martes, 29 de agosto de 2006

La contaminación de contenidos como nueva amenaza.

Leo hoy vía la sección de Tecnología de "El País" una noticia titulada "El phishing llega a las bolsas".
Este nuevo fenómeno que han denominado "Pump and Dump" pudiera ser considerado ya como una amenaza que representa la "contaminación de contenidos". Como se indica en el artículo del País, "consiste en identificar una empresa de poca entidad, que tenga poco volumen de negociación, y “atacar” sus valores después de llenar la cartera de ellos, para hacer que su precio suba artificialmente. Terminada la faena se vende de golpe y se recogen beneficios."
En este caso concreto, el fraude previamente requiere de las técnicas del phishing para hacerse con cuentas de brokers online con las que poder comprar valores para que suba su cotización.

Derivaciones de esta amenaza pudieran ser suplantar la identidad de personas con prestigio que informen de tendencias de mercado incorrectas y que generen reacciones de vendedores y compradores "pre-diseñadas" para que el atacante obtenga beneficio.

Este tipo de amenazas ya se veían venir. Lo bueno de publicar un post es que además dejas evidencia de ello, como puede leerse tanto en los pronósticos de in-seguridad que hice para el año 2005 como en el post dedicado a este posible(en aquel tiempo solo era posible) tipo de amenaza

Y es que cuando pensamos en seguridad de la información la mente se nos va o bien hacia la disponibilidad o bien hacia la confidencialidad. Evidentemente ambas propiedades son importantes pero también debemos ser conscientes del "coste" que tiene la información "incorrecta".

Actualmente disponemos de sistemas de información capaces de procesar ingentes cantidades de datos pero, ¿tenemos sistemas de información que garanticen la "calidad de los tratamientos" que realizan.

En Auditoría de Sistemas de Información, y sobre todo en los cursos de preparación del CISA se nos insistía continuamente en la necesidad de establecer procesos de control tanto a la entrada de datos como durante su procesamiento y en la generación de salidas. Este tipo de controles solemos encontrarlos robustos y fuertes sobre los sistemas transaccionales que sufren auditoría o gestionan procesos de la organización que se auditan.

En cualquier empresa normal podemos encontrarnos datos incorrectos, obsoletos o no actualizados. ¿Alguien calcula el coste "oculto" de estos errores"? ¿Alguien establece controles para detectar estas anomalías?

Creo que empieza cada vez más a tener sentido utilizar los esquemas de gestión que ya se aplican a la calidad para garantizar el correcto funcionamiento de las actividades de procesamiento de información. Al final, al cliente se le presta un servicio que depende principalmente de la "calidad" de la información que disponemos sobre el y la gestión de sus necesidades debe traducirse en la correcta manipulación de sus datos. Podemos pensar por ejemplo en servicios de atención telefónica o de banca online como ejemplos de ellos, donde se entiende por calidad "el correcto tratamiento de nuestra información".

1 comentarios:

Alvaro Paz dijo...

Un blog muy interesante.

Un saludo

 
;