Amenazas internas
Un estudio demostró que existen 5
tipos de incidentes internos, causados por los empleados, que tienen potencial
para amenazar uno o más componentes de seguridad de los procesos de negocio:
Provecho propio: un empleado se
aprovecha de su función al proveer el servicio que el proceso proporciona para
sí mismo, sus amigos o su familia, en lugar de los clientes que pagan.
Violación de políticas: un empleado hace a un lado la política de la compañía.
Esto puede ser por un sin fin de razones, conveniencia o falta de conocimiento,
siendo éstas las dos principales. Colusión externa: un empleado, junto con uno
o más de afuera, conspiran para interrumpir o desviar el proceso o cometer
fraude. Robo de datos: los datos son replicados o robados, causando la
violación de la confidencialidad de un proceso. Los datos robados pueden
proveer al ladrón información acerca del proceso y su funcionamiento interno;
cosas que supuestamente no debe conocer y que le proporcionarán una visión para
más adelante permitirle el abuso del proceso para beneficio personal.
Malversación: un empleado gana dinero o desaparecen otros valores.
Amenazas externas
Las amenazas dependerán en gran
medida del proceso mismo. Para determinar la magnitud de las amenazas al proceso,
las preguntas deberían hacerse acerca de lo que hace el proceso, y quién
(potencialmente) podría beneficiarse de estos tipos específicos de
interrupciones, como las transacciones ilícitas o retrasadas. Como regla
general, la mayoría de los procesos son susceptibles a alguna forma de
interrupción, desviación o abuso, en algunos casos para beneficio personal,
pero en otros, la “mentalidad hacker” entra en juego y los procesos son
comprometidos por ninguna otra razón más que el jactarse de los derechos.
Las amenazas externas están
evolucionando. Antes, un hacker o kiddy script pagaba la visita, y posiblemente
dañaba un proceso; hoy los peligros son mucho mayores. Los ataques lentos y
bajos montados por el crimen organizado, con tiempo virtual y recursos ilimitados,
se están volviendo más comunes. Este tipo de ataques penetran lentamente las
defensas, e inician una interrupción bien pensada, generalmente descubierta por
la organización cuando ya es demasiado tarde. Aún más, el enfoque de estos
ataques ya no sólo es infligir daños, o quebrar un servidor web; más bien el
objetivo es obtener dinero o servicios de la víctima.
Es de vital importancia tener en
cuenta que estos ataques no necesitan estar basados en TI. Una organización
criminal, con suficiente tiempo y dinero, puede lentamente manipular a los
empleados de la organización objetivo a través de técnicas sociales, o plantar
a alguien de su propia gente como un espía. En el montaje como ataques
directos, firewalls de red, dispositivos de seguridad, e incluso los guardias
de seguridad a la entrada de los locales, son completamente ineficaces. El
espía, una vez en el lugar, se encuentra en una posición ideal para provocar
daños serios a la organización, mientras realiza los deberes diarios de su
puesto de trabajo.
La pregunta más difícil que
enfrentan las empresas es simplemente, ¿cómo puedo hacer esto? Cada proceso es
diferente; es decir, no existe un enfoque estandarizado que pueda aplicarse de
forma fiable para el escrutinio de las vulnerabilidades.
En el siguiente número: Los
elementos que debe incluir un proceso o proyecto para la mejora de la
seguridad.
