martes, 24 de octubre de 2017

El departamento de seguridad informática frente al fraude informático





En las empresas medianas y pequeñas, el departamento de informática, que tiene que ver con el desarrollo y mantenimiento de los sistemas, engloba normalmente también la seguridad informática.

Pero en organizaciones que tienen una cierta dimensión, como pueden ser las financieras, en las que cada año crece exponencialmente el volumen de información,  la seguridad informática suele ser una actividad independiente.

En ocasiones, en este tipo de empresas las plataformas SIEM, tal como hasta ahora están concebidas van perdiendo su efectividad operativa,  lo que ha obligado a la industria a desarrollar nuevas soluciones tecnológicas más potentes, que han sido definidas por la consultora GARTNER como “BIG DATA”.

El término “BIG DATA” hace referencia a sistemas capaces de manipular grandes conjuntos de datos  (“data sest” o minería de datos), que no pueden ser capturados, gestionados y  procesados en un tiempo razonable con el “solfware” habitual.

Y es que el aumento de información ha roto el perímetro que la controlaba hasta hace poco tiempo, y por ello las bases de datos que utilizan las empresas normalmente ya están distribuidas en diferentes ubicaciones tecnológicas y geográficas. Esta situación se está consolidando por, el auge que está teniendo la computación en nube, la variedad de fuentes de datos existentes, cada una  con su propia estructura y tipología, la diversidad de recursos y dispositivos que utilizan los directivos y empleados para acceder a la información, y por el intercambio de recursos propios y ajenos entre las empresas y su entorno.

Es cierto que las organizaciones no pueden renunciar  a toda la información que necesitan para la gestión de sus negocios, pero son tantas las fuentes que pueden ser consultadas, que termina habiendo un exceso de información que no sirve a los fines propuestos si antes no es convertida en inteligencia, entendida ésta como información preparada para resolver problemas.

El acceso por la empresa a fuentes de información internas y externas, así como la transformación de la información contenida en las mismas en inteligencia, suele realizarse en  los departamentos de negocio, gestión, control y cumplimiento,  a través de sus propias herramientas informáticas, todas ellas controladas por el Departamento de Informática mediante una plataforma SIEM o “BIG DATA”.

Estas últimas plataformas controlan la seguridad de los datos y su almacenamiento, así como el acceso autorizado a los mismos; filtran las puertas de entrada y salida hacia las fuentes de información; distribuyen los datos entre diferentes GPU (Unidades de Procesamiento Global) para su proceso masivo en paralelo, lo que permite la correlación de datos, la generación de patrones y su análisis  por los departamentos de gestión, negocio, control y cumplimiento.

El conocimiento del funcionamiento de esta tecnología, por los distintos departamentos de la empresa, resulta imprescindible para que estas estructuras complejas y costosas puedan ser rentabilizadas convenientemente, no sólo por los departamentos de informática que ya lo hacen, sino también por el resto de departamentos operativos, que han de saber pedir a los informáticos lo que necesitan de las máquinas.

Las plataformas SIEM  o “BIG DATA” tienen como función principal controlar la seguridad informática, pero bien gestionadas pueden  ofrecer informes valiosos sobre la actividad de las diferentes plataformas departamentales, al tener una visión centralizada de todas las fuentes de eventos que están dispersas en la empresa.

Por ejemplo, la información sobre los clientes se genera en los departamentos que están en contacto directo con ellos, cuando los comerciales les solicitan determinados documentos identificativos y de solvencia que son necesarios para el establecimiento de las relaciones de negocios u operaciones.

La información contenida en estos documentos, una vez verificada por la unidad receptora de los mismos, se convierte en datos informáticos (unidades elementales de información) mediante las plataformas tecnológicas de gestión, que la pasan de forma automática por determinados filtros de calidad antes de cederla a la Base de Datos de Clientes.

Llegada esta información a la Base de Datos de Clientes, se convierte en uno de los activos más importantes de la empresa, por lo que se le rodea de un entorno de seguridad.

Este entorno se consigue mediante una compleja estructura tecnológica, que posibilita la gestión de los datos manteniendo  la necesaria seguridad de los mismos,  al mismo tiempo que permite que la información sólo pueda ser utilizada por cada miembro de la organización con una autorización específica.

Esta estructura se conoce en el mundo tecnológico como “Security information and event management” o su correspondiente acrónimo SIEM, que es una plataforma de control,  además de ser  el núcleo operativo sobre el que funcionan las restantes  aplicaciones, entre ellas la Base de Datos de Clientes.

Las organizaciones que manejan mucha información suelen dotarse de plataformas tecnológicas SIEM o “BIG DATA”, porque les permiten el almacenamiento de datos históricos y de gestión,  y porque  les facilitan su correlación inmediata a efectos operativos.

Las plataformas SIEM o “BIG DATA” suelen tener las siguientes características:

  •  Permiten la agregación, consolidación y monitorización de datos procedentes de diferentes fuentes internas y externas.
  • Permiten  el trabajo de correlación de los datos para crear inteligencia, mediante la búsqueda de atributos comunes o mediante el enlace de eventos que están interrelacionados.
  • Generan alertas cuando en el sistema se introducen filtros, a través de las  plataformas de control departamentales. El sistema hace llegar en línea y en tiempo estas alertas a los destinatarios de las mismas, lo que ayuda a agilizar la resolución de problemas.
  • Ofrecen herramientas para crear tablas informativas que sirven para definir patrones,  o para identificar actividades que se salen del patrón estándar.
  • Permiten la recopilación de datos de cumplimiento y la elaboración  de informes para la dirección, para auditoría, para otros departamentos,  o para autoridades externas.
  • Contienen los repositorios centralizados de datos históricos.
  • Controlan el sistema de acceso y las autorizaciones para el acceso a los datos.


El aseguramiento de los datos es un tema técnico cuya responsabilidad corresponde al CISO (chief information security officer), que es el ejecutivo de más alto nivel para la seguridad de la información. Tiene la responsabilidad de establecer y mantener la visión empresarial, la estrategia y los programas necesarios para asegurar los activos de información y para protegerlos adecuadamente.

Pero existe otra importante función operativa dentro del departamento de seguridad informática y es la prevención y la reacción frente al fraude informático. Este departamento tiene bajo su responsabilidad las alertas tempranas originadas por secuencias conocidas relacionadas con el ciberdelito, que ayudan a la empresa a reducir el tiempo de impunidad del atacante, y permiten obtener pruebas del ataque.

En la prevención del fraude, por tanto, existen dos departamentos con funciones anti-fraude específicas pero con muchos puntos de contacto operativo:

  • El departamento de seguridad informática en lo que se refiere a la prevención y reacción frente el ciberdelito.
  • El departamento de prevención del fraude, en lo que se refiere a la prevención y reacción del fraude no informático.

Ambos departamentos se complementan, por lo que resulta imprescindible una buena colaboración entre ellos, respetando cada uno su propia independencia operativa.

Toda la estructura tecnológica de una organización está sometida constantemente a diferentes cadenas de ataques y malware, que resulta necesario  identificar y rastrear, especialmente cuando los atacantes logran penetrar en los sistemas. Entonces es necesario conocer cómo se produjeron los hechos y  determinar la información que pudo quedar comprometida, así como recoger las pruebas e indicios tecnológicos  para su denuncia ante las autoridades.

Esta función está encomendada al departamento de seguridad  informática, que en muchas ocasiones suele tener el apoyo tecnológico de empresas externas especializadas en seguridad informática.

Pero como el mundo virtual suele ser un fiel reflejo del mundo real, la experiencia de la prevención del fraude en el mundo real resulta de la máxima utilidad para prevenir y atacar el fraude informático,  y para poder ofrecer de forma adecuada a las autoridades judiciales y policiales  los rastros informáticos dejados por los delincuentes, con el fin de que puedan ser investigados de forma eficaz por las unidades policiales especializadas.

La colaboración entre el departamento de seguridad informática y el departamento de prevención del fraude puede servir para mejorar la gestión de las propias plataformas tecnológicas en la gestión del fraude.

Esa colaboración puede servir también para generar inteligencia para la empresa en materia de prevención del fraude, mediante la programación de ciclos específicos que ayuden al análisis de la información a través de las máquinas.

Un ejemplo de ciclo de inteligencia podría ser el siguiente:

  1. Planificando la investigación que se pretende realizar
  2. Accediendo a diferentes fuentes internas y externas
  3. Programando las máquinas y automatizando los procesos
  4. Procesando la información para generar el análisis de los datos
  5. Generando informes y alertas
  6. Distribuyendo esta información de forma conveniente para la toma de decisiones


Entendemos como evidencias electrónicas,  los rastros informáticos que quedan en los equipos de las entidades  y de sus clientes tras los ataques recibidos a través de Internet. Estos rastros informáticos, debidamente preservados, pueden demostrar la naturaleza de los ataques  y ofrecer datos muy valiosos sobre su autoría, especialmente si se logra que esta información se interrelacione con otras evidencias o hechos ya esclarecidos.

Las evidencias electrónicas tienen también una gran utilidad en el ámbito interno de las entidades, porque permiten a sus expertos la elaboración de planes para reforzar la seguridad de los sistemas y para prevenir riesgos.

Las entidades financieras y otras empresas también, están integrando en sus sistemas herramientas y métodos de trabajo que les permiten potenciar la prevención y preservar las evidencias electrónicas,  para así poder utilizarlas como pruebas o indicios en los procesos penales y civiles.

Las evidencias electrónicas, cuando se obtienen de una forma adecuada, no sólo sirven para convencer a los Jueces y Tribunales de los ataques sufridos, sino que facilitan las investigaciones necesarias para la identificación de sus autores.

Pero aún no se ha conseguido una plena colaboración entre las empresas, especialmente dentro del sector financiero, y con las unidades policiales de investigación tecnológica. Esta colaboración beneficiaría la lucha contra la ciberdelincuencia en la actividad económica y financiera y, especialmente un mayor desarrollo del comercio electrónico.

Se podrían alcanzar de una forma más efectiva estos objetivos de interés general  si mejorase  la colaboración entre las propias entidades victimizadas, así como la colaboración de éstas con las instituciones públicas y privadas que trabajan en la investigación del ciberdelito, lo que serviría también para generar confianza en los consumidores sobre el uso de las nuevas tecnologías.


No hay comentarios:

Publicar un comentario