{"id":153,"date":"2007-08-21T14:05:35","date_gmt":"2007-08-21T17:05:35","guid":{"rendered":"http:\/\/www.radians.com.ar\/blog\/?p=153"},"modified":"2007-08-21T14:05:37","modified_gmt":"2007-08-21T17:05:37","slug":"6-pasos-clave-para-proteger-una-compaa-financiera-por-rich-freeman","status":"publish","type":"post","link":"https:\/\/www.radians.com.ar\/blog\/?p=153","title":{"rendered":"6 pasos clave para proteger una compañía financiera, por Rich Freeman."},"content":{"rendered":"

En el ultimo paper de Microsoft TechNet salio publidada esta nota, y me parecio muy buena y queria compartirla. Pueden encontrar lapublicaci\u00f3n original aqui<\/u><\/strong><\/a>. Saludos, Roberto Di’Lello.
                                                                      <\/u><\/p>\n

Pocas organizaciones enfrentan tantas amenazas de seguridad como las compa\u00f1\u00edas financieras. A continuaci\u00f3n figuran los primeros pasos m\u00e1s importantes que cada empresa de este tipo deber\u00eda tomar para cuidar a sus clientes, proteger sus bienes y cumplir con la regulaci\u00f3n vigente. <\/p>\n

\"*\"Cualquier compa\u00f1\u00eda perteneciente al mundo bancario que todav\u00eda no fue v\u00edctima del phishing pronto se convertir\u00e1 en miembro del club.\"*\" Shana Allen – Vicepresidente y Gerente TI – EvergreenBank de Seattle <\/p>\n

<\/a> <\/p>\n

En resumen:<\/h4>\n

\u2022Utilizar tecnolog\u00edas de administraci\u00f3n de accesos y campa\u00f1as de alerta para clientes con el fin de prevenir el robo de identidades.<\/b> <\/p>\n

\u2022Aplicar reglas estrict\u00edsimas contra pr\u00e1cticas que almacenen en dispositivos m\u00f3viles informaci\u00f3n sin encriptar.<\/b> <\/p>\n

\u2022Evitar que personas sin autorizaci\u00f3n accedan a datos confidenciales, administren derechos de acceso y trabajen con socios renombrados.<\/b> <\/p>\n

Los bancos, las financieras y las aseguradoras figuran entre las empresas m\u00e1s atacadas por los delincuentes cibern\u00e9ticos. No sorprende entonces que la mayor\u00eda de estas compa\u00f1\u00edas inviertan gran parte de su presupuesto en seguridad TI. <\/p>\n

En promedio, las compa\u00f1\u00edas financieras dedicaron 16.3 por ciento de su presupuesto TI en seguridad durante 2006, seg\u00fan una encuesta global que por PricewaterhouseCoopers LLP llev\u00f3 a cabo en Septiembre de 2006. Esta cifra contrasta con el 12.9 por ciento invertido por las prestadoras de servicios m\u00e9dicos y energ\u00e9ticos. M\u00e1s a\u00fan, de acuerdo con el mismo informe de PricewaterhouseCoopers, un 55 por ciento de las financieras planean aumentar sus presupuestos de seguridad durante 2007. <\/p>\n

Sin embargo, a pesar de estas inversiones, muchas financieras siguen siendo vulnerables frente a una variedad de amenazas significativas. Suponiendo que ya cuentan con herramientas b\u00e1sicas como antivirus y firewalls, sugerimos una lista con seis pasos que estas instituciones deber\u00edan seguir en defensa de sus negocios: <\/p>\n

1. Instale sistemas de administraci\u00f3n de accesos<\/h6>\n

No existe peor amenaza para las compa\u00f1\u00edas financieras que el robo de identidades. El “phishing”, que consiste en utilizar el correo electr\u00f3nico para lograr que los clientes revelen n\u00fameros y claves de cuentas, tuvo \u00e9xito en un 51 por ciento de las organizaciones atacadas, seg\u00fan el estudio que en 2006 realiz\u00f3 Deloitte Touche Tohmatsu de New York. “Cualquier compa\u00f1\u00eda perteneciente al mundo bancario que todav\u00eda no fue v\u00edctima del phishing pronto se convertir\u00e1 en miembro del club”, sostiene Shana Allen, Vicepresidente y Gerente TI del EvergreenBank de Seattle. <\/p>\n

Las tecnolog\u00edas de administraci\u00f3n de accesos<\/a> constituyen la mejor defensa contra el robo de identidades. De hecho, las nuevas regulaciones est\u00e1n exigiendo \u2013cada vez m\u00e1s\u2013 el uso de dichas soluciones. Por ejemplo, a fines de 2005 el Consejo Federal Evaluador de Instituciones Financieras de los Estados Unidos exigi\u00f3 a las financieras que refuercen el uso de claves con controles de acceso suplementarios. El informe de Deloitte se\u00f1ala que, hasta ahora, s\u00f3lo el 38 por ciento de las firmas han cumplido con esta exigencia, y otro 25 por ciento planea hacerlo en alg\u00fan momento de los pr\u00f3ximos dos a\u00f1os. <\/p>\n

Existen distintos tipos de sistemas de administraci\u00f3n de accesos. Muchos proveedores ofrecen servicios que verifican las solicitudes de login en base a una lista de direcciones IP y dominios sospechosos. Si alguien intenta conectarse desde alguno de estos lugares, las instituciones pueden solicitar una identificaci\u00f3n suplementaria. Algunas soluciones rastrean las computadoras que los clientes utilizan para acceder a servicios online, y formulan preguntas de seguridad predeterminadas cada vez que alguien intenta ingresar desde una m\u00e1quina diferente. Otras proveen claves con una “tarjeta inteligente” o dispositivos biom\u00e9tricos que los clientes deben conectar a sus computadoras y activar cada vez que desean acceder a su cuenta. (Para m\u00e1s informaci\u00f3n sobre soluciones de administraci\u00f3n de accesos de Microsoft, consulte la p\u00e1gina sobre Windows Server 2003 R2<\/a>.) <\/p>\n

Bob Egan, director de investigaciones sobre tecnolog\u00edas emergentes de la consultora financiera The Tower Group Inc., de Needham, Mass., recomienda combinar controles de background con medidas de autentificaci\u00f3n m\u00e1s visibles. Por ejemplo, algunas instituciones les asignan a sus accionistas una imagen secreta: la foto de un animal o una flor. Cuando un cliente ingresa su n\u00famero de usuario, la p\u00e1gina de log-in inmediatamente muestra la gr\u00e1fica apropiada. C\u00f3mo la financiera y el cliente son los \u00fanicos en saber qu\u00e9 imagen debe aparecer, la publicaci\u00f3n de la foto apropiada le avisa al cliente que efectivamente se encuentra en un sitio leg\u00edtimo (sin riesgo de phishing) y que puede ingresar su clave sin correr riesgos de ning\u00fan tipo. <\/p>\n

2. Eduque al cliente sobre el robo de identidades<\/h6>\n

La educaci\u00f3n es un arma elemental a la hora de compartir el robo de identidades; as\u00ed que aseg\u00farese de guiar a sus clientes en el uso seguro de sus servicios online. Por ejemplo, ense\u00f1e a los clientes a no acceder a sitios Web a trav\u00e9s de links incluidos en alg\u00fan mail, a\u00fan cuando el mail parezca genuino. Los due\u00f1os de cuentas deben siempre escribir las URLs que ya figuran en sus navegadores, o hacer clic en las direcciones guardadas en la carpeta Favoritos. Adem\u00e1s, para evitar que los clientes confundan las comunicaciones leg\u00edtimas y las ileg\u00edtimas, la pol\u00edtica de la empresa debe comprometerse a no solicitar nunca por correo electr\u00f3nico informaci\u00f3n confidencial, como n\u00fameros de cuenta o claves. Los clientes deben ser informados respecto de esta pol\u00edtica; entonces sabr\u00e1n que cualquier mail que les solicite datos confidenciales es ileg\u00edtimo. <\/p>\n

3. Asegure todos los dispositivos m\u00f3viles<\/h6>\n

Seg\u00fan el estudio de PricewaterhouseCoopers, a pesar de que todos conocemos los riesgos de p\u00e9rdida o robo de laptops y celulares, s\u00f3lo un 40 por ciento de las financieras aplican procedimientos destinados a asegurar dispositivos m\u00f3viles. <\/p>\n

Los expertos aconsejan que las compa\u00f1\u00edas les pidan a sus empleados que encripten cualquier informaci\u00f3n corporativa que se lleven fuera de la empresa. Algunos pa\u00edses (incluidos los Estados Unidos, en 30 estados) elaboraron leyes que exigen que las empresas notifiquen a sus clientes cuando pierden o les roban dispositivos con datos de cuentas sin encriptar. La cobertura medi\u00e1tica que inevitablemente terminar\u00e1 revelando el incidente puede da\u00f1ar la reputaci\u00f3n de la organizaci\u00f3n involucrada. <\/p>\n

Las tecnolog\u00edas locales y remotas pueden mejorar su seguridad. Algunas de ellas bloquean autom\u00e1ticamente un dispositivo m\u00f3vil si el usuario trata de usarlo ingresando varias veces una clave incorrecta. Otras permiten que los administradores de red env\u00eden mensajes \u201cfulminantes\u201d a dispositivos robados o perdidos para que, enseguida, borren todos los datos y credenciales all\u00ed guardados. <\/p>\n

4. Implemente procedimientos seguros para la utilizaci\u00f3n de hardware<\/h6>\n

No ser\u00e1n port\u00e1tiles, pero las PCs de escritorio y los servidores tambi\u00e9n almacenan informaci\u00f3n confidencial. Curiosamente, la proporci\u00f3n entre instituciones financieras que disponen de hardware obsoleto pero seguro y aqu\u00e9llas que poseen hardware obsoleto pero no protegido es de 1 a 1, de acuerdo con el estudio de PricewaterhouseCoopers. Para evitar que los datos almacenados en esas computadoras caigan en manos inescrupulosas, utilice una aplicaci\u00f3n de eliminaci\u00f3n segura (como SDelete<\/a>) para sobrescribir el contenido de los discos r\u00edgidos. Por otra parte, para una mayor seguridad, desmagnetice o pulverice los viejos discos r\u00edgidos. Muchos proveedores ofrecen estos servicios “sanitarios”. <\/p>\n

5. Evite que la informaci\u00f3n se filtre a trav\u00e9s de las paredes corporativas<\/h6>\n

Los delincuentes que recurren al phishing o que roban laptops son una amenaza social, pero los propios empleados tambi\u00e9n pueden violar \u2013aunque de manera involuntaria\u2013 la seguridad de su empresa. El robo desembozado de informaci\u00f3n confidencial ocurre con poca frecuencia; en cambio la filtraci\u00f3n inadvertida de datos ocurre a menudo. <\/p>\n

Encriptar los archivos confidenciales<\/a> de servidores, PCs y laptops es una buena manera de mantener la informaci\u00f3n confidencial fuera del alcance de los empleados que carecen de los permisos de acceso necesarios. Instalar herramientas que eviten el \u201cescape\u201d de datos (tambi\u00e9n conocidas como herramientas anti-p\u00e9rdida de datos) es otra pr\u00e1ctica recomendable. Estos sistemas verifican mensajes y archivos que recorren la red y autom\u00e1ticamente evitan que los empleados distribuyan informaci\u00f3n confidencial de manera inapropiada. Como m\u00ednimo, limitan el acceso del personal a determinados privilegios. S\u00f3lo aquellas personas que realmente necesiten acceso a una aplicaci\u00f3n dada deber\u00e1n tenerlo. <\/p>\n

6. Monitoree cuidadosamente a sus proveedores externos<\/h6>\n

Si las funciones TI de su empresa se encuentran a cargo de proveedores externos, tal como sucede en la mayor\u00eda de las financieras medianas, controle el servicio ofrecido por sus proveedores. “Con un proveedor externo usted acerca a su empresa un grupo de intrusos” observa Daniel Blum, Vicepresidente y Director de Investigaciones de la firma Burton Group, de Midvale, Utah. Para reducir los riesgos de seguridad asociados con el outsourcing, Blum sugiere la siguiente gu\u00eda de indicaciones: <\/p>\n

\u2022 Busque proveedores externos due\u00f1os de una certificaci\u00f3n SAS 70 o ISO 27001, que prueba de manera independiente que operan con los controles de seguridad adecuados. <\/p>\n

\u2022 De ser posible, trabaje con proveedores dedicados a empresas grandes y medianas. “la t\u00edpica PyME no tiene el tiempo ni los recursos suficientes para auditar a los proveedores de manera cuidadosa, pero las grandes compa\u00f1\u00edas s\u00ed” explica Blum. <\/p>\n

\u2022 Aseg\u00farese de que sus proveedores entiendan y cumplan con las pol\u00edticas de seguridad de su empresa. S\u00f3lo un 53 por ciento de las financieras informan a sus outsourcers sobre la seguridad interna de la corporaci\u00f3n, indica el estudio publicado por Deloitte. <\/p>\n

\u2022 Permita que sus proveedores s\u00f3lo tengan acceso a la informaci\u00f3n que necesitan para hacer su trabajo. Por ejemplo, si su compa\u00f1\u00eda se encuentra en plena negociaci\u00f3n de fusi\u00f3n, mantenga alejados a sus proveedores del servidor que contiene las \u00faltimas propuestas. <\/p>\n

Aunque proteger a los negocios de eventuales ataques toma tiempo y esfuerzo, a las empresas financieras no les queda otra opci\u00f3n que la de invertir lo necesario. “Es un negocio basado en la confianza” subraya William Hartnett, Gerente General del Grupo de Soluciones Aseguradoras de Microsoft. “La gente debe confiar en los sistemas con los que interact\u00faa”. Las organizaciones incapaces de ganarse la confianza de sus clientes sufrir\u00e1n las consecuencias. <\/p>\n

Rich Freeman es un redactor freelance radicado en Seattle, y especializado en negocios y tecnolog\u00eda. Posee m\u00e1s de 14 a\u00f1os de experiencia en marketing estrat\u00e9gico y en comunicaciones en el sector TI.<\/i><\/p>\n","protected":false},"excerpt":{"rendered":"

En el ultimo paper de Microsoft TechNet salio publidada esta nota, y me parecio muy…<\/p>\n","protected":false},"author":1,"featured_media":4291,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[5],"tags":[],"class_list":["post-153","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-videos-noticias"],"_links":{"self":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts\/153","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=153"}],"version-history":[{"count":0,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts\/153\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/media\/4291"}],"wp:attachment":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=153"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=153"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=153"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}