Por Todd R. Weiss / CIO
Prevenir los ataques externos a los sistemas informáticos es una tarea enorme y fundamental para la mayoría de las empresas. Pero ¿qué están haciendo las empresas para prevenir los ataques similares cuando vienen desde dentro? Esa es una pregunta que más compañías deberían hacerse a medida que los casos de ataques internos de TI con regularidad golpean fuerte a las empresas, causando grandes pérdidas monetarias y, a menudo, dejando fuera de línea a las empresas durante días o semanas.
Hace unas semanas, un hombre de 37 años, ex miembro del personal de TI de la filial en Estados Unidos de la compañía farmacéutica japonesa Shionogi, se declaró culpable por haberse infiltrado y saboteado, de forma remota, la infraestructura de TI de la compañía en febrero pasado. El daño causó revuelos en las operaciones de la compañía durante varios días y le costó a Shionogi más de 800 mil dólares en daños y perjuicios, de acuerdo con el servicio de noticias de IDG (IDG NS).
El ex empleado, Jason Cornish, se conectó a la red utilizando un servidor oculto virtual que había creado previamente, y luego acabó con los servidores virtuales de la empresa, uno por uno, dando de baja el correo electrónico, el seguimiento de pedidos, servicios financieros y otros, de acuerdo con el IDG NS, y documentos de la corte. El IDG NS también informó que el ex jefe de Cronish en Shionogi se negó a entregar las contraseñas de red y finalmente fue despedido.
Los analistas en seguridad TI dicen que los incidentes de este tipo deben ser claros recordatorios de que las empresas deben trabajar más duro para luchar contra este tipo de ataques, usando medidas básicas de seguridad y el sentido común. Es fundamental recordar que las amenazas de intrusión pueden venir de dentro de sus propios muros corporativos en cualquier momento, no solo desde fuera de su firewall.
"Lo que hay que hacer es tratar de separar las funciones de modo que cualquier cosa que ocurra requiera la complicidad entre más de una persona para perpetuar el fraude o daño", señala Pete Lindstrom, analista de seguridad de Spire. "La forma en que puede separar esto es tener medidas preventivas y un sistema de registro o de control que registrará la actividad de otros sistemas. Que genera huellas".
El reto, añade Lindstrom, es que a menudo son expertos conocedores de sus departamentos y saben cómo evitar este tipo de protecciones. "En esta etapa, es un juego complicado. Un atacante muy inteligente puede hacer mucho para esconderse".
Además de mantener una separación de funciones, es importante saber realmente a quiénes está contratando su empresa para asumir las tareas críticas de TI. "Por supuesto que usted debe hacer verificaciones de antecedentes", señala Lindstrom. "Si a sabiendas contratan a alguien que tiene una historia de piratería, es un riesgo que necesita conocer".
Las compañías también deben trabajar duro para limitar el uso de las cuentas de administrador de TI que se comparten entre varias personas, agrega. "Es donde puede tener problemas", señala Lindstrom. "Hay que tratar de minimizar eso. Tratar de convencer a los administradores que ellos realmente no quieren asumir la responsabilidad de todo ese acceso, porque cada policía sabe que cada crimen es un trabajo interno y si pasa algo, va a ser un sospechoso desde el principio".
Delinear claramente qué miembros del personal de TI tienen privilegios y responsabilidades específicas es crucial para prevenir los ataques en el interior, señala Lindstrom.
Dan Twing, presidente y director de operaciones de la firma Enterprise Management Associates, agrega que hay varios pasos importantes que las empresas pueden tomar para protegerse contra el sabotaje interno antes de que ocurra:
1. Crear y mantener una buena documentación de redes y recursos utilizados por amplias partes del departamento de TI.Esto significa tener fuertemente controlados los registros de contraseñas y puntos de acceso, así como una documentación clara de la infraestructura de los sistemas de arriba a abajo, en las instalaciones y fuera del establecimiento. "Hay tantas cosas que no están documentadas por los departamentos de TI", señala. "Algunas personas de TI no escriben las cosas por lo que pueden ser los héroes en una situación de emergencia y pueden arreglar las cosas, o que son demasiado perezosos para documentar las cosas y piensan que eso los hace indispensables".
2. Mantener el acceso de "súper administrador" siempre que sea posible para que su empresa pueda mantener el más alto nivel de control sobre sus sistemas y evitar la infiltración. Estar seguro de que esto está claramente documentado y es controlado por unas cuantas personas mayores y de confianza en su organización.
3. Tenga procedimientos de cambio rápidos y claros para las contraseñas administrativas, de modo que ningún trabajador pueda hacer cambios en el sistema una vez que deja la empresa.Si necesita tener acceso a algo, se les puede dar acceso a compartimientos que pueden ser supervisados por otros miembros de confianza del equipo de TI para que puedan hacer su trabajo por separado del entorno de producción. "Cuanto más de esto haga usted, sí, retrasa un poco, pero ganará control", señala Twing. "Siempre hay una trade-off".
4. Use herramientas de TI que le permitan establecer umbrales y alertas cuando hay actividades inesperadas dentro de la red para ayudar en la detección de posibles sabotajes. "Recuerde que necesita estar monitoreando los procesos internos y los sistemas a medida que esté supervisando su perímetro para impedir que los hackers ataquen", señala. "Por lo menos puede parar algo interno antes de que se agrande. No asuma que su perímetro exterior es el único lugar donde pueden pasar cosas malas".
Andrew Walls, un analista de seguridad de Gartner, señala que el balance crítico de todo esto es asegurarse de que su personal de TI tiene las facultades necesarias para realizar su trabajo a la vez que establecen los límites de su control general sobre los sistemas.
"Muchas organizaciones tienen la idea de que TI es un mundo arcano y que los asistentes que residen allí tiene que ser siempre de confianza", señala Walls. "Esa idea se fue hace mucho tiempo. Las mismas reglas que rigen al resto del personal de su empresa, se aplican a su personal de TI".
En el caso reciente de Shionogi, Walls señala que es irónico que el trabajador anterior utilizara herramientas TI licenciadas para causar el daño dentro de la compañía. Eso podría haberse evitado si el acceso a la red se retiraba de inmediato, a los 20 minutos de su salida de la compañía, agrega Walls. "En términos muy claros, si termina una relación laboral con un empleado, su acceso debe desaparecer inmediatamente, y no en cinco o 20 horas. En muchas organizaciones, comienzan a quitar los privilegios de acceso antes de que la persona se vaya. Eso es lo que permitió ese ataque".
En el caso de Shionogi, Cornish dimitió después de una disputa, pero la empresa lo contrató de nuevo como un contratista para poder terminar un proyecto para ellos, de acuerdo con IDG NS. Eso podría haber sido un error fatal, señala Walls.
"Me preocupa una organización que dice ‘no nos gusta lo que este individuo está haciendo por lo que lo vamos a convertirlo en un contratista y le permitiremos mantener el acceso’", agrega Walls. "Si no puede confiar en alguien, no debería tener acceso a su entorno. Lo que pasó aquí para permitir que esto continúe es que su ciclo de vida de aprovisionamiento de usuarios no se manejó bien. Si su sistema es tan complicado que no puede reemplazar rápidamente a un miembro de su equipo, entonces tiene un problema mayor".
Una manera simple de ayudar a prevenir este tipo de problemas, añade Walls, es que los ejecutivos de negocios y el personal de TI se conozcan mejor para que funcionen como un equipo y no como mundos separados.
"El gerente tiene que tener una relación personal con los gerentes de TI y conocerlos por sus nombres", comenta Walls. "Tiene que hablar con ellos regularmente. Una empresa tiene que saber cuándo una persona de TI se está desviando del camino y la única manera de hacerlo es teniendo relaciones personales y conociéndose entre sí. La gente de TI no deben ser considerados como un escuadrón de geeks en una mesa separada, sino como parte de la empresa y del equipo".
No hay comentarios:
Publicar un comentario