1. Autenticación multi-factor obligatoria para todas las cuentas
El problema:
La autenticación multi-factor (MFA) no es nueva. De hecho, un gran número de organizaciones tiene acceso o usa MFA para las cuentas de sus empleados o clientes. Sin embargo, muchas empresas, especialmente bancos y financieras, no requieren MFA para las cuentas de sus clientes. Algunas ni siquiera requieren actualizaciones de contraseñas (pese a que es debatible si esto hace que las cuentas sean más seguras o no).
A fines de 2016, un banco en Brasil sufrió una gran pérdida cuando su información de banca online fue redirigida, por un hacker, a un servidor falso. Ellos no tenían habilitada la autenticación multifactor. En un artículo sobre la filtración, Payments Source señala que “una simple autenticación de un solo paso, podría haber alterado los administradores DNS a [violación de Seguridad DNS] antes de que los hackers fueran capaz de tomar control de todos los sistemas”.
JPMorgan Chase es otro ejemplo de una institución financiera que fue atacada porque no tenía implementada la MFA en uno de sus servidores. “Los atacantes robaron las credenciales de registro a un empleado de JPMorgan y fueron capaces de acceder al servidor”, reporta Secure Link. “Eventualmente, fueron capaces de obtener acceso a más de 90 servidores en el banco”.
La solución:
Por sí mismas, las contraseñas ya no son un método válido para proteger la información bancaria de los clientes. Para combatir potenciales violaciones de datos, utilice autenticación multi-factor para todas las cuentas en su organización. En lugar de hacerlo optativo (permitir que las cuentas activen y desactiven la MFA), impleméntelo como un nivel obligatorio de protección, que será mucho más difícil de hackear y comprometer.
Nuestro consejo:
¿Qué capas de autenticación debería usar? Algunos bancos eligen una combinación de contraseñas, pins, preguntas de Seguridad y mensajes de texto SMS. Este artículo de la Autoridad Regulatoria de la Industria Financiera destaca que muchas instituciones financieras están comenzando a implementar también la autenticación biométrica, como el uso de huellas digitales y el reconocimiento de voz.
Una vez implementada la MFA, aplíquela sobre cada log-in, no solo cuando se enfrente a una actividad extraña o una transacción compleja. Puede parecer una molestia al principio, pero ¿qué es peor? ¿Un cliente o un empleado que tarda 20 segundos más en acceder a su cuenta o un serio golpe a sus finanzas y su reputación?
Para conocer más sobre cómo la autenticación multi-factor potencia la Seguridad de sus datos, vea este video con Robin Tatam, Director de Tecnologías de Seguridad de Fortra.
2. Chips EMV y combinaciones de PIN para tarjetas
El problema
En los últimos años, los bancos y las financieras han experimentado una lenta transición de tarjetas con bandas magnéticas solamente, a tarjetas con bandas, chips EMV y pins. La fecha límite para pasar a una tecnología EMV fue en octubre de 2015 para los Estados Unidos, pero a fines de 2016, muchas organizaciones todavía no lo habían hecho. Para aquellas que todavía no lo hicieron, puede convertirse en una gran oportunidad para que los hackers roben la información de sus clientes.
La solución:
Mientras que los chips EMV no pueden evitar las filtraciones de datos u otros intentos de fraude de tarjetas, pueden hacer que la información robada de las tarjetas de crédito sea menos útil para los hackers. De acuerdo a Vantiv, el proveedor de soluciones de procesadores de tarjetas de crédito y POS, “la banda magnética [en las tarjetas tradicionales] contiene datos inmutables que son utilizados cada vez que una compra es realizada”, haciendo que la tarjeta sea riesgosa y un objetivo “primario" para los hackers”. Los chips EMV, por otra parte, crean información única para cada transacción, que nunca se almacena en la tarjeta. Entonces, aunque un hacker logre robar datos de una sola transacción, inmediatamente se vuelven inútiles.
Nuestro consejo:
Si todavía no ha cambiado a tarjetas con chip EMV, hágalo pronto. No detendrá fraudes, pero removerá algunos agujeros de su organización y ayudará a limitar la información que los hackers pueden robar de sus clientes. Si ya ha cambiado a la tecnología EMV, considere sumar la verificación PIN por sobre la de chip y firma. Muchos bancos se han resistido al cambio, generando un inconveniente para los clientes, porque las firmas son muy fáciles de falsificar. Al menos, los PINs ofrecen una capa final de Seguridad entre alguien con una tarjeta de crédito robada y el dinero de su cliente
Pay Junction, un proveedor de cuentas mercantiles, se manifiesta en favor del método de Seguridad chip y PIN. “Si deja a un lado las preocupaciones a corto plazo por la Seguridad a largo plazo, las tarjetas EMV con verificación de chip y PIN son la mejor opción. En el caso de una pérdida o robo de tarjeta, la verificación de PIN es más efectiva para combatir fraudes porque los PINs están almacenados de forma segura en la tecnología del chip”.
3. Soluciones de Transferencia Segura de Archivos para asegurar sus datos
El problema:
PCI DSS requiere que los bancos y las financieras “utilicen una potente encriptación y protocolos de Seguridad como SSL/TLS, SSH o IPSec para guardar de forma segura los datos de los titulares de tarjetas de crédito durante una transmisión en redes públicas y abiertas”. Esto significa que todos los datos transferidos a través de internet, la nube, o desde una locación remota a otra, deben estar encriptados con protocolos de red seguros.
Los datos que no están encriptados de forma apropiada, ya sea en movimiento o en reposo, sufren el riesgo de ser comprometidos. En 2017, una base de datos que contenía 20.000 clientes de Scottrade Bank, fue violada. La base de datos no estaba encriptada y exponía los números de Seguridad social, nombres y otra información personal, además de las credenciales de empleados. Lamentablemente, esto se podría haber evitado con tácticas básicas de Seguridad Informática y una mínima planificación.
La solución:
Asegure cada archivo, carpeta y base de datos en redes públicas o privadas con métodos potentes de encriptación, como AES y OpenPGP (si los datos están en reposo) y SFTP, FTPS, AS2, y HTTPS (si está enviando o recibiendo datos). PCI DSS puede requerir que los bancos y financieras solo almacenen de forma segura la información en tránsito de los clientes, pero como se dio cuenta Scottrade Bank, los datos pueden comprometerse también desde adentro.
Nuestro consejo:
Implementa una solución de Transferencia Segura de Archivos (o Managed File Transfer, MFT) en su organización. MFT lo ayudará a proteger sus datos de filtraciones, con métodos potentes de Seguridad y encriptación, al mismo tiempo que agiliza su proceso de transferencias de archivos para ahorrar tiempo y recursos.
GoAnywhere MFT, nuestra solución integral de transferencias de archivos, proporciona conexiones seguras para la transmisión de datos, integración con aplicaciones críticas, Seguridad basada en roles y autenticación de usuarios, un reporte de auditoría de configuraciones de Seguridad para el cumplimiento con PCI DSS, flujos de trabajo que puede ser automatizados y planificados, carpetas seguras, mail, formularios para proteger sus activos, y más.
¿Está interesado en ver cómo GoAnywhere MFT puede ayudarlo a cumplir con sus necesidades de Seguridad y alcanzar el cumplimiento con PCI DSS? Solicite una demostración con uno de nuestros especialistas de producto.
4. Cree e implemente un Programa de Concientización de Seguridad
El problema:
El phishing sigue siendo una de las formas más frecuentes de comprometer la información confidencial de una empresa. Solo un email malicioso puede generar un riesgo financiero muy alto, si se tiene en cuenta que el costo global de una filtración de datos es de un promedio de $3 millones de dólares. ¿Lo peor? Las filtraciones generadas mediante el phishing son totalmente evitables.
No es un secreto: la mayor vulnerabilidad de las empresas que combaten el phishing es el error humano. Dark Reading, una comunidad online de profesionales de Seguridad, explica el enigma en el resumen de su reciente estudio sobre la herramienta de email phishing PhishMe: “[El reporte] encontró que el 91% de los ataques informáticos comienza con phishing, y las principales razones por las que las personas son engañadas por emails maliciosos, son la curiosidad, el miedo y el sentido de urgencia".
Los bancos no son inmunes a estos comportamientos. El Banco de Canadá, por ejemplo, ha luchado mucho para evitar que sus empleados hagan click en emails o adjuntos sospechosos. El Financial Post escribió que “los humanos son la conexión débil en la defensa central de Seguridad Informática del banco. Además de empleados engañados para abrir emails maliciosos, existieron usuarios que descargaron malware mientras navegaban por la web o por emails de compras enviados a sus direcciones de email corporativas”.
La solución:
La mayoría de las personas sabe que no debe hacer click en links o archivos adjuntos sospechosos, provenientes de remitentes externos o instituciones en las que nunca han comprado. Sin embargo, a medida que tomamos más conciencia, también lo hacen los hackers. La mayoría de los malware y engaños están ocultos detrás de emails provenientes de remitentes válidos, como el CEO de la compañía o el Departamento de Contabilidad.
Puede conocer más sobre estrategias de phishing y cómo protegerse, aquí.
Nuestro consejo:
¿Cuál es la mejor forma de combatir este tipo de phishing? Educar a los empleados y empoderarlos.
Haga que la Seguridad Informática sea un tema central en su organización. Delinee y arme una estrategia para desarrollar un programa de concientización sobre Seguridad y luego impleméntelo, comenzando por los empleados involucrados en el proceso. Requiera sesiones de capacitación frecuentes para mantener a toda la compañía al día con las últimas vulnerabilidades y políticas de Seguridad, pero hágalo entretenido. Cuantos más empleados se sientan empoderados e incluidos en el éxito de la organización, más comprometidos se sentirán a seguir las medidas de Seguridad de forma apropiada.
En 2017, entrevistamos a Kathryn Anderson, de Backbone Consultants, quien ayudó a crear el programa de concientización de Seguridad de una empresa de alimentos de Fortune 500. Al momento de implementar un programa anti-phishing, se dio cuenta que “la Seguridad era parte de la responsabilidad laborar de los empleados y no algo en lo que solo un grupo de nerds debía trabajar”.
No deje que su equipo sea el problema. Conviértalos en valiosos defensores de la Seguridad, al enseñarles las mejores prácticas para su organización.
5. Identifique sus debilidades con una Evaluación de Riesgo
El problema:
No puede saber cuáles son su vulnerabilidades de Seguridad si no puede verlas. Con las filtraciones de datos en constante amenaza, es imperativo para bancos y financieras examinar profundamente cada parte de su organización. Sistemas, cuentas de usuarios, dispositivos utilizados en la red, incluso proveedores pueden ser culpables de agujeros en su Seguridad Informática.
De acuerdo a este artículo sobre Seguridad Informática y cumplimiento regulatorio, “los riesgos informáticos tienen un amplio alcance a nivel empresarial, y las instituciones financieras se encuentran en una posición desafiante. En banca, la motivación por la innovación digital, tecnologías disruptivas y la entrega de una experiencia más personalizada a los clientes, incorpora nuevas amenazas”. Debido a estos cambios y mejoras constantes, los bancos y las financieras suelen quedarse a mitad de camino en sus evaluaciones de riesgo. En la vorágine de progreso y objetivos de Negocio, se pierden de los detalles más pequeños.
La solución:
Para combatir las vulnerabilidades de Negocio y eliminar los agujeros en su Seguridad Informática, realice frecuentes evaluaciones de Seguridad en su organización. La mayoría de los bancos y las financieras solo necesitan hacerlo anualmente para cumplir con PCI DSS. Sin embargo, no está de mas realizarlas con mayor frecuencia, especialmente cuando se suman nuevos proveedores, nuevas locaciones, oficinas, o nuevos dispositivos.
Nuestro consejo:
Encuentre una forma de agilizar sus evaluaciones. Las evaluaciones de riesgo manuales pueden realizarse, pero consumen mucho tiempo y dan lugar al error humano. También puede usar un software para automatizar sus evaluaciones. Una buena solución sería registrar y auditar su actividad de logs, asegurar sus archivos, proporcionar una buena administración de claves, y ejecutar reportes que revisen y exporten información importante de sus sistemas. Una solución aún mejor hará todo eso, y lo ayudará a cumplir con los requerimientos de PCI DSS.
Si está utilizando IBM i en su organización, solicite nuestro Security Scan Gratuito para tener un panorama del estado de su sistema, identifique vulnerabilidades y recibir sugerencias sobre los pasos que debe tomar para proteger sus datos.
Solicite una demostración en vivo de GoAnywhere MFT
Descubra cómo una solución de Managed File Transfer le permite automatizar, encriptar y auditar sus transferencias de archivos. Solicite, sin compromiso, una demostración en vivo de GoAnywhere MFT. Uno de nuestros expertos lo guiará a través de las principales funcionalidades de nuestra solución.
