Identidad digital

Y Ciberseguridad

Es posible que en algunas ocasiones la premura de contener ciertos riesgos en seguridad obligue a los expertos en IT a concentrar sus esfuerzos en flancos operativos de la infraestructura olvidando a los usuarios y su incidencia en la ciberseguridad, y en otras oportunidades, dadas las circunstancias de transformación digital acelerada que demanda la coyuntura actual, se concentran en iniciativas de escalamiento de seguridad en la nube debido a preocupaciones sobre esta sin contexto previo e indicios, descuidando a veces la red, las aplicaciones, las bases de datos locales y los accesos.

La atención sobre lo inmediato puede dar lugar a la pérdida de oportunidades de escalamiento crítico necesario, prevención y a un gasto inapropiado desde su gestión.

Sobre este sesgo a solucionar se puede traer a colación un dato interesante: las vulnerabilidades de día cero representaron aproximadamente el 0,4% de los incidentes de la última década, pero incluso, la cantidad gastada en tratar de detectarlos está desequilibrada con los riesgos reales que plantean aún, insólito y sorprendente.

Los expertos en Seguridad de la organización (CISO, por sus siglas en inglés), deben encontrar un equilibrio entre lo que se necesita en un programa de seguridad y los riesgos que deben asumir para que el negocio avance, y están esperando desde las áreas no especializadas en IT de la organización. Sin este equilibrio, las organizaciones pierden oportunidades y el CISO puede verse como una costosa distracción en la mente de los líderes empresariales. Claro, eso puede ser más fácil de decir que de hacer.

La transformación digital puede estar avanzando a una velocidad cada vez mayor, por lo que abordajes tradicionales de los riesgos de seguridad en el andamiaje IT y dejar al margen los comportamientos de los usuarios desde la forma en que se administra y gestiona su identidad a menudo no ayudan. Cambiar el punto de vista conceptual y/ o emocional con el que se ve una situación de riesgo, hacia un nuevo marco de referencia que se ajuste a los “hechos” de la realidad que hoy son tendencia y definen las necesidades de ciberseguridad, es nuestra invitación principal desde INFOMEDIA SERVICE.

Como contexto podemos aportar que los aspectos críticos de ataques a la identidad digital, luego de la coyuntura sanitaria y la digitalización récord de 2020, son un escenario en el que los CISO y sus CEO deben moverse con rapidez en análisis e implementación de medidas de ciberseguridad que den sustento a las operaciones de sus organizaciones en muchas industrias.

En este sentido, y evidenciando la tendencia se pronostica que el mercado global de biometría móvil crecerá a un impresionante 31,14%, agregando $28,45 mil millones por año en crecimiento incremental entre 2018 y 2023. Las previsiones de crecimiento del último conjunto de informes de analistas de mercado que indican una adopción generalizada de la tecnología biométrica dicen que se distribuye en: 22% para biometría móvil, 22% para sensores 3D y 19% para biometría sanitaria, lo que muestra la reacción creciente ante una problemática de seguridad basada en la identidad digital en todo el mundo.

En otro campo, el mercado de la tecnología de huellas dactilares en la banca y las finanzas podría crecer a un ritmo del 16,2%, según el nuevo informe “Biometría para la banca y los servicios financieros” de Global Industry Analysts.

El informe prevé un mercado total de más de $7.000 millones de dólares para 2025, con un crecimiento anual del 15,5% durante el periodo previsto. Por su parte, el informe “Global Mobile Biometrics Market 2019-2023” sugiere que los sensores 3D y los sensores de huellas dactilares integrados en la pantalla son un motor de crecimiento cada vez mayor. Los expertos aseguran que en países como Colombia, aunque todavía nos encontramos en las primeras etapas de la verificación y autenticación de identidad basada en datos biométricos, su desarrollo servirá como una solución viable para la creciente epidemia de fraude que estamos evidenciando.


En los siguientes capítulos, encontrará conceptos e información clave de ciberseguridad e identidad digital que le ayudarán a entender el tema. Un asesor de Infomedia puede ayudarle a configurar la solución que su organización necesita

Tabla de contenidos

Amenazas de ciberseguridad

Una analista global, BioCatch, dice entre las predicciones que ha compartido para el periodo 2020-2022 que los datos biométricos de selfies generarán dinero en la web oscura, lo que es una llamada de atención para usuarios y empresas que ahora están más interconectados que nunca, para que mejoren sus soluciones y medidas de ciberseguridad, tanto para sus procesos de negocios como para garantizar la privacidad de sus clientes.

Es un hecho que cada vez más sitios web y aplicaciones están recurriendo a la verificación basada en selfies y más flujos de apertura de cuentas en línea están pasando de controles obsoletos, como la autenticación basada en el conocimiento, a controles más modernos como la coincidencia de autofotos. Y es ahí donde se debe tener más cuidado y contar con asesoría de expertos en ciberseguridad e identidad digital, pues algunos delincuentes se centrarán en recopilar datos de fuentes abiertas y redes sociales para intentar fraudes.

Los cambios demográficos impulsarán la adopción de la IA en la industria financiera, predicen expertos internacionales. Y destacan que la experiencia del cliente y la detección de fraudes irán de la mano en la forma en que la industria financiera fideliza y da soporte a sus clientes, ya que según estudios, los Millennials tienen 2.5 veces más probabilidades que los Baby Boomers y 1.5 veces más probabilidades que los Gen X, de cambiar de banco ante amenazas de seguridad. El aprendizaje automático y la inteligencia artificial cumplirán una doble función en los servicios financieros y la banca para potenciar procesos de seguridad basados en Identidad Digital.

Ahora, es muy claro que la autenticación biométrica es más segura que los métodos de autenticación tradicionales basados en claves, sin embargo, los atacantes generalmente no buscan huellas dactilares, datos faciales o escaneos de retina, si no que quieren el acceso que se esconde detrás de los métodos de autenticación seguros.

Entonces, las organizaciones deben ser conscientes de que cada vez que eso sucede, los datos biométricos deben estar encriptados y los activos detrás de la autenticación son seguros, por lo que es importante siempre contar con la asesoría y acompañamiento de expertos como INFOMEDIA SERVICE para que esto sea así en los sistemas que implementan.

Detectar, responder y reportar

Aunque la probabilidad de que los CISO experimenten en sus sistemas empresariales más organizados un gran ataque cibernético o de rescate es de aproximadamente un 1%, todos los CISO pueden aprender de sus compañeros menos afortunados.

Para esto pensemos en un personaje hipotético: Miguel, CISO de un gran sistema hospitalario. Trabaja en una industria altamente regulada. Es responsable de los datos de cientos de miles de pacientes, y la protección de esos datos y el cumplimiento de las regulaciones es su principal prioridad.

Una mañana, Miguel descubre que su hospital fue blanco de un ataque de phishing dirigido. Los sistemas están caídos y el cuidado de los pacientes está paralizado. Está aturdido. ¿Cómo, se pregunta, podrían él y su equipo, todos profesionales de seguridad experimentados, ser engañados por el método más común de ciberataque? ¿Y cómo podrían dejar que eso paralizara su organización?

A la mañana siguiente, varios miembros del equipo de junta y administración del hospital hicieron estas preguntas. Miguel explica que su equipo de seguridad de la información estaba corto de personal y bajo presión para introducir varias nuevas tecnologías con plazos comprimidos, sin embargo, propuso un marco de trabajo a corto y mediano plazo que había consultado con amigos expertos en ciberseguridad, quienes le recomendaron esta triada de acciones que requiere de alinear a toda la organización:

DETECTAR

(PREVENIR PRIMERO)

El objetivo de la ciberseguridad es prevenir un incidente o una infracción. La prevención es la táctica más rentable y requiere un plan de acción detallado.

Establecer y comprender el presupuesto que necesitará para mantener un programa de ciberseguridad: asegurar su financiación.

En la mayoría de los casos, se puede implementar medidas de seguridad exitosas sin grandes capitales si se es eficaz en comunicar los objetivos dentro de la organización.

Desarrollar una cultura de concienciación sobre ciberseguridad en la organización. Los empleados no solo deben seguir las mejores prácticas, sino también comprender los riesgos cibernéticos específicos dentro de la red. Esto debe incluir políticas y procedimientos establecidos, así como capacitaciones.

Evaluar los riesgos actuales, ojalá apoyarse en un tercero que haga su propia verificación para contrastar hallazgos. Aplicar lo que se aprende y jerarquiza de esta evaluación para priorizar tareas y proteger los sistemas de forma consciente, sobre todo redes y aplicaciones estratégicamente de acuerdo a sus niveles de interacción.

RESPONDER

Esta planificación no es solo para empresas expansivas y complejas, de grandes operaciones y oficinas. Los incidentes cibernéticos ocurren en empresas de todos los tamaños y la respuesta a incidentes es relevante para todas las empresas. La misma tecnología que continúa revolucionando las industrias puede paralizar fácilmente a cualquier tipo de organización. De hecho, existe la posibilidad de que su empresa haya sufrido una filtración de datos durante el último año cuando la digitalización se aceleró.

Enfrentar y sortear un incidente de manera segura y exitosa, requiere de establecer un plan de respuesta a incidentes para que el personal clave lo siga en caso de una infracción o ataque, a tiempo, con precisión y articulación. Para este plan, se debe:

Definir lo que califica como un “incidente”. Esto será diferente para cada empresa de acuerdo a sus capas de trabajo que dependan de sistemas integrados y el impacto de la digitalización en su operación crítica.

Establecer políticas claras de ciberseguridad y respuesta a incidentes, protocolos y procedimientos con base en una jerarquización de estos.

Determinar el personal clave al que se alertará cuando se identifique un incidente, este será el equipo de respuesta a incidentes.

Es indispensable registrar y monitorear todo lo que ocurre en caso de un incidente para tener referencias que fortalezcan las acciones posteriores.

Hay que crear protocolos para informar, notificar y comunicar incidentes dentro de la organización a todos los niveles y con otras partes relevantes de acuerdo al tipo de ataque.

Desarrollar una práctica forense. La inclusión de este elemento en el manejo de incidentes asegurará que haya documentado un proceso lógico y documentado para defender las acciones tanto por razones técnicas como por obligaciones legales.

REPORTAR

Hay muchos tipos de incidentes de ciberseguridad, se calcula que una empresa promedio puede necesitar hasta 280 días para descubrir el impacto de un incidente de espionaje o robo de información. Muchos de los incidentes no se reportan pues se cree que no implican la seguridad de la operación crítica o no tienen alcance financiero.

Sin embargo, sin importar lo que la organización considere, cualquier ataque o incidente que implique o se relacione con datos personales, tendrá que informarse a los usuarios, clientes y autoridades. Esto significa que un incidente que burle las medidas y sistemas de seguridad, que puede ser accidental o deliberada, y que lleve a un indicio de violación de datos personales que una organización almacena y/o usa, que puede permitir la destrucción, pérdida, alteración, divulgación no autorizada de, o acceso a, datos personales, debe ser reportada en su integridad.

La mayoría de las legislaciones establecen que dentro de las 72 horas siguientes a su conocimiento, debe ser reportado el incidente a menos que pueda demostrar que es poco probable que resulte en un riesgo para los derechos y libertades de los ciudadanos como usuarios o clientes.

Por esto es tan importante la Prevención-Detección y la Respuesta, y en estos pilares de ciberseguridad, con redes y plataformas cada vez más interactivas y extendidas, la identidad digital cobra una relevancia que su organización necesita entender, abordar y administrar.

¿Qué son los datos biométricos?

La biometría es el proceso mediante el cual los rasgos físicos únicos y otros rasgos de una persona son detectados y registrados por un dispositivo o sistema electrónico como un medio para confirmar la identidad. El término “biometría” se refiere al análisis estadístico de observaciones y fenómenos biológicos.

Dado que los identificadores biométricos son exclusivos de las personas, son más confiables para verificar la identidad que los métodos basados en tokens y conocimientos, como tarjetas de identidad y contraseñas, de acuerdo al concepto de expertos en ciberseguridad. Los identificadores biométricos, o modalidades, a menudo se clasifican como “fisiológicos” o “conductuales”.

Los identificadores biométricos fisiológicos están relacionados con partes físicas de una persona e incluyen: reconocimiento de huellas dactilares, geometría de la mano, olor/ olor, escaneos de iris, ADN, huella de la palma y reconocimiento facial.

Las tecnologías biométricas son sistemas o aplicaciones que están diseñados para emplear datos biométricos derivados de identificadores o modalidades biométricas. Un sistema biométrico es un proceso automatizado que:

recopila o captura datos biométricos a través de un dispositivo de identificación biométrica, como un escáner de imágenes para huellas dactilares o patrones de venas de la palma o una cámara para recolectar escaneos faciales y del iris,

extrae los datos de la muestra real enviada,

compara los datos escaneados con los capturados como referencia,

compara la muestra enviada con plantillas y

determina o verifica si la identidad del titular de los datos biométricos es auténtica.

Las tecnologías biométricas también pueden clasificarse según el tipo de biometría que se utiliza en el sistema. Las tecnologías se utilizan típicamente para identificar a las personas y sus características en una base de datos, como antecedentes penales, o para autenticar la identidad de las personas para otorgarles acceso a recursos, dispositivos o instalaciones informáticas.

Tecnología de escaneo de retina

Desarrollado en la década de 1980, el escaneo de retina es una de las tecnologías biométricas más conocidas, pero también es una de las menos implementadas.

Los escáneres de retina mapean los patrones únicos de la retina de una persona. Los vasos sanguíneos dentro de la retina absorben la luz más fácilmente que el tejido circundante y se identifican fácilmente con la iluminación adecuada.

Una vez que el dispositivo de escaneo captura una imagen de la retina, un software especializado compila las características únicas de la red de vasos sanguíneos de la retina en una plantilla. Los algoritmos de escaneo de retina requieren una imagen de alta calidad y no permitirán que un usuario se registre o verifique hasta que el sistema pueda capturar una imagen de calidad suficiente. La plantilla de retina generada suele ser una de las más pequeñas de cualquier tecnología biométrica.

La retina contiene al menos tantos datos individuales como una huella dactilar, pero, a diferencia de una huella dactilar, es un órgano interno y es menos susceptible a modificaciones intencionales o no intencionales. Ciertas afecciones y enfermedades relacionadas con los ojos, como las cataratas y el glaucoma, pueden hacer que una persona no pueda utilizar la tecnología de exploración de retina, ya que los vasos sanguíneos pueden oscurecerse.

Los dispositivos de escaneo de retina se usan principalmente para aplicaciones de acceso físico y generalmente se usan en entornos que requieren grados excepcionalmente altos de seguridad y responsabilidad, como aplicaciones gubernamentales, militares y correccionales de alto nivel. El escaneo de retina ha sido utilizado por varias agencias del gobierno de los Estados Unidos, incluida la Oficina Federal de Investigaciones (FBI), la Agencia Central de Inteligencia (CIA) y la NASA.

¿Qué hacer en caso de un ciberataque?

A medida que los miembros de la junta se dan cuenta de lo crítico que es la seguridad y la gestión de riesgos, están haciendo a los líderes preguntas más complejas y menos matizadas. Están cada vez más informados y más preparados para desafiar la eficacia de los programas de seguridad de sus empresas.

En el capítulo 2 abordamos el caso de Miguel, CISO de un gran sistema hospitalario. Trabaja en una industria altamente regulada. Es responsable de los datos de cientos de miles de pacientes, y la protección de esos datos y el cumplimiento de las regulaciones es su principal prioridad.

Fue el encargado de responder ante la junta y la gerencia por un ataque que paralizó las operaciones del hospital. Miguel trabajó con expertos y diseñó una estrategia de ciberseguridad que se centró en una triada de acciones: Detectar-Prevenir, Responder y Reportar, que tienen como uno de sus ejes críticos la identidad digital frente a incidentes de ciberseguridad y atacantes.

Al presentar su estrategia, Miguel fue abordado con varios interrogantes por el cuadro directivo de su organización, de las que extraemos 5 preguntas que a cualquier CISO seguro le harán en un escenario de ataque y reacción en ciberseguridad.

Dirigir y parchear las vulnerabilidades conocidas. Evaluar los recursos existentes y asegurar la inversión en una combinación igual de soluciones de detección y prevención.

Mantener al equipo de análisis y mantenimiento al tanto de las tendencias de ciberseguridad y comprender el impacto de amenazas.

Ante el ataque actuar, seguir el protocolo, no buscar responsables aún. Una de las etapas más importantes de la respuesta al incidente es centrarse en las causas de fondo. Apuntar con el dedo a otros no resuelve nada.

Definir el manejo del comportamiento anti-phishing (APBM) y divulgarlo continuamente. Este es un elemento crítico de una estrategia de seguridad centrada en las personas.

Proteger la puerta de enlace del correo electrónico, mejorar la verificación de identidad. Los proveedores de puertas de enlace de correo electrónico seguro (SEG) están incorporando cada vez más métodos de phishing dirigidos. Los más eficaces son el proxy y las técnicas de análisis y filtrado por tiempo de clic.

Aislar los sistemas vulnerables. Los sistemas que aún no se han visto afectados por el malware pueden seguir siendo vulnerables, y suelen ser los más confiables. Una solución temporal útil: Limitar la conectividad de la red cuando se produce una brecha o un ataque.

Reducir la dependencia de los datos personales estáticos. En su lugar, aumente la confianza en los datos de identidad dinámicos cuando se realice una verificación de identidad para limitar la exposición a brechas de datos.

¿Está preparado para las preguntas de seguridad que plantee su jefe?

A medida que los miembros de la junta se dan cuenta de lo crítico que es la seguridad y la gestión de riesgos, están haciendo a los líderes preguntas más complejas y menos matizadas. Están cada vez más informados y más preparados para desafiar la eficacia de los programas de seguridad de sus empresas.

Supongamos que usted trabaja en un sector altamente regulado como lo es el de la salud . Es responsable de los datos de cientos de miles de pacientes, y la protección de esos datos y el cumplimiento de las regulaciones es su principal prioridad.

Es el encargado de responder ante la junta y la gerencia por un ataque que paralizó las operaciones del hospital. Usted trabajó con expertos y diseñó una estrategia de ciberseguridad que se centró en una triada de acciones: Detectar-Prevenir, Responder y Reportar, que tienen como uno de sus ejes críticos la identidad digital frente a incidentes de ciberseguridad y atacantes.

Al presentar su estrategia, el CEO le aborda con varios interrogantes planteados por el cuadro directivo de su organización, de las que extraemos 5 preguntas probables que se deben responder con certeza:

1. ¿Estamos 100% seguros?
¿Está seguro el sistema?

Por qué se pregunta: Preguntas como esta son hechas a menudo por miembros de la junta directiva que no entienden realmente la seguridad y el impacto en el negocio. Es imposible estar 100% seguro o protegido. El papel del CISO es identificar las áreas de mayor riesgo y asignar recursos finitos para manejarlas en base al apetito del negocio.

Cómo responder: Puede ser algo como: “Considerando la naturaleza siempre cambiante del panorama de amenazas, es imposible eliminar todas las fuentes de información de riesgo. Mi papel es implementar controles para manejar el riesgo. A medida que nuestro negocio crece, tenemos que reevaluar continuamente cuánto riesgo es apropiado. Nuestro objetivo es construir un programa sostenible que equilibre la necesidad de protegerse contra la necesidad de dirigir nuestro negocio”.

2. ¿Qué tan malo es el escenario que enfrentamos?
¿Qué hay de lo que pasó en la compañía X?
¿Cómo nos comparan con otras compañías?

Por qué se pregunta: Los miembros de la junta se encontrarán con informes de amenazas, artículos, blogs y presión regulatoria para entender los riesgos. Siempre preguntarán sobre lo que hacen los demás, especialmente las organizaciones de pares. Quieren saber cómo es el “clima” que vive la organización y la percepción del público.

Cómo responder: Lo primero es que hay que evitar adivinar la causa de un problema de seguridad en otra empresa: “No quiero especular sobre el incidente en la empresa XYZ hasta que haya más información disponible, pero estaré encantado de hacer un seguimiento con ustedes cuando tenga más datos concretos”. Considere la posibilidad de discutir una serie de respuestas de seguridad más amplias, como la identificación de una debilidad similar en el sector y cómo se está arreglando o la actualización de los planes de continuidad de la empresa con base en recomendaciones generales.

3. ¿Sabemos cuáles son nuestros riesgos?
¿Qué debe quitarnos el sueño?

Por qué se pregunta: La junta sabe que aceptar el riesgo es una elección (si no lo hacen, es un desafío que el CISO debe resolver). Quieren saber que los riesgos de la compañía están siendo manejados. Los CISO deben estar preparados para explicar la tolerancia al riesgo de la organización para defender las decisiones de gestión de riesgos y la no existencia del 100% seguros.

Cómo responder: Explique el impacto empresarial de las decisiones de gestión de riesgos y asegúrese de que sus puntos de argumentación están respaldados por pruebas. Cualquier riesgo que esté fuera del nivel de tolerancia requiere un remedio para ponerlo dentro de la tolerancia en términos de impacto en el negocio, la reputación o lo legal. Esto no requiere necesariamente cambios drásticos en períodos cortos de tiempo, hay que tener cuidado de que esto quede claro para no afectar la percepción de costos. La junta buscará garantías de que los riesgos materiales se están gestionando adecuadamente, y de que los enfoques sutiles y a largo plazo pueden ser apropiados en algunos casos, por eso es importante tener siempre un plan listo con implementación en curso antes de dar solo respuestas.

4. ¿Estamos asignando los recursos apropiadamente?
¿Estamos gastando lo suficiente?
¿Por qué estamos gastando tanto?

Por qué se pregunta: La junta querrá asegurarse de que los líderes de seguridad y gestión de riesgos no se queden quietos. Los miembros de la junta querrán saber acerca de las métricas y el retorno de la inversión.

Cómo responder: Utilice un enfoque de cuadro de mando integral en el que la capa superior exprese las aspiraciones empresariales y el rendimiento de la organización frente a esas aspiraciones se ilustre mediante un sencillo mecanismo de semáforo. En la medida de lo posible, explique las aspiraciones en términos de rendimiento empresarial, no de tecnología. El rendimiento se sustenta en una serie de medidas de seguridad que se evalúan utilizando un conjunto de criterios objetivos. Hay que hablar de impactos y costos tangibles.

5. ¿Cómo sucedió esto? Pensamos que los responsables
tenían esto bajo control. ¿Qué salió mal?

Por qué se pregunta: Se pregunta cuando un incidente o evento ha ocurrido y la junta ya lo sabe o el CISO les informa de ello.

Cómo responder: Hay que compartir lo que sabe y lo que está haciendo para averiguar más. Sobre todo lo que ya se está implementando. Sin duda, es indispensable reconocer el incidente, proporcionar detalles sobre el impacto comercial, describir los puntos débiles o las lagunas que deben resolverse y proporcionar un plan de mitigación y una de corrección. La responsabilidad de la supervisión de la seguridad y el riesgo sigue recayendo en el líder de la seguridad, pero la rendición de cuentas del negocio siempre tiene que definirse a nivel de la junta/ejecutivo, así que no todo es responsabilidad de una área.

Es altamente recomendable, que en un escenario de estos se llegue con acciones de implementación rápida y acciones de largo plazo. Entre las primeras, el control de acceso y uso de redes y plataformas críticas para un negocio o la operación de una organización es primordial, y para esto la adopción de distintas tecnologías de seguridad de la identidad digital es un buen principio.