18 diciembre 2019

Por qué es fundamental mantener actualizada la seguridad de los sistemas heredados

Los sistemas heredados albergan información esencial para las aseguradoras, pero también pueden representar un riesgo para la seguridad. Cuanto más antiguo se vuelve un sistema heredado, menos capacidad tiene para mantenerse al día con los nuevos desarrollos tecnológicos, lo que lo deja vulnerable a las amenazas digitales. Los sistemas heredados más antiguos también tienen menos probabilidades de tener los desarrolladores originales o la documentación disponible como referencia.

Los sistemas heredados son aquellos que ya no son compatibles con sus desarrolladores o que no pueden cumplir con los estándares de cumplimiento actuales, dice Miriam Cihodariu, oficial de comunicaciones y relaciones públicas de Heimdal Security. Pueden ser sistemas operativos o plataformas diseñadas para uso interno, así como software orientado al cliente.

Las compañías de seguros no tienen que desechar sus sistemas heredados por completo. Sin embargo, las aseguradoras deben asegurarse de cumplir con las regulaciones aplicables y proteger a los clientes y a la empresa de la exposición con seguridad de sistemas heredados dedicados.

Por qué las aseguradoras deben abordar la seguridad de los sistemas heredados

El cibercrimen es un gran negocio. La piratería informática y actos similares le costaron a la economía global $ 3 billones en 2015 y se prevé que cuesten hasta $ 6 billones por año para 2021, dice el fundador de Cybersecurity Ventures, Steve Morgan. Un estudio realizado por el profesor asociado de la Universidad de Maryland, Michel Cukier , estima que los piratas informáticos atacan un sistema informático en algún lugar del mundo cada 39 segundos en promedio.

Los sistemas heredados, con sus configuraciones obsoletas o que no cumplen, ofrecen un acceso más fácil para aquellos que buscan robar datos de compañías de seguros o causar travesuras digitales.

¿Por qué las organizaciones aman sus sistemas heredados?

Los sistemas heredados son de uso común en empresas y otras organizaciones en todo el mundo. A menudo, las organizaciones continúan utilizando software obsoleto porque ese software sirve como soporte vital para sistemas o información críticos.

Por ejemplo, cuando Microsoft anunció que ya no admitiría Windows XP en 2014, el Departamento de Defensa de EE. UU. se acercó para buscar apoyo mientras el Pentágono hacía la transición a Windows 10. Aproximadamente el 30 por ciento de las computadoras en todo el mundo todavía ejecutaban Windows XP en 2014, incluidos varios sistemas militares críticos de Estados Unidos, según el periodista de tecnología Jeremy Hsu.

Las organizaciones también pueden optar por continuar utilizando sistemas heredados para maximizar el valor de su inversión en el software y su mantenimiento. «Al invertir en infraestructura, las organizaciones lo hacen con la expectativa de obtener una cierta duración del producto. Este ciclo de vida se convierte en parte de presupuestos amortizados de varios años y planes de negocios de los que los funcionarios financieros son reacios a apartarse a menos que sea absolutamente necesario», dice Jaime Manteiga, investigador de seguridad de la información y fundador de Venkon.us.

Finalmente, los sistemas heredados pueden mantenerse porque son piezas de software personalizadas que hacen exactamente lo que el negocio necesita, agrega Manteiga. Reemplazar estos sistemas personalizados puede ser costoso y difícil.

Sin embargo, el hecho de que un sistema heredado sea común, valioso o indispensable no significa que esté libre de riesgos. A menudo, las compañías de seguros se encuentran utilizando sistemas heredados que plantean riesgos de seguridad significativos, porque no hay mejor opción. Por ejemplo, es posible que una plataforma importante no tenga un reemplazo funcional, o que una pieza de software funcione pero no cumpla con las últimas leyes o regulaciones de seguridad. En estos casos, es imprescindible prestar atención a la seguridad de los sistemas heredados.

Una entrada fácil.

Es fácil ver cómo la seguridad obsoleta en un sistema heredado puede poner en peligro la información almacenada en ese sistema. Estos sistemas, sin embargo, también plantean riesgos para todos los demás sistemas de la red de una compañía de seguros.

Por ejemplo, imagine una aseguradora cuyos sistemas de información incluyen un servidor con un sistema operativo de quince años que contiene una vulnerabilidad conocida. Esa vulnerabilidad, si no se aborda, se convierte en una puerta abierta para el acceso no autorizado.

«Si los atacantes obtienen acceso a esta máquina sin parches (que es mucho más fácil que piratear un servidor moderno y bien parcheado), pueden moverse lateralmente más profundamente en la red», explica Lior Neudorfer, vicepresidente de productos de la empresa de seguridad en la nube y centros de datos Guardicore.

Este ejemplo no es del todo imaginario. En mayo de 2019, Microsoft lanzó un parche para Windows XP y Windows Server 2003. Si bien ambos sistemas operativos se acercan a su vigésimo cumpleaños, todavía se ejecutan como parte de los sistemas de TI de muchas organizaciones, escriben Daniel Goldberg y Ophir Harpaz en Guardicore.

Los piratas informáticos ya buscan los nodos menos seguros en una red para obtener acceso. En un ejemplo famoso, los piratas informáticos usaron un sensor de pecera inteligente para acceder a la red en un casino de Las Vegas, y finalmente violaron una base de datos sobre información sobre los clientes del casino, datos que el casino había pensado que estaban protegidos.

«Alguien usó la pecera para ingresar a la red, y una vez que estuvieron en la pecera, escanearon y encontraron otras vulnerabilidades y se movieron lateralmente a otros lugares de la red», dice Justin Fier, director de inteligencia y análisis cibernético de la compañía de inteligencia cibernética Darktrace.

Al igual que las peceras, los sistemas heredados pueden representar la parte más débil de la red de una compañía de seguros, lo que hace que toda la infraestructura de TI sea vulnerable.

Desafíos de seguridad de datos en sistemas heredados

Los sistemas heredados con frecuencia se encuentran en el centro de los desafíos de seguridad de datos. «Los sistemas de TI heredados a menudo están en el centro de los incidentes de violación cibernética, y debido a que el desmantelamiento generalmente no es una opción, los profesionales de seguridad de la información deben administrar el riesgo», dice Bobby Ford, vicepresidente y director global de seguridad de la información de Unilever.

Los sistemas heredados plantean una serie de desafíos para los equipos de TI. Por ejemplo, las nuevas actualizaciones de software, incluidos los parches de seguridad, son más difíciles de aplicar a sistemas más antiguos. Un sistema heredado también puede carecer de documentación adecuada de sus controles de seguridad existentes. Sin esta documentación, a los equipos de TI les resulta más difícil agregar firewalls, unidades de cifrado, detectores de malware y otras herramientas de seguridad, escribe la ingeniera senior Susan Crozier Cox del Instituto de Ingeniería de Software de la Universidad Carnegie Mellon.

Además, los equipos de TI enfrentan una mayor presión cuando intentan mantener seguro un sistema heredado. El equipo no solo debe mantenerse actualizado sobre los riesgos y herramientas de seguridad en constante cambio, sino que también debe asegurarse de que esos riesgos y herramientas se comprendan y adapten correctamente en el contexto de un sistema heredado, el mismo sistema para el que puede no existir la documentación adecuada.

Todos estos desafíos pueden hacer que los sistemas heredados sean desalentadores de mantener y proteger. Al mismo tiempo, los costos financieros y los inconvenientes de cambiar a un sistema completamente nuevo pueden parecer igual de desalentadores.

Prácticas recomendadas para las actualizaciones de seguridad de sistemas heredados

Los sistemas heredados a menudo juegan un papel clave en el negocio diario de una aseguradora de P&C. Seguir las mejores prácticas para actualizar y preservar la seguridad del sistema heredado puede ayudar a las compañías de seguros a garantizar que puedan usar los datos de su sistema heredado de manera segura.

Trabajar en equipo.

La seguridad de los sistemas heredados requiere la ayuda de profesionales de seguridad de TI experimentados, pero el proyecto no puede dejarse únicamente en sus manos. En cambio, los profesionales de la seguridad y los profesionales de negocios deben trabajar juntos.

«El papel de los profesionales de seguridad es evaluar la probabilidad y el impacto potencial de un ataque cibernético, mientras que el papel de los [profesionales] de negocios es identificar qué sistemas y procesos son los más críticos», explica Ford.

Amplíe sus horizontes de seguridad.

Muchas compañías de seguros buscan construir ecosistemas comerciales, asociándose con otras compañías para colocar a la aseguradora exactamente donde deben estar para ayudar a los clientes en cada etapa de su viaje de vida.

Varias tecnologías apoyan la creación de ecosistemas, como el uso de interfaces de procesamiento de aplicaciones (API) para conectar software y sistemas para mejorar la transferencia y el intercambio de datos. Sin embargo, cuando los sistemas heredados se incluyen en un ecosistema impulsado por API, el proceso se vuelve más complejo, especialmente cuando faltan pautas para proteger la tecnología heredada, escribe Shuvo G. Roy, jefe de soluciones bancarias y de mercados de capitales de Mphasis.

Los sistemas heredados no tienen por qué impedir que una compañía de seguros construya un ecosistema viable. Sin embargo, las aseguradoras y sus socios del ecosistema se beneficiarán al considerar los desafíos de seguridad adicionales que surgen cuando los sistemas heredados entran en la ecuación.

Adopte la eficiencia.

Los costos de actualizar a una nueva plataforma pueden parecer abrumadores. Sin embargo, pueden ser considerablemente más bajos que los costos de continuar amamantando a lo largo de un sistema heredado obsoleto.

Por ejemplo, un informe de la GAO estima que alrededor del 80 por ciento del presupuesto de TI de $ 90 mil millones del gobierno federal se gasta en operar y mantener sistemas más antiguos, incluidos los sistemas heredados que pueden tener más de cincuenta años en algunos casos. Con el tiempo, los sistemas heredados consumen partes del presupuesto de cualquier organización que podrían gastarse mejor en actualizar nuevas tecnologías. Ante el costo de la actualización, algunas empresas recurren a los parches de firmware para modernizar los sistemas heredados. Si bien los parches pueden ser efectivos en algunos casos, la práctica a menudo termina costando más con el tiempo que una actualización, dicen David Dedinsky y Ricardo Duque de Vertiv.

«Los sistemas no están optimizados, lo que conduce a tasas de utilización alarmantemente bajas y servidores zombis ineficientes», escriben. Los parches de firmware pueden ayudar a que un sistema heredado cojee, pero no abordan los problemas subyacentes que hacen que el sistema heredado sea una mala opción para la inversión continua.

Opciones como los sistemas envolventes pueden ayudar a las compañías de seguros a mejorar la eficiencia y continuar sirviendo a los clientes mientras trabajan en medidas de seguridad y actualizaciones, dice Kumar Utpal, gerente regional de ventas para banca y seguros en In2IT. Cuando la seguridad tiene prioridad, las compañías de seguros pueden encontrar formas de utilizar su inversión existente y, al mismo tiempo, incorporar gradualmente tecnologías actualizadas.

Imágenes de: everythingpossible/©123RF.com, Konstantin Pelikh/©123RF.com, Evgeniy Shkolenko/©123RF.com

News