Por qué la ciberseguridad es esencial para la tranquilidad de la seguridad física

La era de los dispositivos conectados promete muchas cosas:al combinar datos digitales de sistemas analógicos previamente desconectados, podemos ofrecer nuevos conocimientos e innovaciones para mejorar la eficiencia y la seguridad en nuestros hogares y lugares de trabajo. Sin embargo, la primera regla de la innovación debe ser "no hacer daño", lo que en el caso de Internet de las cosas (IoT) significa tener los conceptos básicos de ciberseguridad en primer lugar.

El impulso está cambiando rápidamente en los campos de la videovigilancia y la seguridad física. Si bien el viaje a la nube había sido más lento que en otros sectores, cada vez más los sistemas de CCTV, control de acceso y audio se están conectando a la red y, por lo tanto, se integran en las redes y procesos de TI para brindar una protección física más inteligente.

Pero este cambio a la nube también crea muchas más oportunidades comerciales. Los datos de video en tiempo real de las cámaras conectadas a la red, por ejemplo, se pueden combinar con información de otros sistemas para desarrollar nuevas fuentes de valor comercial a través del análisis en la nube.

Esto se puede ver en las tiendas minoristas, que comúnmente implementan cámaras de vigilancia en red para prevenir o identificar a los ladrones. La conexión de esas mismas cámaras a una suite de análisis en la nube también puede brindarles a los gerentes minoristas la capacidad de detectar automáticamente la acumulación de colas y generar alertas, o comprender mejor el flujo de tráfico alrededor de una tienda.

El riesgo constante de los sistemas conectados

Pero si las empresas desconfían de las cámaras conectadas, tienen buenas razones para estarlo. El ataque de denegación de servicio distribuido (DDoS) más grande del mundo, que desactivó muchas aplicaciones populares de Internet como Dropbox, Netflix, Uber y más a fines de 2016, se lanzó en parte desde cientos de miles de cámaras de vigilancia en red comprometidas. El malware Mirai que dirigió el ataque tomó el control de los dispositivos en red probando combinaciones comunes de nombre de usuario y contraseña predeterminados, como admin:admin.

Dos años y medio después de estos importantes incidentes, sigue siendo cierto que se venden demasiados productos de seguridad física de grado profesional con poca o ninguna consideración por las mejores prácticas de ciberseguridad, y aún fallan las pruebas básicas de supervisión, como las credenciales predeterminadas. Se sigue haciendo hincapié en la velocidad de comercialización y la reducción de costes. No se presta suficiente atención al control de calidad, el desarrollo de productos "seguro por diseño" y los procesos efectivos para el soporte posventa con actualizaciones de firmware y control de activos.

Esto socava críticamente el potencial de estos dispositivos para cumplir. Si la promesa de IoT en seguridad física es la de un mundo mejor y más seguro, no se puede lograr si los equipos pueden introducir nuevas vulnerabilidades en la red de un cliente.

Los fabricantes de equipos originales deben esforzarse mucho para garantizar que los dispositivos sean adecuados para su propósito y se pueda confiar en ellos para la innovación. Requiere inversión en habilidades y procesos internos, y una comunicación clara y transparencia en toda la cadena de suministro. ¿Todos los componentes cumplen con los rigurosos estándares que un cliente tiene derecho a esperar?

Sin embargo, es igualmente importante la inversión que se debe realizar en la educación del usuario final. El mercado es muy sensible a los precios y los clientes necesitan una guía clara para comprender los riesgos que implica la compra de equipos de proveedores desconocidos que no están configurados correctamente.

Y más allá de eso, la conciencia debe ir más allá del departamento de TI. Todos en una organización deben comprender la importancia de los procesos de adquisición correctos, ya que la reducción de costos y la simplicidad de uso de los dispositivos de IoT modernos dificultan su control. Un CIO puede tener la mejor estrategia implementada, pero si un gerente comercial compra equipos con una tarjeta de crédito y los agrega a la red corporativa, ¿quién es responsable de garantizar que los productos sean seguros?

Las regulaciones han aumentado su conocimiento

Dicho esto, las empresas se están volviendo más conscientes de los riesgos de ciberseguridad que presentan los dispositivos conectados a la red, y 2018 vio muchos cambios regulatorios para contrarrestar las amenazas. El Reglamento General de Protección de Datos (GDPR) comenzó a aplicarse, al igual que la Directiva sobre seguridad de redes y sistemas de información (Directiva NIS).

Ambas directivas imponen las mismas sanciones económicas sustanciales en caso de incumplimiento. Las multas monetarias elevadas tienen el potencial de debilitar a las empresas, por lo que es imperativo que las empresas pertinentes actúen con la debida diligencia para cumplir con sus requisitos.

Ya hemos sido testigos de la imposición de multas de GDPR en el Reino Unido y la UE relacionadas con el despliegue de sistemas de CCTV. Recientemente se informó que los piratas informáticos en el Reino Unido irrumpieron en los sistemas de CCTV de las escuelas y transmitieron imágenes de los alumnos en vivo en Internet. Es comprensible que esto haya ganado mucha publicidad negativa; después de todo, enviamos a nuestros hijos a la escuela con la expectativa de que estarán a salvo, y los sistemas de seguridad están ahí para protegerlos en lugar de ponerlos en riesgo.

Seleccionar los socios tecnológicos adecuados es fundamental

En nuestro panorama de seguridad convergente, la selección del socio tecnológico adecuado nunca ha sido tan importante. Los profesionales de la seguridad deben reconocer que la ciberseguridad no es solo un problema de TI y comprender los riesgos de ciberseguridad asociados a una empresa relacionados con la implementación de sistemas de seguridad físicos y electrónicos. Si bien la digitalización de la seguridad física es un espacio tremendamente emocionante en el que estar en este momento, para que continúe, como industria debemos abordar mejor el problema de la ciberseguridad y pronto.