Guía Esencial

Navegue en las secciones

BACKGROUND IMAGE: iSTOCK/GETTY IMAGES

Este contenido es parte de Guía Esencial: Cambios en las redes empresariales: Sepa cómo aprovecharlos
Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

Seguridad definida por software: una respuesta para las redes bancarias

¿Cómo simplificar redes bancarias sin crecer la superficie de ataque, o segmentarlas sin aumentar su complejidad? Con seguridad definida por software

En el 2013, la Oficina del Contralor de la Moneda de Estados Unidos señaló a la ciber delincuencia por primera vez como uno de los principales riesgos para los bancos. Este año, los reguladores fueron aún más allá, enfocándose específicamente en intrusiones potenciales a la red. Una investigación del Instituto Ponemon Unisys descubrió que casi el 70% de las organizaciones de infraestructura crítica encuestadas informaron al menos una violación de seguridad que provocó la pérdida de información confidencial o la interrupción de operaciones durante los últimos 12 meses.

Estamos observando que los cibercriminales colocan cada vez más su atención en las redes de los bancos –en los datos en movimiento– para aprovecharse de los tesoros lucrativos de información que circulan dentro de estas instituciones financieras (entre sucursales, centros de datos y empleados) y fuera de ellas (hacia y desde proveedores, con la Reserva Federal, los clientes, bancos beneficiarios, comerciantes, reguladores y más).

Es difícil exagerar la delicadeza de esos datos. La seguridad de los registros personales que, en ocasiones, incluyen nómina e información médica, se ve sobrepasada. Finanzas envía y recibe mensajes delicados; Wall Street y los organismos de cumplimiento hacen lo mismo con los reguladores.

Pero no solo los intrusos colocan en riesgo la seguridad, sino también el número de personas con acceso legítimo a las redes, incluyendo los empleados que utilizan el autoservicio vía la red bancaria, los clientes que compran en línea o hacen uso de las ofertas del propio banco y, evidentemente, el uso creciente de la banca móvil.

Si bien una de las preocupaciones principales de los funcionarios bancarios de seguridad son los hackers, lo cierto es que también temen que un empleado bancario entre en el sistema para archivar un informe de gastos desde su tableta, en un restaurante de comida rápida, y se encuentre con datos que deberían estar segregados. Las exposiciones accidentales son malas para la reputación y buenas para los hackers.

Hasta ahora, muchos bancos que buscan una mayor agilidad de red y mayor rentabilidad han tenido que hacer ajustes a costa de la seguridad. Durante los últimos años, varios bancos han respondido a las presiones de costos “aplanando” sus redes, que solían ser complejas y en capas. Esto ha reducido la complejidad de la configuración, al reducir el número de dispositivos que deben ser gestionados, disminuyendo igualmente el costo del mantenimiento de sus redes, acelerando su capacidad de realizar cambios y reduciendo la latencia al hacer más eficiente el tráfico entre fuente y destino.

Sin embargo, además de las ventajas mencionadas, se ha ganado también una mayor superficie de ataque y una visibilidad de información que, de otra manera, no se otorgaría a los usuarios legítimos. Estas redes planas comúnmente fallan al segregar la información, de manera que los atacantes pueden ver todos los puntos finales de los datos en movimiento y potencialmente acceder a cada sistema involucrado. Si tienen las habilidades y el tiempo suficiente para ejecutar sus ataques, podrían causar muchos daños.

Otros bancos han resistido ante la presión de aplanar sus redes, optando por redes en capas con la esperanza de obtener una mejor protección. Pero estas redes presentan un tipo diferente de vulnerabilidad: las consecuencias accidentales.

Las redes en capas dentro de los bancos suelen ser complejas y usualmente desarticuladas. Realizar cambios en ellas, como una actualización de producto o la integración de un nuevo dispositivo de banca online, implica un esfuerzo que lleva tiempo, que es riguroso y laborioso y que involucra a múltiples equipos. Mientras más estratificada y compleja sea la red, más grande será la posibilidad de que se omita un paso y con ellos la conexión se vuelva vulnerable a las intrusiones.

Así que, ¿cómo pueden obtener los bancos lo mejor de ambos mundos? ¿Cómo pueden aplanar la red sin exponer una superficie amplia a los intrusos, o segmentar la red sin crear un monstruo costoso y complejo?

La clave radica en cambiar la segmentación física por una segmentación lógica. La seguridad definida por software (SDS) hace posible dividir una red empleando la lógica. En vez de contar con barreras físicas y de infraestructura –como LAN virtuales, enrutadores y firewalls– los usuarios que consiguen pasar el firewall encuentran barreras virtuales. No importa qué tan plana sea la red, ellos no podrán atravesarla debido a las barreras lógicas que los limitan, a través de "comunidades de interés" predefinidas y segmentadas por claves cifradas.

Esas claves cifradas separan a los usuarios en grupos y permiten el acceso exclusivamente a las instancias donde radica el trabajo y la función del usuario. Los cajeros no ven la información financiera; Recursos Humanos no ve los datos de CRM; los hackers no ven los mensajes de pago.

Con SDS no solo se evita que el usuario pueda explorar otras partes del sistema, sino que esas “otras partes” ni siquiera están visibles. Por ello, los administradores de red pueden entonces facilitar el acceso a los usuarios de acuerdo a su perfil, pues no hay necesidad de medidas de inicio de sesión draconianas si las áreas prohibidas están ocultas a la vista.

Investigue más sobre Gestión de la seguridad de la información

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close