La Urgente Necesidad de Protección en la Transición Energética

 Diofanor Rodriguez L CPP, PCI, PSP

La ciberseguridad es una preocupación crítica en todas las industrias, ya que las ciber amenazas continúan evolucionando de forma exponencial y plantean riesgos emergentes significativos. La   industria fotovoltaica no es la excepción.

Este es un tema que se ha hecho mas presente con La invasión en Ucrania y la guerra ha aumentado la preocupación en las empresas energéticas en materia de ciberseguridad. Como es sabido ya se han producido ataques al sistema de Red Eléctrica. En Colombia la empresa Air-e el 6 de septiembre del 2024 reportaba que su sistema informático fue víctima de un ataque cibernético.

DERSec es una empresa de ciberseguridad publicó recientemente una revisión de 54 ciberataques y vulnerabilidades de energía solar en sistemas a nivel de consumidor. El informe concluyó que es probable que la tendencia creciente de los ciberataques continúe, ya que los actores de amenazas buscan penetrar e interrumpir la infraestructura crítica en todo el mundo. Esto ha llevado a un despertar entre los organismos de la industria y los gobiernos, proporcionando una prueba de que los riesgos de ciberseguridad a través de la energía solar son muy reales.

La Amenaza Oculta de la Transición Energética

En los últimos años, hemos sido testigos de un cambio acelerado hacia fuentes de energía más limpias y sostenibles. Sin embargo, este progreso ha traído consigo una nueva y peligrosa amenaza para la estabilidad de las redes eléctricas: los ciberataques dirigidos a los paneles solares. Estas tácticas maliciosas tienen el potencial de desestabilizar la infraestructura energética de las naciones industrializadas, poniendo en riesgo la seguridad y la fiabilidad del suministro eléctrico.

La creciente dependencia de la energía solar resalta la necesidad urgente de fortalecer nuestras defensas cibernéticas. Es imperativo que implementemos medidas robustas de ciberseguridad para proteger estos sistemas vitales. La vigilancia constante y la preparación ante posibles amenazas son esenciales para asegurar que los beneficios de la transición energética no se vean eclipsados por nuevas vulnerabilidades.

A medida que avanzamos hacia un futuro más verde, también debemos ser diligentes en la protección de nuestras infraestructuras críticas contra las amenazas cibernéticas. Solo así podremos garantizar un suministro de energía estable y sostenible para las generaciones venideras.

La expansión de la energía solar trae consigo numerosos beneficios para el medio ambiente y la economía global. Sin embargo, este crecimiento también conlleva desafíos significativos, particularmente en términos de ciberseguridad. A medida que más puntos se conectan a la red eléctrica, se crea una vasta red de vulnerabilidades potenciales que los hackers pueden explotar.

Al analizar los datos proporcionados por la Agencia Internacional de Energía, observamos un aumento alarmante en los ciberataques dirigidos a las empresas de servicios públicos en los últimos años. Este incremento pone de manifiesto la necesidad urgente de reforzar las defensas cibernéticas para proteger las infraestructuras críticas de los países industrializados.

Desafíos y Riesgos en la Interconexión de TI y OT

La interconexión de la Tecnología de la Información (TI) y la Tecnología Operativa (OT) plantea riesgos cibernéticos significativos para los sistemas de control y los servicios esenciales que brindan. La infraestructura de OT se ha convertido en un objetivo atractivo para los ciberdelincuentes debido a sus características únicas y los desafíos que presenta su protección.

A menudo, el software de OT requiere el soporte de proveedores especializados, y muchas veces, estos sistemas no están diseñados con la seguridad como prioridad. Esto impide la aplicación de muchos de los controles de seguridad tradicionales utilizados en los entornos de TI. Las redes de OT están impulsadas por protocolos específicos y únicos de la industria, aunque también se emplean protocolos comunes de comunicación de TI.

Este panorama crea una vasta red de vulnerabilidades que requiere una atención especial y un enfoque proactivo en ciberseguridad. Es fundamental implementar medidas de protección robustas y adaptadas a las particularidades de los sistemas OT para salvaguardar la infraestructura crítica y asegurar la continuidad y fiabilidad de los servicios esenciales.

La seguridad inadecuada de los sistemas de Tecnología Operativa (OT) puede ocasionar daños físicos tanto a las personas como a los equipos, lo que puede generar interrupciones significativas y pérdidas financieras. Por ejemplo, un ataque cibernético a un parque fotovoltaico en Colombia podría comprometer la producción de energía solar, afectando no solo la estabilidad de la red eléctrica, sino también el suministro de electricidad a miles de hogares y empresas. Este tipo de incidente no solo conllevaría a pérdidas económicas significativas, sino que también podría poner en riesgo la seguridad de los trabajadores y la comunidad circundante debido a posibles fallos en los sistemas de control y monitoreo.

Este tipo de vulnerabilidades subraya la importancia de implementar medidas robustas de seguridad cibernética para proteger la infraestructura crítica y asegurar la continuidad de los servicios esenciales en Colombia.

¿Cómo proteger la infraestructura de parque fotovoltaicos de las amenazas?

A continuación, se relacionan algunos puntos que son de interés en este tipo de infraestructuras y que ayudaran a minimizar el riesgo:

1.     Identificar y mantener un inventario preciso de activos importantes de TI y OT es crucial. La gestión de estos activos críticos protege contra amenazas físicas y cibernéticas.  La seguridad de los activos de OT requiere un enfoque diferente para los activos de TI.

2.       Desarrollar una cultura de seguridad: Apoyar al personal mediante capacitación y políticas adecuadas es fundamental para crear operaciones   seguras y una cultura de seguridad.  Sin esto, el personal puede no saber qué son los buenos   comportamientos de seguridad o cómo practicarlos. Los programas de seguridad deben adaptarse a los   roles para ayudar a que el personal comprenda los riesgos

3.       Gestionar los riesgos de la cadena de suministro

Las empresas dependen cada vez más de proveedores externos para mantener su infraestructura de TI y OT.  Por lo tanto, es importante comprender los riesgos de los proveedores y protegerse contra ellos.

4.       Diseñar una red resiliente

Las funciones comerciales   a menudo requieren acceso a la red OT o a los datos para monitorear y analizar. Se debe prestar especial atención al diseño de la red necesaria para respaldar de forma segura las funciones comerciales y el mantenimiento continuo de la red y los dispositivos asociados durante toda su vida útil.

5.       Implementar procedimientos efectivos de gestión de acceso:

La gestión eficaz del acceso es esencial para proteger los entornos de TI y OT contra las amenazas cibernéticas.  Todos los usuarios y dispositivos deben ser identificados, autenticados y autorizados antes de que se les conceda acceso a los sistemas y la información. Se debe evitar la presencia de usuarios y dispositivos no autorizados en todos los niveles de la red.

6.     Gestionar vulnerabilidades y mantener la vigilancia

 Las aplicaciones de TI y OT, el software del sistema operativo y el firmware pueden tener debilidades que podrían explotarse.  Los procesos para reforzar y reparar estas vulnerabilidades minimizarán el riesgo de explotación.

7.      Implementar seguridad física

 Proteger los sitios y activos físicos de las amenazas es esencial para la postura general de seguridad cibernética de las empresas.

8.     Esté preparado para cuando las cosas salgan mal

 Los ataques cibernéticos pueden interrumpir sistemas críticos y servicios esenciales. Las entidades deben estar preparadas para gestionar los incidentes y minimizar su impacto adverso.

 

 

Referencias

GUÍA DE MEJORES PRÁCTICAS Conceptos básicos de seguridad para proteger Infraestructura crítica de Amenazas cibernéticas.

https://www.xataka.com/

https://www.iea.org/

https://www.enisa.europa.eu/news

https://www.segurorenovables.com/

https://elperiodicodelaenergia.com/

Read More

LA CUARENTENA ENCIERRA LOS BUENOS ¿Y LOS DELINCUENTES QUÉ?

Diofanor Rodríguez Lozano CPP, PSP, PCI

En tiempos en los que las cuarentenas son la regla y la indisciplina de las personas cada vez se muestra más, el delincuente también aprovecha para cometer sus delitos. Si bien es cierto, muchos de los delitos han disminuido por la falta de aglomeraciones y la disminución del transporte público y particular; las estadísticas de riesgo público se han disminuido, pero la mutación a hurto de equipos médicos, de oxígenos que son esenciales en estos momentos, podrá aumentar como le podría pasar al transporte de valores. Otros delitos, como los informáticos, van en aumento.

     Al analizar datos de interés mundial, los ataques de móviles superan los ataques de equipo de escritorio por primera vez. Según el informe de lexisNexis risk solution de 2019 se muestra un aumento del 56% de los ataques cibernéticos a móviles año a año. Esto hace que la ciberdelincuencia haya aprovechado la conexión en la actualidad de todos los seres humanos y hace más fácil este tipo de delito, sobre todo en poblaciones que hasta ahora están ingresando al medio tecnológico; un mundo que es nuevo para ellos conlleva muchos riesgos que, incluso, personas expertas muchas veces no alcanzan a determinar.

        Gráfica tomada del informe FRAUD WITHOUT BORDERS An Analysis of Global Cybercrime Across Industries and Geographies 

Como podemos observar en la gráfica, el aumento de ataques es importante al cierre del año 2019. En el momento actual en que vivimos los datos se han aumentado de forma exponencial, pues las condiciones para el delincuente cibernético están dadas. Si revisáramos el triángulo del delito en sus tres escenarios: Deseo, Racionalización y Oportunidad, nos podremos dar cuenta que estos elementos están dados para que el ciberdelicuente cumpla con su objetivo, que es realizar su acto delictivo.

     Lo que significa que la delincuencia, al igual que los negocios legales y las personas de a pie, debió reinventarse en esta época de pandemia, como lo muestran todas las estafas que han aparecido en internet frente a productos que curan el COVID 19, temas de tapabocas y fiestas clandestinas en las que ofrecen toda clase de productos alucinógenos y licor.

     Nos volvemos blanco cuando iniciamos las compras por la red. Existen páginas web que están siendo utilizadas para ofrecer servicios médicos fraudulentos y existen delincuentes que llegan a las puertas suplantando a las autoridades sanitarias con la excusa de que van a tomar la prueba de COVID 19. Estando en este punto, la persona es robada en su domicilio.

     Otro delito cibernético interesante para revisar es el Phishing que, en términos coloquiales, por su definición, es pescar, y en el mundo cibernético es utilizado por los delincuentes para engañar a incautos y conseguir contraseñas, números de tarjetas de crédito y cuentas bancarias para realizar el fraude.

     Delitos como sextorsión, que son conocidos por todos, han aumentado debido a los tiempos de ocio que tienen todas las personas y que sin conocimiento y sentido común comparten fotos íntimas a personas que distinguen en red sin saber quién está al otro lado. Producto de ello se ven extorsionados con estas fotos y muchas veces pagan para no ser expuestos ante familiares y esposos o, por qué no, a la red misma.

     Como vemos, el delito no para; continúa su actividad transformando su negocio.

     De esta manera queremos aportar diez consejos comunes para la seguridad ante el ciberdelito.

1.    Paciencia y sentido común: actúe pensando y que la prisa no sea una excusa. Recuerde, el eslabón más débil de la cadena de seguridad es usted mismo.

2.    Cuidado con los adjuntos en su correo: si no lo conoce, no lo abra. Recuerde, la curiosidad mata al gato; muchas veces los ciberdelincuentes utilizan esta técnica para infectar su equipo y robar sus datos.

3.    Privacidad e información personal: Mantenga una gestión estricta y periódica de los permisos individuales y corporativos.

4.    No pierda de vista sus dispositivos móviles: portátiles, smartphone y demás dispositivos móviles son sujeto de robo o pérdida; pero recuerde, en ellos hay mucha información de su organización y personal que dejaría expuesta.

5.    Cree mejores contraseñas y cámbielas periódicamente: más dificultad, menos previsibilidad. Y si la dificultad es aprendérnosla, recuerde que existen gestores de contraseñas.

6.    Ojo con lo que publica en redes sociales: piense en las cosas antes de subirlas a redes sociales. Puede estar revelando a todos mucho más de lo que imagina. A través de la redes pueden hacerle inteligencia y conocer sus vulnerabilidades.

7.    Desconéctese de internet cuando no la necesite: menor grado de exposición, menor tasa de infección; esto se da porque los ciberdelincuentes, cuando estamos conectados, utilizan nuestra conexión para atacarnos.

8.    No instale software gratis: si no conoce la fuente, sospecha; si instala software free, recuerde que puede estar instalando virus, puertas traseras que pueden robarle las contraseñas y acceder a documentos clasificados o secretos comerciales.

9.    Realice copias de seguridad: configure las copias de seguridad automáticas de los datos importantes en todos los ordenadores del negocio.

10.   Proteja su wifi: use una contraseña fuerte y no se la ofrezca a cualquiera. Para las visitas que necesitan acceso a Internet mientras están en el negocio o en su casa, configure una red para invitados. Eso le ayudará.

Referencias:

LNRS-CybercrimeReport_JulyDec2019-US-EN

https://www.infobae.com/america/

https://www.muycomputerpro.com/universo-lenovo/15-consejos-seguridad-informatica-empresas/

https://www.abc.es/tecnologia/abci-diez-consejos-seguridad-informatica-201111180000_noticia.html

https://www.gadae.com/blog/seguridad-informatica-consejos/

Read More

EL MEJORAMIENTO DEL MODELO DE ANÁLISIS DE RIESGOS

Gestión de Riegos de Seguridad Empresarial  

Diofanor Rodríguez CPP, PCI, PSP

Cuando revisamos el entorno actual de la seguridad y los estándares aplicables en la seguridad, todos hablan del riesgo, pensamiento basado en riesgos, y un etcétera sobre el tema.

Cuando revisamos a fondo todo es llevado a una matriz, que vista de forma rápida, me muestra la foto de un momento, cuando la dinámica del riesgo está obligando a que la misma sea dinámica, para poder dar el soporte y el valor agregado que se le atribuye a esta herramienta.

En las actuales circunstancias, el modelo de la administración del riesgo deberá moverse con los cambios que ocurren minuto a minuto en los entornos de negocios, esto nos llevará a poder cuantificar el costo del riesgo en las operaciones que desarrollan las empresas modernas.

Por ello el concepto de PML (perdida máxima probable, por sus siglas en ingles), es de mucha importancia al momento de administrar los riesgos corporativos, teniendo en cuenta que cuando se habla de PML se está diciendo que es el valor máximo sujeto a destrucción bajo un riesgo determinado. Esto visto desde los seguros está basado en que el PML busca estimar el valor de la cartera asegurada que será reclamada en caso de siniestro.

Esto desde ya es un elemento muy importante a la hora de adquirir seguros y la administración del riesgo contribuye a que no se compren seguros innecesarios.

En la actualidad el ESRM (Enterprise security risk management) es una guía para poder ver administrar el riesgo y ver el marco de la administración del riesgo y no solo una metodología para hacerlo.  Esto convierte al profesional de la seguridad en un verdadero asesor y no un ejecutor como lo hacemos en el momento.

Lo que hace que la seguridad se  convierta en un actor estratégico ayudando a los profesionales de seguridad  a relacionar las decisiones de riesgo de seguridad con la  estrategia corporativa. Lo que hace que la seguridad funcione como un facilitador comercial y un instrumento para ayudar a la organización a  cumplir su misión.

Partiendo de esta nueva tendencia de la administración del riesgo las empresas  Que antes sólo se centraban en medir los acontecimientos que ocurren, pero no analizaban aquellos que no suceden, ni tampoco integraban a todas las áreas y unidades de negocio de la compañía, deberán hacer los análisis más holísticos.

Porque deberán considerar factores ambientales que van desde la idiosincrasia de una región, un país, el costo beneficio, el impacto en el mercado y el cumplimiento con las regulaciones y leyes. Realizar un análisis de los procesos y diversos factores permitirán una administración mucho más acertada del riesgo.

El modelo ESRM describe cómo hacer las cosas y describe lo que se debe hacer.

Pero no por ello presupone una metodología que cuadricula como se deben hacer las actividades y las tareas. Más bien ESRM puede ser adaptado en donde no existe un marco o una metodología definida para la administración del riesgo.

Lo que hace ESRM en la seguridad es poder mostrar el compendio de dominios que se tienen como son seguridad física, seguridad de la información y seguridad de personal.

Esto obliga a que seguridad encuentre la convergencia de conceptos y criterios en la organización, es decir, identificar los riesgos de seguridad y su dependencia con las distintas funciones corporativas.

Esto genera muchos beneficios a las corporaciones como el hecho de poder alinear los recursos de seguridad y la estrategia corporativa partiendo de la priorización eficaz del riesgo.

Otro elemento importante es que las partes interesadas entiendan la función de la seguridad corporativa volviéndose participes de esa seguridad.

Lo que hace que la seguridad sea más efectiva como resultado de la eficiencia más la eficacia.

ESRM posee un ciclo que está dividido en cuatro pasos  ellos son:

1.    Identificar y priorizar activos

2.    Identificar y priorizar riesgos

3.    Mitigar riesgos priorizados

4.    Mejora continua

Imagen tomada de ESRM Draft Guideline Sept. 2018

Cada uno de estos elemento presupone unas acciones que el profesional de seguridad deberá realizar y que se describen muy claramente en la Guía de ASIS  International,  y que ayudan a transmitir  qué acciones específicas deben tomarse para adoptar ESRM como un proceso de gestión de riesgos de seguridad.

Cuando revisamos el ciclo de ESRM podemos desglosar un poco más el concepto partiendo de lo siguiente:

Identificar y priorizar los activos: para nadie es un secreto que todos los activos de una organización tiene una importancia, pero existen algunos más importantes que otros que de sufrir algún daño podrían en aprietos a la organización, por ello debemos tener muy claro cuáles son, qué son, dónde están y por qué son importantes. Todo es basado en el concepto del impacto que sufriría la organización si se materializará un riesgo en uno de sus activos estratégicos.

Identificar y priorizar los riesgos: cuando ya están identificados y priorizados los activos, nos debemos centrar en el riesgo entendiendo cuales son las áreas de preocupación, que riesgos se podrían materializar y generar una afectación al activo que termine generando pérdidas importantes en la organización. El producto de este paso es la lista de riesgos con su nivel de importancia.

Mitigar los riesgos priorizados: en este paso se proponen la estrategias de cómo sería posible la mitigación de riesgos priorizados vs los activos priorizados. Esta actividad podría suponer la realización de una matriz para poder cruzar los riesgos y los activos y su posible control de mitigación.

Mejora continua: en este paso del ciclo se debe revisar los controles existentes frente a los riesgos identificados y priorizados, para poder determinar si esos controles han sido o no efectivos, lo que nos llevara a realizar investigaciones de eventos, como fueron las respuestas ante la materialización del riego.

Es importante entonces poder considerar todos los tipos de riesgos de seguridad, hacer una verdadera vinculación de todas las parte interesadas, la transparencia que el profesional de seguridad debe tener con los interesados del proceso y por último esta le creación de un comité para hablar de apetito del riesgo y tolerancia del riesgo que permita la toma de decisiones de alto nivel.

Referencia

ESRM Draft Guideline Sept. 2018

https://www.asis.org.pe/images/blog/2019/Presentacion-Carlos-Ramirez.pdf

https://www.seguridadenamerica.com.mx/noticias/articulos/19843/gestion-de-riesgos-de-seguridad-empresarial-enfoque-renovado

Read More

Los profesionales de seguridad física deben también adquirir la experticia suficiente para beneficiarse de los nuevos avances tecnológicos

Diofanor Rodríguez  CPP, PCI, PSP

Los especialistas de seguridad física se encuentran hoy con los últimos avances de la tecnología para la seguridad. Y en el entendido que los dispositivos de seguridad física son cada vez más inteligentes, la pregunta que emerge  es: ¿están los profesionales de seguridad física  están adquiriendo el conocimiento y la “inteligencia” suficientes  para beneficiarse de los avances tecnológicos?.

Esta es una pregunta que, contra lo que podría pensarse, no resulta obvia, porque en temas de seguridad si es importante tener en cuenta los aspectos de tecnología. Muchas veces se compran equipos que poseen características tecnológicas importantes, pero que desafortunadamente son subutilizadas, porque no contamos con el conocimiento y la “expertise” para aprovechar al máximo sus características.

Aquí se hace más visible un adagio popular que dice “se compran cosas que no se necesitan con dinero que no se tiene, para la gente que no le interesa”. En seguridad muchas veces se compran  elementos de seguridad electrónica que parecen muy atractivos, sin tener en cuenta las necesidades que posee la instalación y sin tener en cuenta la preparación y conocimientos de las personas que se encargarán de au manejo y aplicación, elementos que son indispensbales para acertar en la compra del equipo apropiado y aprovechar de manera eficiente todas las características técnicas del mismo.

Lo anterior, lastimosamente, sucede porque las decisiones sobre elementos electrónicos de seguridad muchas veces se dan por moda y no como resultado de un concienzudo análisis de riesgos que permita de forma adecuada identificar cuáles son las necesidades que posee la instalación.

El tema central en este campo, que asegura la convergencia entre la seguridad física y la seguridad informática, es el hombre de seguridad moderno, que debe aprender sobre el tema y saber si la tecnología que está comprando es realmente útil y aplicable y no pone en riesgo otros de los procesos de la organización, porque muy fácilmente nos podemos convertir en el eslabón más débil de la seguridad.

Elementos de seguridad electrónica, que ya se tienen en desarrollo con inteligencia artificial, hacen necesario mantener un aprendizaje constate, entendiendo las necesidades de la seguridad, que sean balanceadas, y pensadas de la mano de la ciberseguridad. 

Como podemos ver, el panorama actual y futuro cada vez más obliga al profesional de seguridad a saber mas de seguridad física y a aprender y saber de seguridad informática, para poder asesorar, asertivamente y con eficiencia, a las organizaciones en la compra de los elementos electrónicos de la seguridad.

Las nuevas tendencias y tecnologías en CCTV, control de accesos, identificación facial, alarmas e integración de todos los sistemas, es importante el conocimiento de las tecnologías emergentes que ayuden a minimizar los riesgos corporativos y que nos permitan explotar de forma adecuada sus características y rendimientos, de modo que se logre el balance necesario entre procedimientos, tecnología y personas con el único fin de apoyar a la organización al logro de sus objetivos.

Ustedes son profesionales de seguridad y estarán de acuerdo conmigo en que no hay nada más frustrante que recomendar un sistema de seguridad electrónica y que no cumpla con las necesidades de la organización y que no apoye los objetivos corporativos.

La tendencia “Smart” ha llegado a los objetos que los usuarios utilizan día a día, y ya está, como lo podemos ver, en distintos ejemplos de edificios inteligentes alrededor del mundo. Los retos entonces están en aprender a manejar con eficacia dichas tecnologías para la seguridad y, adicionalemente, en estudiar, identificar y prever nuevos tipos de agresión que reúnan lo digital y lo físico.

Estos elementos presentados nos llevan a realizar una reflexión adicional muy importante frente a la educación y capacitación que estamos recibiendo y entregando a los profesionales de la seguridad.

Read More

Esperando que estas fiestas estén llenas de alegría y prosperidad para todos y que año que se aproxima este lleno de bendiciones para todos los lectores

saludo fraternal

Colombiaintel

Read More

LA COVERGENCIA DE LA SEGURIDAD FÍSICA Y LA INFORMÁTICA

Diofanor Rodríguez L CPP, PCI, PSP

El concepto de Singularidad es polémico, pero no es nuevo. La primera vez que se escuchó fue en la lectura del texto de una ley empírica, en el año de 1965, que se conoce como la Ley de Moore. Esta Ley manifiesta que el número de transistores en un microprocesador se duplica aproximadamente cada dos años. Lo anterior indica, que la capacidad de computación progresa de forma exponencial, además más potente. Esto se ha visto reflejado en los nuevos desarrollos obtenidos para la seguridad física en su parte tecnológica. Frente a este nuevo escenario, que supone una convergencia manifiesta entre la seguridad física y la informática, se realiza la siguiente hipótesis: “El gerente de seguridad moderno deberá comprender y aplicar los conceptos de seguridad informática o será desplazado de manera inequívoca de su cargo”. Con ello buscamos demostrar que el gerente de seguridad deberá reforzar esta competencia, que cada vez se convierte en una necesidad fundamental. Con el IoT   (internet de las cosas), cada día se evidencia la vulnerabilidad de los sistemas de seguridad física en las organizaciones, dejando a la seguridad física como el eslabón más débil de la cadena, como lo demuestran sendos ataques y estudios que se han realizado sobre el tema, donde se han visto involucrados elementos tecnológicos de la seguridad física, como lo son los CCTV, las llaves electrónicas y controles de accesos, entre otros, que son elementos que facilitan los ataques debido a su poca seguridad, o a su falta de configuración adecuada. 

En un estudio reciente, de junio de 2018, en la página de internet https://securityaffairs.co/wordpress/73650/hacking/axis-vulnerabilities.html, se publicó un artículo que hace una reflexión para los profesionales de seguridad sobre las competencias que actualmente requiere un profesional de la seguridad integral en el mundo de hoy. El título del artículo es   “Researchers from cybersecurity firm VDOO have discovered several vulnerabilities affecting nearly 400 security cameras from Axis Communications.”. (Investigaciones de la Firma de Ciberseguridad VDOO han descubierto muchas vulnerabilidades que afectan a cerca de 400 cámaras de seguridad de Axis Comunicaciones). Esto refuerza nuestra hipótesis sobre la necesidad que tiene el nuevo gerente de seguridad integral de comprender y aplicar los conceptos de seguridad informática en sus sistemas de seguridad física; de lo contrario, será desplazado de su cargo.

Algunos eventos muestran los avances de la inseguridad en este campo. A principios de este año se divulgó una noticia impresionante de unos hackers que se apoderaron del sistema de llaves electrónicas de un hotel de lujo en Austria. Los huéspedes no pudieron entrar a sus habitaciones hasta que el hotel pagó un rescate. Esto no fue sorpresivo para los expertos en ciberseguridad, e hizo que el hotel volviera a la utilización de la llave física.

Otro evento interesante se ve reflejado en la página: https://www.secureweek.com/2018/03/16/se-han-encontrado-hackers-realizando-ataques-ddos-a-traves-de-camaras-cctv-pirateadas/

en la que se evidencia que se han encontrado hackers lanzando ataques de DDoS a través de las cámaras que han sido vulneradas. Lo que muestra el trabajo investigativo, según la página web, es que fueron 900 cámaras de CCTV que se vieron involucradas por tener un elemento básico de seguridad informática que tiene que ver con el inicio de sesión débil. Según los investigadores de Incapsula, es muy fácil para los atacantes informáticos lograr el acceso a estas cámaras de CCTV al realizar un ataque de fuerza bruta. También manifestaron los investigadores que los responsables de la configuración de los dispositivos eran los culpables, debido a que posiblemente no cambiaron la contraseña por defecto den los equipos o la dejaron abierta para conexiones externas. En la siguiente imagen se evidencia la distribución de las cámaras de CCTV, que se vieron involucradas.

Imagen tomada de   https://www.secureweek.com

Metodología

Una vez entendida la situación de singularidad en la seguridad física a través de la convergencia de la seguridad informática con la seguridad física, y para reafirmar nuestra hipótesis de que “El gerente de seguridad moderno deberá comprender y aplicar los conceptos de seguridad informática o será desplazado de manera inequívoca de su cargo”, se utilizó como instrumento de argumentación una encuesta con cuatro preguntas concretas frente al tema de la convergencia de la seguridad informática y la seguridad física. Dicho instrumento fue aplicado a profesionales de la seguridad en Perú, Ecuador, México y Colombia. Los resultados obtenidos son los siguientes: 

En la pregunta:

   ¿Sabe si su empresa o uno de sus aliados estratégicos ha sido víctima de ataques cibernéticos los últimos tres años?

En un proyecto de seguridad electrónica ¿Qué tan frecuente es que se toque el tema sobre qué políticas de ciberseguridad se deben aplicar?

¿Es sencilla la aplicación de buenas prácticas de ciberseguridad en su organización?

¿Qué tan seguros son mis proveedores de tecnología de seguridad electrónica?

Conclusiones

Como podemos ver, aunque la tecnología ha ido avanzando de forma incremental, el hombre de seguridad no camina a la misma velocidad; como muestran las cifras, aún existe un 23% de hombres de seguridad que no tiene claro por dónde iniciar el implemento de políticas de seguridad informática en los sistemas de seguridad física, lo que en algunos casos podría facilitar al adversario su actividad delictiva.

Todavía existe un número importante de empresas que desconocen si sus aliados estratégicos han sido afectados por ataques cibernéticos,; como es evidente en las cifras, un 54% es un monto alto, esto evidencia que podríamos estar en riesgo debido a que los equipos de seguridad física, se verían expuestos a ataques de denegación de servicio, red botnet…, etc, debido a que no podríamos afirmar que no hemos estado comprometidos de alguna manera.

Las cifras muestran que la conciencia de seguridad informática en la seguridad física ha venido en alza, pues ya es considerada en los proyectos, como se evidencia en el 46% de ellos. Aún nos queda un largo camino que recorrer, pues si no es solicitada no se ve como un tema importante en el desarrollo de los proyectos; esto se demuestra en el 39.7% que evidencia al realizar la pregunta.

Frente a temas de seguridad de mis proveedores, el 31.7%  considera obvio que las empresas deben ser seguras, lo que hace que bajemos la guardia y no tomemos las precauciones debidas frente a este tema, no solo exponiendo la seguridad física sino la seguridad corporativa, la seguridad integral.   

Bibliografía:

https://www.secureweek.com/2018/03/16/se-han-encontrado-hackers-realizando-ataques-ddos-a-traves-de-camaras-cctv-pirateadas/

 Conferencia del ingeniero Juan Carlos Aboddanza, Ciberseguridad en la industria de la seguridad (ALAS).

Conferencia del ingeniero Joseff Santiago sScarfo,  conferencia No deje que el sistema de seguridad exponga su organización    (ALAS).

Blog Protegerse. com

Aprendacctv.com

Sensortechforum.com

Read More

QUE ENTIENDO DE LA ISO 31000/2018

Diofanor Rodríguez L CPP, PCI, PSP

Recientemente lanzada en febrero 15 la ISO 31000 2018, presenta algunas modificaciones importantes desde mi punto de vista. Entre ellas que asume la estructura de muy alto nivel, da buenos mensajes de inicio.

 Por otro lado, está el hecho de que en la versión 2009 el documento era de 26 páginas, la versión 2018 cuenta con 16 páginas, obviamente excluyendo portada, bibliografía y antecedentes, esto demuestra un sumario importante que elimino lo sobrante, centrándose en lo importante.

En la versión actual de ISO 31000 se retiraron 21 términos y se hará referencia a la ISO que reemplace a la ISO Guía 73. Se apunta que de 49 términos con definición en la ISO Guía 73, 29 términos aparecen otra vez con definición en ISO 31000:2009. De los 8 términos que quedaron, hay 6 términos cuya definición y/o notas dentro de éstas fueron modificadas y deben ser cambiadas en la ISO que reemplace a la ISO Guía 73. Los términos modificados son: Riesgo, Fuente de riesgo, Evento, Parte interesada, Consecuencia, Control.

No proporciona ningún detalle especifico de implementación, que desde mi punto de vista esto es muy importante por dos motivos:

1.  La implementación de la gestión del riesgo es un arte, y depende de muchos factores entre ellos la personalidad del ser humano, las preferencias, las relaciones, la madurez de la cultura organizacional.
2. La necesidad de integrarse en la toma de decisiones es de carácter obligado, sin embargo, simplemente no hay una receta para integrarse en un proceso determinado. De hecho, así las organizaciones sean del mismo reglón productivo muy seguramente integraran el análisis de riesgos de manera diferente en el mismo proceso.

                                    

Cambios en los principios

Revisado este apartado(clausula) de la norma se puede concluir que los principios Creación de valor y toma de decisiones que estaba en la ISO 31000:2009, en la versión 2018 muestra que todos los principios concurren en  la creación y protección de valor en la organización.El principio que la gestión del riesgo aborda Explícitamente la incertidumbre fue eliminado porque este concepto ya estaba inmerso en la propia definición del riesgo. 

Principales cambios Marco de Referencia

Gráfica tomada de la ISO 31000:2018

En el marco de referencia se incluyeron de manera expresa las responsabilidades de la Alta Dirección y de la Junta Directiva frente a la administración del riesgo. Se ve una modificación en el tradicional ciclo PHVA del señor Deming, pues este elemento que llama la atención hace énfasis en liderazgo y el compromiso con ello busca garantizar la conformidad no sólo de las obligaciones de la organización sino también de los compromisos voluntarios. Además, el ciclo PHVA se ve ampliado a cinco pasos integración, diseño, implementación evaluación y mejora. Hace hincapié en el hecho de que se inicia con de la Integración para llegar al diseño e implementación del Marco de Referencia, lo que muestra es la norma da una mayor relevancia al hecho de que la Gestión del Riesgo hace parte como un todo en la Gestión de la Organización. En la versión 2018 de la norma se da mayor insistencia e intención a la Consulta. Se deja dicho para las partes involucradas internas y externas que la consulta envuelve a los partícipes dando retroalimentación, con la esperanza de que esta retroalimentación ayudará y proporcionará forma a las decisiones. Otro elemento importante frente al marco de gestión es que la norma muestra de manera clara la necesidad de realizar la evaluación de que tanto el marco de gestión contribuye con el logro de los objetivos y por ultimo hace una mejora del Marco de Referencia con base en las oportunidades que sean identificadas.

Como conclusiones importantes frente a esta Clausula, está el hecho de que en versión 20018 se enfatizan los roles y responsabilidades de la Alta Gerencia y la Junta Directiva en la Gestión del Riesgo.  Se prepondera la responsabilidad de asegurar la integración de la Gestión de Riesgos en la organización a través de su liderazgo y compromiso.

Principales cambios del proceso 

Gráfica tomada de la ISO 31000:2018

En el proceso en la nueva versión los numerales del contexto, existe un cambio por un título más holístico desde mi punto de vista, pues dice campo de aplicación, contexto y criterios.  Se realizó una simplificación de textos toda vez que esta inmersos en el mismo documento. En los ítems de identificación y en el de análisis se circunscribió expresamente como factores a considerar: La parcialidad, asunciones, y creencias de los que participan. Estas atribuciones se comunicarán a aquellos que toman las decisiones. En el ítem de evaluación aparece un elemento importante, pues se indica que la evaluación debe ser validada con los niveles adecuados de la organización. Las conclusiones más importantes que podemos tener en el proceso está asociada al Reporte y Registro pues son la base del proceso de Gestión del Riesgo. En la versión 2018 se deja manifiesto que dentro de los factores a considerar cuando se hace la identificación y el análisis de riesgos están los seres humanos por su parcialidad, asunciones, juicios y creencias.

Correspondencia entre los principios, el marco de trabajo y el proceso de gestión del riesgo:

Gráfica tomada de la ISO /FDIS 31000

La integración de la gestión de riesgos en una organización es un proceso dinámico e iterativo, y debe ajustarse según las necesidades y la cultura de la empresa. La gestión de riesgos debe ser pieza de, y no apartada de, el propósito organizacional, el gobierno, el liderazgo y el compromiso, la estrategia, los objetivos y las operaciones.

 Referencias:

Icontec memorias charla virtual octubre 26 de 2017

Nuevo marco de gestión de riesgos para las organizaciones AENOR

Why do I love ISO31000:2018? Alexei Sidorenko, CRMP

ISO/FDIS 31000

ISO 31000:2018

Read More