red seguridad 074
fraude 20 red seguridad tercer trimestre 2016 usuario y su cargo, a qué departa- mento pertenece o qué asignaciones tiene (por ejemplo, turno de día o de noche), cuándo se registró en los sistemas, a través de qué IP, con qué ordenador y, fundamentalmente, qué estaba haciendo”, explicó el especia- lista de GMV. Inteligencia empresarial A continuación, tomó la palabra Enrique Polanco , socio director de la empresa Global Technology 4E, quien de inicio advirtió que “muchas veces el fraude no es lo que se cree y está donde no se ve”. Por eso, es impres- cindible utilizar la inteligencia para poder detectar el fraude. “Para mí, la palabra inteligencia lo es todo, aunque luego a partir de ahí se pueden poner distintos apellidos como ‘competitiva’, ‘económica’, ‘corporativa’…”, apuntó. En cualquier caso, e independiente- mente de su nomenclatura, las organi- zaciones deben realizar análisis de inte- ligencia, los cuales han de ser “locales, convergentes y multidireccionales”. Precisamente, el directivo abogó por la convergencia de todas ellas hacia una “inteligencia empresarial” y manifestó: “El fraude es el riesgo para la empresa. Por eso, es conveniente realizar análisis de riesgos, observar las vulnerabilidades y establecer medi- das de defensa, todo lo cual lleva a la inteligencia empresarial”, que para Polanco sería “la contramedida”. Seguidamente, el ponente recalcó la importancia de contar con distin- tos sistemas de obtención de inte- ligencia, entre los que mencionó la electrónica, las comunicaciones, las señales, las finanzas, la humana… Todo ello, de manera coordinada y conjunta, sirve para luchar contra el fraude no sólo en las organizaciones privadas, sino también en las institu- ciones públicas. “La Unión Europea cuenta con avanzados sistemas de información e inteligencia para com- batir el fraude. E incluso dispone de la OLAF, la Oficina Europea Antifraude, que coordina todas sus acciones”, explicó Polanco, la cual lleva recupe- rados 1.100 millones de euros desde su fundación en 1999. Ahora bien, dependiendo del tipo de empresa u organismo, su estructura, el sector donde opera y sus particularidades intrínsecas habrá que enfocar esa inteligencia de una forma u otra. Servicios esenciales La siguiente ponencia estuvo dedi- cada a analizar el fraude destinado a causar daño en los servicios esen- ciales para el buen funcionamiento de la sociedad como la energía, el gas, el petróleo o las finanzas. Para ello, Enrique Martín , Key Account Manager de S21sec, expuso que existe una gran cantidad de infraes- tructuras consideradas críticas que no guardan la protección adecuada, sobre todo por malas prácticas. “Hay redes de control que utilizan los mis- mos sistemas operativos que hace muchos años, los cuales no se han parcheado; conexiones de las redes con el exterior que desconocen los CISO; redes abiertas a los provee- dores; o mecanismos de seguridad obsoletos…”, explicó el directivo. Sin embargo, la Ley de Protección de Infraestructuras Críticas intenta que las empresas pongan remedio a todos esos inconvenientes apostando por la seguridad integral. En este sentido, el directivo abogó por la cooperación entre los orga- nismos públicos y privados y por la adaptación de todos ellos a los nuevos tiempos. “Un malware en una infraestructura de TI puede ser un problema, pero si se detecta en una central nuclear, las consecuencias pueden ser catastróficas”, puntualizó. Por tanto, tan decisivo es controlar y vigilar las soluciones de TI como las de OT, porque, tal y como confirmó, “se está evolucionando hacia ataques a los procesos; por ejemplo, ponien- do en riesgo tuberías y generadores o abriendo y cerrando válvulas de paso. Todo con el objetivo de causar daños económicos y un impacto en la cuenta de resultados”, añadió Martín. De hecho, ahora ya no resulta extraño atacar piezas que empiezan a incor- porar protocolos TCP/IP como los variadores de motores o los sistemas de detección de incendios y de video- vigilancia. Infraestructuras críticas José Ignacio Carabias , jefe de Área del Centro Nacional de Protección de Infraestructuras Críticas (CNPIC), explicó los ejes del modelo de segu- ridad diseñado para estos entornos. “Nosotros siempre hemos abogado especial seg 2 encuentro de la seguridad integral José Carlos Baquero (GMV). Enrique Polanco (Global Technology 4E). La Inteligencia, la tecnología y el aporte de valor de los profesionales son claves para combatir el fraude en las organizaciones GLOBAL TECHNOLOGY ConsultoríadeSeguridadGlobal e Inteligencia
Made with FlippingBook
RkJQdWJsaXNoZXIy MTI4MzQz