RaDians.com.ar

Microsoft MVP – Microsoft 365, Trainer, Mentor and Technical Writer. MCP, MCSA: Messaging, Microsoft Certified and former MCT and Xbox gamer…

Noticias & Eventos & Videos

6 pasos clave para proteger una compañía financiera, por Rich Freeman.

Avatar photo

ByRoberto Di Lello

Ago 21, 2007

En el ultimo paper de Microsoft TechNet salio publidada esta nota, y me parecio muy buena y queria compartirla. Pueden encontrar lapublicación original aqui. Saludos, Roberto Di’Lello.
                                                                     

Pocas organizaciones enfrentan tantas amenazas de seguridad como las compañías financieras. A continuación figuran los primeros pasos más importantes que cada empresa de este tipo debería tomar para cuidar a sus clientes, proteger sus bienes y cumplir con la regulación vigente.

*Cualquier compañía perteneciente al mundo bancario que todavía no fue víctima del phishing pronto se convertirá en miembro del club.* Shana Allen – Vicepresidente y Gerente TI – EvergreenBank de Seattle

En resumen:

Utilizar tecnologías de administración de accesos y campañas de alerta para clientes con el fin de prevenir el robo de identidades.

Aplicar reglas estrictísimas contra prácticas que almacenen en dispositivos móviles información sin encriptar.

Evitar que personas sin autorización accedan a datos confidenciales, administren derechos de acceso y trabajen con socios renombrados.

Los bancos, las financieras y las aseguradoras figuran entre las empresas más atacadas por los delincuentes cibernéticos. No sorprende entonces que la mayoría de estas compañías inviertan gran parte de su presupuesto en seguridad TI.

En promedio, las compañías financieras dedicaron 16.3 por ciento de su presupuesto TI en seguridad durante 2006, según una encuesta global que por PricewaterhouseCoopers LLP llevó a cabo en Septiembre de 2006. Esta cifra contrasta con el 12.9 por ciento invertido por las prestadoras de servicios médicos y energéticos. Más aún, de acuerdo con el mismo informe de PricewaterhouseCoopers, un 55 por ciento de las financieras planean aumentar sus presupuestos de seguridad durante 2007.

Sin embargo, a pesar de estas inversiones, muchas financieras siguen siendo vulnerables frente a una variedad de amenazas significativas. Suponiendo que ya cuentan con herramientas básicas como antivirus y firewalls, sugerimos una lista con seis pasos que estas instituciones deberían seguir en defensa de sus negocios:

1. Instale sistemas de administración de accesos

No existe peor amenaza para las compañías financieras que el robo de identidades. El “phishing”, que consiste en utilizar el correo electrónico para lograr que los clientes revelen números y claves de cuentas, tuvo éxito en un 51 por ciento de las organizaciones atacadas, según el estudio que en 2006 realizó Deloitte Touche Tohmatsu de New York. “Cualquier compañía perteneciente al mundo bancario que todavía no fue víctima del phishing pronto se convertirá en miembro del club”, sostiene Shana Allen, Vicepresidente y Gerente TI del EvergreenBank de Seattle.

Las tecnologías de administración de accesos constituyen la mejor defensa contra el robo de identidades. De hecho, las nuevas regulaciones están exigiendo –cada vez más– el uso de dichas soluciones. Por ejemplo, a fines de 2005 el Consejo Federal Evaluador de Instituciones Financieras de los Estados Unidos exigió a las financieras que refuercen el uso de claves con controles de acceso suplementarios. El informe de Deloitte señala que, hasta ahora, sólo el 38 por ciento de las firmas han cumplido con esta exigencia, y otro 25 por ciento planea hacerlo en algún momento de los próximos dos años.

Existen distintos tipos de sistemas de administración de accesos. Muchos proveedores ofrecen servicios que verifican las solicitudes de login en base a una lista de direcciones IP y dominios sospechosos. Si alguien intenta conectarse desde alguno de estos lugares, las instituciones pueden solicitar una identificación suplementaria. Algunas soluciones rastrean las computadoras que los clientes utilizan para acceder a servicios online, y formulan preguntas de seguridad predeterminadas cada vez que alguien intenta ingresar desde una máquina diferente. Otras proveen claves con una “tarjeta inteligente” o dispositivos biométricos que los clientes deben conectar a sus computadoras y activar cada vez que desean acceder a su cuenta. (Para más información sobre soluciones de administración de accesos de Microsoft, consulte la página sobre Windows Server 2003 R2.)

Bob Egan, director de investigaciones sobre tecnologías emergentes de la consultora financiera The Tower Group Inc., de Needham, Mass., recomienda combinar controles de background con medidas de autentificación más visibles. Por ejemplo, algunas instituciones les asignan a sus accionistas una imagen secreta: la foto de un animal o una flor. Cuando un cliente ingresa su número de usuario, la página de log-in inmediatamente muestra la gráfica apropiada. Cómo la financiera y el cliente son los únicos en saber qué imagen debe aparecer, la publicación de la foto apropiada le avisa al cliente que efectivamente se encuentra en un sitio legítimo (sin riesgo de phishing) y que puede ingresar su clave sin correr riesgos de ningún tipo.

2. Eduque al cliente sobre el robo de identidades

La educación es un arma elemental a la hora de compartir el robo de identidades; así que asegúrese de guiar a sus clientes en el uso seguro de sus servicios online. Por ejemplo, enseñe a los clientes a no acceder a sitios Web a través de links incluidos en algún mail, aún cuando el mail parezca genuino. Los dueños de cuentas deben siempre escribir las URLs que ya figuran en sus navegadores, o hacer clic en las direcciones guardadas en la carpeta Favoritos. Además, para evitar que los clientes confundan las comunicaciones legítimas y las ilegítimas, la política de la empresa debe comprometerse a no solicitar nunca por correo electrónico información confidencial, como números de cuenta o claves. Los clientes deben ser informados respecto de esta política; entonces sabrán que cualquier mail que les solicite datos confidenciales es ilegítimo.

3. Asegure todos los dispositivos móviles

Según el estudio de PricewaterhouseCoopers, a pesar de que todos conocemos los riesgos de pérdida o robo de laptops y celulares, sólo un 40 por ciento de las financieras aplican procedimientos destinados a asegurar dispositivos móviles.

Los expertos aconsejan que las compañías les pidan a sus empleados que encripten cualquier información corporativa que se lleven fuera de la empresa. Algunos países (incluidos los Estados Unidos, en 30 estados) elaboraron leyes que exigen que las empresas notifiquen a sus clientes cuando pierden o les roban dispositivos con datos de cuentas sin encriptar. La cobertura mediática que inevitablemente terminará revelando el incidente puede dañar la reputación de la organización involucrada.

Las tecnologías locales y remotas pueden mejorar su seguridad. Algunas de ellas bloquean automáticamente un dispositivo móvil si el usuario trata de usarlo ingresando varias veces una clave incorrecta. Otras permiten que los administradores de red envíen mensajes “fulminantes” a dispositivos robados o perdidos para que, enseguida, borren todos los datos y credenciales allí guardados.

4. Implemente procedimientos seguros para la utilización de hardware

No serán portátiles, pero las PCs de escritorio y los servidores también almacenan información confidencial. Curiosamente, la proporción entre instituciones financieras que disponen de hardware obsoleto pero seguro y aquéllas que poseen hardware obsoleto pero no protegido es de 1 a 1, de acuerdo con el estudio de PricewaterhouseCoopers. Para evitar que los datos almacenados en esas computadoras caigan en manos inescrupulosas, utilice una aplicación de eliminación segura (como SDelete) para sobrescribir el contenido de los discos rígidos. Por otra parte, para una mayor seguridad, desmagnetice o pulverice los viejos discos rígidos. Muchos proveedores ofrecen estos servicios “sanitarios”.

5. Evite que la información se filtre a través de las paredes corporativas

Los delincuentes que recurren al phishing o que roban laptops son una amenaza social, pero los propios empleados también pueden violar –aunque de manera involuntaria– la seguridad de su empresa. El robo desembozado de información confidencial ocurre con poca frecuencia; en cambio la filtración inadvertida de datos ocurre a menudo.

Encriptar los archivos confidenciales de servidores, PCs y laptops es una buena manera de mantener la información confidencial fuera del alcance de los empleados que carecen de los permisos de acceso necesarios. Instalar herramientas que eviten el “escape” de datos (también conocidas como herramientas anti-pérdida de datos) es otra práctica recomendable. Estos sistemas verifican mensajes y archivos que recorren la red y automáticamente evitan que los empleados distribuyan información confidencial de manera inapropiada. Como mínimo, limitan el acceso del personal a determinados privilegios. Sólo aquellas personas que realmente necesiten acceso a una aplicación dada deberán tenerlo.

6. Monitoree cuidadosamente a sus proveedores externos

Si las funciones TI de su empresa se encuentran a cargo de proveedores externos, tal como sucede en la mayoría de las financieras medianas, controle el servicio ofrecido por sus proveedores. “Con un proveedor externo usted acerca a su empresa un grupo de intrusos” observa Daniel Blum, Vicepresidente y Director de Investigaciones de la firma Burton Group, de Midvale, Utah. Para reducir los riesgos de seguridad asociados con el outsourcing, Blum sugiere la siguiente guía de indicaciones:

• Busque proveedores externos dueños de una certificación SAS 70 o ISO 27001, que prueba de manera independiente que operan con los controles de seguridad adecuados.

• De ser posible, trabaje con proveedores dedicados a empresas grandes y medianas. “la típica PyME no tiene el tiempo ni los recursos suficientes para auditar a los proveedores de manera cuidadosa, pero las grandes compañías sí” explica Blum.

• Asegúrese de que sus proveedores entiendan y cumplan con las políticas de seguridad de su empresa. Sólo un 53 por ciento de las financieras informan a sus outsourcers sobre la seguridad interna de la corporación, indica el estudio publicado por Deloitte.

• Permita que sus proveedores sólo tengan acceso a la información que necesitan para hacer su trabajo. Por ejemplo, si su compañía se encuentra en plena negociación de fusión, mantenga alejados a sus proveedores del servidor que contiene las últimas propuestas.

Aunque proteger a los negocios de eventuales ataques toma tiempo y esfuerzo, a las empresas financieras no les queda otra opción que la de invertir lo necesario. “Es un negocio basado en la confianza” subraya William Hartnett, Gerente General del Grupo de Soluciones Aseguradoras de Microsoft. “La gente debe confiar en los sistemas con los que interactúa”. Las organizaciones incapaces de ganarse la confianza de sus clientes sufrirán las consecuencias.

Rich Freeman es un redactor freelance radicado en Seattle, y especializado en negocios y tecnología. Posee más de 14 años de experiencia en marketing estratégico y en comunicaciones en el sector TI.

No hay post relacionados.

Avatar photo

By Roberto Di Lello

Hola, soy Roberto Di Lello trabajo como Consultor Senior en Infraestructura, especializado en Tecnologias Microsoft con mas de 25 años en la industria. He sido galardonado como MS-MVP en Active Directory-Enterprise Mobility por 10 años, y actualmente soy MVP Windows Insider, ademas de poseer otras certificaciones de Microsoft. He trabajado en distintos projectos que involucran Migraciones, Implementaciones, y soporte de Active Directory y Microsoft Exchange, y en los ultimos años me he desempeñado armando equipos de trabajo para diferentes paises y areas de sistemas, he planificado a distintas migraciones a datacenters (ambiente cloud y mixtos). He tenido la oportunidad de participar como miembro del staff de Microsoft en eventos internacionales como ser TechEd NorteAmerica y MS Ignite (NA) al ser Trainer Certificado por Microsoft (MCT).

Related Post

Noticias & Eventos & Videos Windows 11 Windows 365

MVP summit 2026

Mar 23, 2026 Roberto Di Lello
Noticias & Eventos & Videos

Tu Xbox 360 necesita un ajuste urgente antes de 2026: partidas y logros podrían tener errores

Dic 12, 2025 Roberto Di Lello
Noticias & Eventos & Videos Windows 11

Windows 11: la agenda volvera a la barra de inicio

Nov 21, 2025 Roberto Di Lello

You missed

Intune ScreenCasts Windows 365

INTUNE: Como hacer un deployment de una aplicacion Win32APP en nuestros equipos {HowTo}

Abr 28, 2026 Roberto Di Lello
Intune ScreenCasts Windows 365

INTUNE: Como eliminar la opción “Probar el nuevo Outlook” en Outlook clásico {ScreenCast}

Abr 10, 2026 Roberto Di Lello
Noticias & Eventos & Videos Windows 11 Windows 365

MVP summit 2026

Mar 23, 2026 Roberto Di Lello
Seguridad Tools Windows 11

pfSense: como configurar un DDNS para usar CloudFlare con el openVPN {HowTo}

Mar 18, 2026 Roberto Di Lello