidades policiales de investigación tecnológica, para la creación de un REPOSITORIO DE FRAUDE ELECTRÓNICO DE INTECO, exclusivo para el sector, que servirá para mejorar la investigación del ciberdelito, y en especial el que ataca la actividad financiera.

Esta información es enriquecida por la plataforma de gestión de  casos de fraude electrónico de INTECO, y sirve para optimizar la investigación de los delitos informáticos en el ámbito policial y judicial, al mismo tiempo que ofrece  datos de interés operativo para las entidades financieras participantes en el sistema, beneficiando así su propia estrategia de prevención y lucha contra el fraude informático.




La plataforma de gestión de casos de fraude electrónico de INTECO  recibe información de nuevos incidentes desde distintas fuentes,  recopilando  los datos técnicos asociados para su posterior tratamiento y consulta. Las fuentes en las que se nutre INTECO son las siguientes:
  • Información de fraude electrónico que aportan los Ciudadanos y las PYMES a través del buzón electrónico: fraude@cert.inteco.es
  • Información que llega a INTECO  a través de la Red de Sensores sobre fraude que está establecida en el ámbito nacional e internacional.
  • Información procedente de otras fuentes abiertas de información
  • Información  procedente de los Cuerpos y Fuerzas de Seguridad (Cuerpo Nacional de Policía, Cuerpo de la Guardia Civil, Mossos d’Esquadra, Ertzaintza)
  • Información procedente de las Entidades Financieras.


Todas estas fuentes de información permiten a INTECO crear inteligencia contra el fraude informático de una forma centralizada, dentro de una institución perteneciente al Ministerio de Industria, Turismo y Comercio,  con todas las garantías exigidas por nuestra legislación de protección de datos de carácter personal, y con total respecto a la confidencialidad de las entidades financieras cooperantes.

Esa inteligencia resulta necesaria para poder estructurar políticas operativas que sean eficaces en la lucha coordinada contra el fraude electrónico en general y, en particular contra el fraude que afecta a la actividad financiera que opera a través de Internet,  y  la actividad económica no financiera, como por ejemplo el comercio electrónico.

Sin la inteligencia obtenida de la cooperación entre el sector público y privado, la investigación de los delitos cometidos a través de Internet resulta poco eficaz en la vía penal, porque no se beneficia de la optimización que supone la centralización de la información, con la consiguiente agrupación de hechos cometidos por los mismos autores y la suma de evidencias electrónicas de cada uno de ellos.

Esta plataforma de gestión de casos de fraude electrónico, además de resultar beneficiosa para las entidades que la están utilizando, permite la racionalización del trabajo policial y judicial, incrementando por tanto su efectividad y reduciendo drásticamente los costes sociales de estas investigaciones.

Los beneficiarios del “Repositorio de Fraude Electrónico de INTECO” son los siguientes:
  1. Las entidades financieras que alimentan el repositorio, por sí o a través de sus proveedores de seguridad, se enriquecen  con la información que reciben  directamente desde INTECO, fortaleciendo así sus propios sistemas y por tanto, la actividad de prevención que desarrollan en Internet.
  2. Los Cuerpos de Seguridad, porque con la información recibida de INTECO pueden  racionalizar y optimizar mejor su trabajo, agrupando hechos delictivos conexos, y recibiendo en caso necesario apoyo tecnológico desde INTECO, a partir del análisis  de  las evidencias electrónicas recogidas.
  3. Toda la estructura Judicial, porque los hechos conexos pueden ser agrupados mediante informes policiales o a través del trabajo de las  fiscalías, liberando a muchos juzgados de listas negras de delitos muy difíciles de investigar, por lo que pueden dedicar su trabajo  a otras investigaciones.
  4. Esta plataforma  permite una mejor defensa de los usuarios de los servicios financieros a través de Internet, acrecentando en ellos la confianza en el uso de las nuevas tecnologías de la información y la comunicación, lo que sin duda servirá para que se siga  potenciando la actividad financiera en ese medio.
  5. La colaboración con esta plataforma también  beneficia a la industria de la seguridad española: ISPs, Registradores de Dominio, Proveedores de Seguridad, etc., porque todos ellos a través de INTECO tienen una nueva fuente de información que puede beneficiar su propia tecnología y su competitividad en el ámbito nacional e internacional.


Se anexa a este trabajo el informe de presentación que hizo INTECO a las entidades financieras en febrero de 2010, con el fin de que las entidades que aún no la conocen se animen a usar esta plataforma de gestión de casos de fraude electrónico, porque con esta herramienta se mejoran  muchos de los problemas de investigación que presenta la identificación de la autoría en los fraudes informáticos.


Fabián Zambrano Viedma
Responsable del Servicio de Prevención del Fraude



ANEXO: EL REPOSITORIO DE FRAUDE ELECTRÓNICO DE INTECO








Publicado por en
Etiquetas: