Bancos e IT: ¿Seguros que estamos seguros?

El Banco Central bajó línea sobre seguridad de la información a sus entidades afiliadas con la emisión de la norma 4609.

09/06/2007

Fuente: www.segu-info.com.ar
Fabian Garcia

No deben ser pocos los que recibieron este mail (o uno parecido) en fechas recientes (o no tan recientes):

Subject: Atención al cliente de Francés net
De: BBVA Banco "Francés"
Fecha: August 6, 2007 12:36:36 PM GMT-03:00
Para: rodolfo@rodolfo.com
Asunto: Atención al cliente de Francés net

Estimado Cliente,

Según nuestros registros informáticos, hemos detectado recientemente que los accesos a su cuenta a través de Francés net han sido realizados desde diferentes direcciones IP.

Esto seguramente se debe a que la dirección IP de su conexión es dinámica y varía constantemente, o debido a que usted ha utilizado más
de una conexión para acceder a su cuenta.

Debido a este suceso y en cumplimiento con la legislación vigente, hemos actualizado nuestros sistemas informáticos para brindar una mayor seguridad a nuestros clientes, por lo cual necesitaremos que ingrese en su cuenta y efectúe una verificación de su actividad reciente. Los procedimientos de seguridad requieren que ustedverifique la actividad en su cuenta antes del 9 de agosto de 2007. De no ser así, transcurrida esta fecha, el sistema informático automatizado de Francés net suspenderá su cuenta indefinidamente.

Desde ya le agradecemos su cooperación en este aspecto.

Para ingresar a su cuenta a través de Francés net y verificar la actividad de la misma, debe hacer clic sobre el siguiente enlace:

https://www.bancofrances . com . ar/login.jsp?ID=61540
Apreciamos su ayuda y compresión, pues trabajamos juntos para que BBVA Banco Francés sea cada día un lugar mas seguro para hacer negocios.

Departamento de Seguridad
BBVA Banco Francés

El mensaje precedente ha sido publicado tal cual como llegó. El receptor (* cuyo nombre ocultamos bajo el mote de Rodolfo *) llamó al centro de atención al cliente del banco y le explicaron que si no había operado con Francés Net (y no lo había hecho), no tenía de qué preocuparse. ¿El objetivo? Que un incauto haga clic en el link indicado y le dé la posibilidad a los hackers de quedarse con sus datos personales, incluyendo, tal vez (* entenderán que no me animé a hacer el clic *) los de su cuenta bancaria.

"Las amenazas principales que enfrentan los bancos a sus sistemas de información en relación a sus usuarios tienen que ver con troyanos, que llegan al disco rígido del cliente a través de un spam o luego de que éste visitara un sitio Web engañado, creyendo que era el del banco", explica Pablo Anselmo, gerente de seguridad de Microsoft Cono Sur. "La misión de este tipo de software malicioso es hacer creer al cliente que está en un sitio seguro, del banco, para 'sacarle' sus datos personales", completa el ejecutivo. (...)

Papá Noel con mala onda

Si bien es cierto que muchos bancos han tomado conciencia en los últimos años de la importancia de la seguridad de la información, también es verdadero que los seres humanos suelen ser hijos del rigor.
Por eso, el Banco Central de la República Argentina (* en adelante BCRA *), en lugar de dejar a criterio de cada institución la estrategia de seguridad, lanzó la normativa 4609 en diciembre de 2006, cuyo cumplimiento efectivo debía arrancar 180 días después o, para decirlo más fácil, los primeros días de julio. "La mayoría de los bancos no
llegó", anticipa el final Julio Ardita, director de Cybsec, como para que no quede rondando un suspenso cinematográfico durante todo el
informe. (...)

Haciendo un poco de historia, podemos decir que esta norma precede a una con unos cuantos años de antigüedad, la 3198 (* de 1996 era... y
convengamos que en seguridad de la información es bastante al revésque en el tango... once años son más que muchos *), que se caracterizaba por ser muy poco rígida. En este caso, los auditores del BCRA que visiten los bancos tendrán un importante checklist que incluye, entre otras cosas, aspectos de políticas de seguridad, estrategias de análisis de riesgos, temas relacionados con todos los canales de interacción entre el banco y los clientes (banca telefónica, e-banking, cajeros automáticos, puestos de trabajo en sucursales), entre otros muchísimos.

"La 4609, emitida un 27 de diciembre, fue el regalo de navidad del BCRA para los bancos: con los presupuestos cerrados, a las instituciones les cayó como un baldazo de agua fría", agrega Ardita. Cybsec identificó catorce servicios diferentes para brindar a los bancos basados en la norma, que van desde el análisis de riesgo tecnológico hasta la revisión del cumplimiento de la especificación, pasando por el desarrollo o la adaptación de políticas y estándares de seguridad, la definición e implementación de políticas de manejo de pistas de auditoría (logs que determinen quién hizo qué y cuándo) o la instalación de herramientas para proteger la operatoria de e-banking, entre otros. (...)

¿Son de palo?

Una de las opciones para resolver los problemas de seguridad que tienen los bancos es tercerizar la gestión y contratar servicios "pre-armados", diseñados por empresas especializadas en el tema. Hacer outsourcing, bah. El conflicto, en este punto, se da más que nada por una cuestión cultural. "Recién ahora se está viendo con más frecuencia que los bancos se animen a contratar servicios gestionados de seguridad", comenta Mariano Sciutto, ejecutivo de cuentas de Openware. Esta empresa ofrece un servicio gestionado que ya es utilizado por los bancos Bisel y Municipal de Rosario, llamado Attaka, y que se encarga, principalmente, de la detección de vulnerabilidades en los sistemas. "Hace un tiempo los bancos comenzaron a trabajar más responsablemente el tema de la seguridad -completa Sciutto-. Con esta nueva normativa, muchos que tenían la preocupación en la cabeza pero que no estaban actuando de manera concreta comenzaron a implementar sus proyectos". En ese punto, siempre según el ejecutivo de Openware, apareció "una tendencia reforzada por los servicios gestionados".

Neosecure también ofrece servicios gestionados. "La mayoría de los bancos todavía tiene un manejo interno de la seguridad, pero estamos trabajando en evangelizarlos, en mostrarles los beneficios de los servicios gestionados", cuenta Araya, para quien "es muy difícil que un banco tenga la infraestructura necesaria para hacer un monitoreo de actividades en tiempo real o el presupuesto para invertir en una que se justifique". Al igual que Openware con Attaka, Neosecure también ofrece un servicio de correlación de eventos útil para anticipar un ataque a partir de las pistas dejadas a lo largo de distintas fuentes.

Ver nota completa

El "Security Index para América Latina" dio resultados desalentadores
Cisco dio a conocer los resultados del primer Cisco Security Index.
Fuente: www.itsitio.com
Bancos e IT: ¿Seguros que estamos seguros?
El Banco Central bajó línea sobre seguridad de la información a sus entidades afiliadas con la emisión de la norma 4609.
La nueva generación de virus es mucho peor.
Ojalá fuera como antes, cuando los virus te borraban el disco duro. Los virus actuales ya no buscan noquear la computadora, la quieren en buen estado de salud para usarlas subrepticiamente en desfalcos, invasiones y ataques coordinados.
Datos de las empresas argentinas son vulnerables
Un estudio privado reveló que los accionistas o inversionistas no reciben reportes sobre incidentes en la seguridad informática. "La protección de la información corporativa y la privacidad están en riesgo", alertaron.
Indice mundial de Disponibilidad de Red.
La disponibilidad tecnológica cada vez incide mas en la consideración de la competitividad de las naciones.