5 recomendaciones de ciberseguridad para la industria de seguridad electrónica

5 recomendaciones de ciberseguridad para la industria de seguridad electrónica

Actualmente el éxito de un proyecto que involucre seguridad electrónica no solamente pasa por consideraciones sobre precio, calidad, compatibilidad o nivel de integración, sino que además, aparece el tema —fundamental— de observar la ciberseguridad, donde los datos, y en general toda la información sensible de nuestros clientes y clientes de éstos, esté protegida y no sea vulnerable ante ataques, al menos no a través de los propios sistemas de seguridad que estamos instalando y conectando a la red del cliente. 

Ricardo Pulido, Director de Ventas para América Latina y el Caribe de Johnson Controls

Eso sería la más grande ironía: Que un cliente sea hackeado justamente a través de los mismos sistemas de seguridad que lo deben proteger.  Esta confianza de protección sólo la puede dar un fabricante que cuente con un “Programa” (Departamento) de Ciber Seguridad, debidamente validado: FISMA, FIPS, PACS.

Sin embargo, este componente no se toma suficientemente en serio hoy en día, en palabras de Ricardo Pulido, Director de Ventas para América Latina y el Caribe de las fábricas de productos de seguridad de Johnson Controls: “Este aspecto de la ciberseguridad el gremio no lo está sopesando, no le está dando la importancia que debe tener; cuando debería ser una muy seria preocupación de los gobiernos, de las grandes compañías, de las pequeñas y medianas empresas, incluso todos quienes en sus hogares usan aplicaciones de seguridad o automatización”.

En entrevista con TECNOSeguro, el ejecutivo aporta cinco recomendaciones de ciberseguridad a tener en cuenta a la hora de abordar cualquier proyecto —como integrador o como cliente final— que involucre seguridad electrónica.

1. Abordar con la seriedad necesaria el concepto de ciberseguridad

Es frecuente que en la industria se piense que cuando se habla de ciberseguridad se hace referencia a un software o a una característica técnica de los productos, pero en realidad es mucho más que eso: la ciberseguridad es o debe ser, un Departamento en sí mismo dentro de las compañías fabricantes, que debe ser ajeno al de I+D y al de producto, de hecho, es este Departamento el que va a auditar a los demás.

En opinión de Pulido, “en esta área es donde se prueban, por ejemplo, actualizaciones, desarrollos y tiempos de respuesta ante vulnerabilidades detectadas. El programa de ciberseguridad debe ser algo continuo, vivo, retroalimentado, que cuesta dinero, una unidad independiente dentro de la fábrica, con profesionales especialistas enfocados en detectar qué tan vulnerables son los sistemas y cómo corregir esa potencial debilidad. En estos departamentos hay grupos especiales a los que se les entrega el SDK y el código con el objetivo de “romperlo” y probar sus características de seguridad. Todo esto cuesta dinero, es sin duda una gran inversión que en todo caso se revierte en la confiabilidad que se crea en los integradores y de allí a los clientes finales. Cabe preguntarse en el panorama colombiano y de América Latina, ¿Cuántas empresas del gremio tienen ese Departamento, más conocido como Cyber-Security Program?”.   

2. Tome decisiones basadas en algo más que el precio

Está comprobado que gran cantidad de los productos de seguridad electrónica de bajo costo, que se conectan a internet y/o a la red de nuestros clientes, no cuentan con el desarrollo necesario para evitar vulnerabilidades, hablando claro, ser “hackeados”. Por lo general, soluciones baratas, que pueden ser instaladas por cualquier persona, sin el concurso de un integrador certificado, en tiempos muy cortos y que ofrecen soluciones casi que inmediatas, tienen muchas vulnerabilidades.  De acuerdo con el ejecutivo “es necesario defender la cadena de valor de la industria, usar los servicios de integradores e instaladores bien entrenados, con certificaciones avaladas por fabricantes reconocidos, y que agreguen valor de ingeniería para que el cliente final pueda realmente disfrutar de las prestaciones del sistema que compró y sentirse seguro. ¿Por qué se eligen cámaras baratas, controles baratos? ¿Por qué se cree que las mejores aplicaciones son las más baratas posibles?  En nuestra experiencia, las razones son muchas: Se piensa que ellos no serán hackeados, también nos dicen que el edificio o centro comercial será operado por otra empresa así que cualquier cámara sirve con tal de entregar la obra, y la que pienso realmente predomina es la imperiosa necesidad de ganar inmediatamente por precio versus cerrar un proyecto que ofrezca mucho valor al cliente final y la justa rentabilidad a la empresa de instalación.”

3. Busque información y verifique que los productos que quiere comprar cuenten con certificaciones de calidad

Estados Unidos es el país líder en lo que tiene que ver con todo el tema de ciberseguridad. Estándares como los propuestos por FISMA (Federal Information Security Management Act), FIBS (Federal Information Processings Standards) y PACS (Physical Access Control System) son necesarios en productos que ofrezcan verdaderos estándares de seguridad.

“Para ilustrar este punto me gustaría recordar que C-Cure 9000, la plataforma de control de acceso de JCI Security Products, fue una de las primeras en tener la aprobación FISMA del gobierno norteamericano. También fue la primera en tener la certificación FIBS (Federal Information Processing Standards). El punto notable con estas certificaciones es que están basadas en unos estándares de seguridad muy altos, usados por el mismo Departamento de Estado de los Estados Unidos, que es garantía de que las empresas no sufran daños importantes como robo o alteración de información sensible: Tarjetas de crédito, información personal de clientes, seguimientos por video espionaje, propiedad intelectual, sin mencionar que ya hay casos registrados desde el 2014 en los que hackers ingresan a redes privadas por una cámara vulnerable y toman control remoto de los subsistemas de la empresa, logrando incluso acciones terroristas. Esto es grave. Entonces, al abordar un proyecto se debe tener suficiente confianza, siendo necesario averiguar por las certificaciones de los productos que se adquieren. Si en Estados Unidos y Europa no se permite ciertas referencias de ciertos fabricantes es porque le hacen daño a su infraestructura. ¿Por qué en Latino América sí se permite?”, comenta Pulido.  “Es como esos medicamentos que dicen curar de todo, pero que sólo se vende a países tercermundistas, porque los países de primer mundo que sí se toman la salud de sus pueblos en serio, no permiten la comercialización en su territorio. Es igual con los productos de seguridad”.

4. No desestimar el valor de su propio negocio ni el poder de un ciberataque a su hogar o pequeña empresa

Es frecuente que entre los clientes que son empresas pequeñas u hogares se crea que no es necesario extremar demasiado las medidas de ciberseguridad porque no es interesante para quienes perpetran los ataques.  Lo cierto, anota el ejecutivo de Johnson Controls, es que “el mayor activo de las compañías e incluso de los seres humanos son sus datos, su información personal y por pequeña que sea una empresa si se hace un ataque a su software contable entonces todo se acabó. Hoy el dinero en los bancos no está más en cajas fuertes, está en servidores. Es necesario tener en cuenta que incluso aplicaciones muy pequeñas, como las que se usan para prender y apagar luces de forma automatizada en los hogares, representan vulnerabilidades si es que desde ahí estoy dando la posibilidad de que vean lo que sucede dentro de mi propia casa, o de cambiar la configuración de mi propio router. En Estados Unidos usan la expresión weaponize para referirse a la posibilidad de que un producto conectado a la red se convierta en algo así como un arma para quien lo usa. La ciberseguridad es una preocupación que debe ir desde el hogar, pasando por la pequeña empresa, las grandes compañías y, por supuesto, los gobiernos”.

5. Verifique que los estándares de seguridad están siendo frecuentemente actualizados y testeados

En relación con el punto 1 y teniendo siempre en mente que la ciberseguridad es toda un área de trabajo dentro de una compañía, y además en atención a la velocidad con que ocurren las mejoras tanto en los productos como en las capacidades de los atacantes, es necesario verificar que los estándares están siendo frecuentemente actualizados, por lo menos cada dos o tres meses y que en realidad hay un trabajo decidido en la compañía fabricante por evitar y anunciar las vulnerabilidades.

En definitiva, “en Colombia y en América Latina aún no se concede suficiente importancia al tema de la ciberseguridad. Es deber de los fabricantes informar y educar a sus canales. Es deber de las empresas de instalación verificar si los productos de seguridad que están pegando a la red de su cliente cuenta con encriptación punto a punto SHA-2 y TLS. ¿Si hay protección contra denegación de servicio? ¿Se usó el marco NIST 800-53 para el manejo del riesgo? ¿Sabe usted qué significa tanta sigla usada en este artículo?  Si no está muy seguro, tal vez su propia empresa de instalación está siendo usada como Caballo de Troya sin usted saberlo, poniendo en potencial riesgo a su propio cliente”, concluye Pulido.

Otras noticias

Deja un comentario

Menú de cierre
×
×

Carrito

Cerrar panel