ESTRATEGAS        
 
SEGURIDAD DE LA INFORMACIÓN
Datos personales en riesgo por ataques cibernéticos
Por todos los datos que poseen de sus asegurados, las compañías de seguros son un blanco apetecible para delincuentes que buscan hacerse de información valiosa. Foto, Daniel Bonina, administrador de Seguridad y de Riesgos en IT de QBE.
La compañía de monitoreo de crédito Equifax -empresa que administra la base de datos del Veraz en la Argentina- anunció el 7 de setiembre un “incidente de ciberseguridad” que habría afectado a cerca de 142 millones de consumidores de los Estados Unidos. El ataque se realizó el 29 de julio y, a pesar de que Equifax habría reaccionado rápidamente para frenar la intrusión, los criminales ganaron acceso a archivos de la compañía que incluían nombres, números de seguro social, datos de nacimiento, direcciones y hasta números de licencia de conducir de consumidores en los Estados Unidos. Equifax también admitió que los atacantes pudieron acceder a la información de tarjetas de crédito de cerca de 209.000 consumidores y documentos con información personal de otras 182.000 personas. Algunos consumidores del Reino Unido y Canadá también fueron afectados.

En una investigación separada, divulgada por la compañía de seguridad informática Eset, se reveló que un portal interno de Equifax, diseñado para ser usado por empleados, expuso los datos de aproximadamente 14.000 registros, donde se incluye información de empleados de Veraz en la Argentina y de todos aquellos que hayan hecho un reclamo o consulta ante la entidad (incluyendo su nombre completo y documento de identidad). Tras recibir el aviso, Veraz dio de baja el portal.

Veinte días más tarde del anuncio del “incidente de seguridad”, el 26 de septiembre, Equifax anuncia que su presidente y CEO, Richard Smith, abandonaría la compañía. Su alejamiento es parte de una serie de cambios que lleva adelante Equifax con el objetivo de minimizar futuros riesgos de seguridad.

El caso Equifax no es el primero de una compañía que se enfrenta a un problema de ciberseguridad. En los últimos años son numerosas las noticias sobre delincuentes cibernéticos que acceden a archivos confidenciales y datos personales que se creían seguros. En agosto de 2017, el proveedor de servicios de internet ruso SAC AKADO - Ekaterinburg, junto con la empresa SearchInform, demostraron ante la Justicia local la culpabilidad de los responsables del robo de datos personales de algunos de sus suscriptores y probaron que los delincuentes tenían la intención de vender la información sustraída en el ataque informático.

Un informe de Cisco, finalizado a mediados de año, señalaba que los equipos de seguridad “están cada vez más abrumados por el volumen de ataques que combaten”. El reporte destacaba entonces que, específicamente en la industria financiera, las empresas estaban debilitando menos del 50 por ciento de los ataques que recibían.

Las aseguradoras, por toda la información que poseen de sus asegurados, son un blanco para delincuentes que buscan hacerse de información valiosa.

En el entorno global, las compañías de seguro han ido trabajando en temas de seguridad y protección de datos personales. “En términos generales creo que el nivel de seguridad para los datos personales es bueno. ¿Se lo puede mejorar? Seguro”, sostiene Olivier Fernández Bedoya, CIO de la aseguradora Allianz Argentina.

Desde QBE Seguros La Buenos Aires, Daniel Bonina, administrador de Seguridad y de Riesgos en IT, señala que las compañías internacionales se rigen por fuertes políticas y estándares corporativos, basados en gran parte en la norma ISO 27001, lo que permite un “buen nivel” de protección.

Sin embargo, no siempre ocurre que las empresas están preparadas para combatir las amenazas. Martín Elizalde, presidente de Foresenics, afirma que cuando su compañía llega a evaluar una crisis de ciberseguridad encuentran que el nivel de protección suele ser bajo. “A veces no están las bases de datos registradas y, otras veces, no hay documento de seguridad”, indica. Otra de las dificultades que encuentra Elizalde, al menos en los casos en que Foresenics participó, es la falta de capacitación del personal. “Es preocupantemente bajo”, sostiene.

 

CAPACITACIÓN. “Es muy importante la capacitación interna al personal en temas de seguridad de la información y tratamiento de datos confidenciales ya que, si bien la tecnología aplicada puede ser buena, el eslabón se corta por lo más débil, que es el usuario”, remarca Bonina. De hecho, el informe de seguridad de Cisco señala que, cada vez más, los atacantes utilizan correos spam y técnicas como phishing para que sea el usuario, al hacer un click en un link, el que les abra la puerta a los atacantes para acceder a todos los sistemas de la compañía. El eslabón más débil no es la máquina sino el humano.

Para protegerse, Bonina propone implementar las recomendaciones de la ISO 27001. “Ofrece un buen marco de seguridad de la información para cualquier tipo de empresa. La aplicación de esa norma junto a las mejores prácticas del mercado y una buena capacitación y concientización interna es un buen comienzo para mantener los datos a salvo”, explica.

Fernandez Bedoya y Pablo Astort, jefe de Seguridad Informática de Allianz, coinciden en esta visión y agregan: “Buscar nuevas tecnologías, mantenerse actualizado y la inversión de nuevas herramientas de protección son hoy algunos de los puntos más importantes en materia de seguridad de la información”. Así es que, en los últimos años, muchas compañías se vieron obligadas a replantearse el presupuesto destinado al área de seguridad.

Desde Allianz destacan los esfuerzos de la industria en incorporar herramientas de encriptación de base de datos, prevención de fuga de información, segregación de funciones y encriptación de archivo. “Son herramientas que, en mayor o menor medida, podemos encontrar dentro de las organizaciones y ayudan a proteger la información y los datos de la compañía”, resaltaron.

Elizalde apunta que, más allá de la tecnología, es importante elaborar un “documento de seguridad” para garantizar la seguridad de los datos de carácter personal. “Es necesario el trabajo a medida, no copiar el documento de la web”, señala.

También apunta a la capacitación en seguridad informática que incluya a todos los miembros de la organización, desde los ejecutivos del Directorio hasta el cadete que recién ingresó en la compañía. La capacitación, añade, debe ir desde la seguridad de la contraseña hasta la facultad de monitoreo de la empresa respecto al uso de las herramientas digitales. Por último, y no por eso menos importante, señala que se debe realizar una clasificación de la información y elaborar políticas estrictas de permisos y privilegios.

Aun cumpliendo con todas estas recomendaciones, las compañías nunca estarán seguras en un 100%. Uno de los ataques que más se ha propagado en los últimos meses es el ransomware: a través de un mail, las máquinas son infectadas y su información encriptada. Los atacantes piden entonces un rescate monetario para devolver el acceso a la información.

A pesar de las protecciones desplegadas por las empresas, muchas han sido afectadas con este tipo de ataques. WannaCry, el malware que afectó en mayo a organizaciones tan diversas como Telefónica en España y el Servicio de Salud del Reino Unido, fue uno de los casos más resonantes de ramsomware.

Sufrir un ataque que ponga en riesgo los datos personales de los usuarios no debe verse sólo como un problema económico o de imagen de marca. Las implicancias son todavía mucho mayores. Elizalde explica que si existe un incidente que perjudica la privacidad de terceros, el Directorio y la Gerencia (alta y media) son civilmente y penalmente responsables. “Habrá que revisar las medidas preventivas que se hayan tomado para excluir o mitigar esa responsabilidad”, subraya.

 

LA NUBE. Con la llegada de la nube el problema de la ciberseguridad se complejiza todavía más. “La responsabilidad por pérdidas de la información de terceros que se encuentre en la nube no se delega. Se delega la seguridad, no la responsabilidad legal”, explica Elizalde. Es por ello que las aseguradoras aún miran con recelo a la nube. Al igual que otras industrias, las aseguradoras que se animan a la nube, prueban primero con sistemas no estratégicos.

“Creo que uno de los principales desafíos está justamente en ceder los datos a un tercero que brinde ese tipo de servicio, y no necesariamente por falta de protección o seguridad, sino porque este tipo de tecnología, con el fin de garantizar su disponibilidad 7x24, hace uso de distintos puntos de almacenamiento alrededor de mundo, y las leyes de protección de datos personales pueden variar significativamente de país en país, o en algunos casos pueden hasta no existir”, explica Fernandez Bedoya. “Llevar los documentos a la nube es como dejar en manos de un tercero la billetera con todas las tarjetas para que las cuide, pero no sabemos dónde la cuidará”, agrega Elizalde.

Bonina, tiene una visión similar sobre la problemática de la nube. “El principal desafío de los servicios en la nube es garantizar las mismas medidas de seguridad con que cuenta la compañía -señala-. Muchos proveedores están adaptados a eso o pueden adaptarse y otros lamentablemente no cuentan con la infraestructura para hacerlo”.

El responsable de seguridad de QBE explica que antes de la contratación de un servicio en la nube es importante hacer una revisión de seguridad porque “los contratos y acuerdos de confidencialidad no sirven de mucho una vez que la información ya se fugó”. Además, al igual que Allianz, llama a revisar la información sobre dónde se alojarán los servidores del proveedor de nube, ya que las regulaciones existentes en otros países podrían significar un riesgo en la seguridad, pero también en el cumplimiento de la regulación.

Allianz tomó como decisión directamente no hacer uso de la nube, ni siquiera para aplicaciones no estratégicas. “Hemos analizado en su momento a un proveedor que, si bien cumplía con todos los requisitos de seguridad que necesitábamos, el problema que tenía era dónde se almacenaba el dato dado que sus leyes de protección de datos personales no cumplían los requisitos de nuestra actual ley”, apunta.

El escenario es complejo y las aseguradoras recién se están preparando. Además de la adecuación bajo la norma ISO 27001, Bonina apunta la creación de controles, análisis y remediación de vulnerabilidades constantes tanto en infraestructura como en código fuente de aplicaciones. Además, recomienda hacer una revisión de terceras partes (entre los que se encontrarían los proveedores de nube) y monitoreo de la información en movimiento para detectar y prevenir el envío de la información fuera de la compañía o por canales inseguros. Esto, junto a lo que él denomina “una larga lista de etcéteras”, son las bases de la política de ciberseguridad de QBE.

Allianz, en tanto, cuenta con un Departamento de Seguridad de la Información que tiene a su cargo el Plan de Continuidad del Negocio y la Protección de Datos Personales. Desde allí se publican políticas, normas y procedimientos, se concientiza al personal y se toman decisiones sobre inversión en herramientas tecnológicas de seguridad.

 

Leticia Pautasio

 

Publicado el 10/11/2017
 
DANIEL BONINA, ADMINISTRADOR DE SEGURIDAD Y DE RISGOS DE IT DE QBE
GRATIS EN SU E-MAIL
Suscríbase a la newsletter digital de Revista Estrategas
Reciba en forma gratuita las noticias, informes y alertas de Revista Estrategas en su e-mail. Al hacer click en el siguiente botón, se abrirá una nueva ventana.
ESTRATEGAS: Av. Santa Fé 3996 Piso 13 Of. 113 [C1425BHO] Ciudad Autónoma de Buenos Aires, Argentina. Tel. 4831-2627
Firenox Internet