Seguritecnia 366
50 SEGURITECNIA Julio - Agosto 2010 L a globalización, la evolución y el abaratamiento de la tecno- logía, así como su aplicación tanto en el ámbito personal como pro- fesional, hacen que los entornos clá- sicos de la seguridad física y lógica se vean predestinados a unificar esfuerzos y acercar posturas, aprovechando siner- gias e integrándose entre sí. De hecho, la convergencia no debe limitarse úni- camente a la seguridad física y lógica, sino a la gestión global del riesgo. Desde el punto de vista físico, las herramientas de monitorización y de gestión de alarmas se sustentan en plataformas TIC que cada vez más fre- cuentemente utilizan tecnología IP, con el objeto de ser administradas y monitorizadas remotamente. Dichas herramientas son utilizadas para la vi- gilancia de recintos correspondientes a la Administración, empresas, infraes- tructuras críticas, etc. En consecuen- cia, dichos sistemas deben contem- plar en su diseño, uso y evolución las mejores prácticas de seguridad TIC. Este hecho provoca que las técni- cas de hacking ético utilizadas para verificar la seguridad lógica sean de aplicación directa en infraestructuras de seguridad física. Concretamente, se ha percibido un incremento de la demanda en auditorías inalámbricas y análisis de seguridad de aplicacio- nes web, para determinar si se puede manipular o modificar el comporta- miento de sistemas de videovigilancia y de gestión de alarmas. Por otro lado, desde un punto de vista lógico, el sector financiero está siendo sacudido internacionalmente por un incremento espectacular en el fraude electrónico. Las entidades fi- nancieras han apelado históricamente a su capacidad de ‘tracear’ las tran- sacciones para combatirlo. Sin em- bargo, esta capacidad ha tenido que evolucionar al ritmo que lo ha hecho la profesionalización, sofisticación y automatización del fraude, y han te- nido que buscar alternativas ante la incapacidad de contener la propaga- ción de troyanos y de concienciar a los usuarios. En este sentido, se han implementado sistemas de seguridad y control basados en el conocimiento de sus clientes, del flujo e intercepta- ción del malware y del entendimiento y la definición de reglas que diferen- cien lo normal de lo que no lo es. Todo este esfuerzo en TI se puede considerar ineficiente si no se ve res- paldado por una redefinición de pro- cedimientos operativos que derive en la verificación física y en el regis- tro tanto del cliente bancario como de las ‘mulas’ (personas que prestan sus cuentas a delincuentes), encarga- das de la retirada en ventanilla del di- nero proveniente del fraude electró- nico. Para una buena gestión global del riesgo es fundamental e imprescindi- ble la alineación de los distintos ám- bitos de la seguridad. En este sen- tido, los Sistemas de Gestión de Se- guridad de la Información (SGSI) y los Sistemas de Gestión de Continuidad de Negocio (SGCN) son claros impul- sores de la ansiada convergencia, ya que proponen un marco común para el análisis de impacto y la aplicación de controles. De hecho, determina- dos aspectos han sido pioneros y han servido de guía para marcos regula- torios tales como el Esquema Nacio- nal de Seguridad (ENS). Entre las me- didas globales incluidas en el ENS, y dentro del marco de protección, se contemplan controles de seguridad física similares a los recogidos en el capítulo 9 de la ISO/IEC 27002. S Las técnicas de ‘hacking’ ético se aplican hoy directamente en infraestructuras de seguridad física La gestión global del riesgo OBJETIVOS COMUNES EN GESTIÓN DE SEGURIDAD Javier Osuna Jefe de la División de Consultoría, Seguridad y Procesos de GMV
Made with FlippingBook
RkJQdWJsaXNoZXIy MTI4MzQz