Diofanor Rodríguez L CPP, PCI, PSP
El
concepto de Singularidad es polémico, pero no
es nuevo. La
primera vez que se escuchó fue en la lectura del texto de una ley empírica, en
el año de 1965, que se conoce como la Ley de Moore. Esta Ley manifiesta que el
número de transistores en un microprocesador se duplica aproximadamente cada
dos años. Lo
anterior indica, que la capacidad de computación
progresa de forma exponencial, además más potente. Esto se ha
visto reflejado en los nuevos desarrollos obtenidos para la seguridad física en
su parte tecnológica. Frente
a este nuevo escenario, que supone una convergencia manifiesta entre la
seguridad física y la informática, se realiza la siguiente hipótesis: “El gerente de seguridad moderno deberá
comprender y aplicar los conceptos de seguridad informática o será desplazado
de manera inequívoca de su cargo”. Con
ello buscamos demostrar que el gerente de seguridad deberá reforzar esta
competencia, que cada vez se convierte en una necesidad fundamental. Con el IoT (internet de las cosas), cada día
se evidencia la vulnerabilidad de los sistemas de seguridad física en las
organizaciones, dejando a la seguridad física como el eslabón más débil de la
cadena, como lo demuestran sendos ataques y
estudios que se han realizado sobre el tema, donde se han visto involucrados
elementos tecnológicos de la seguridad física, como lo son
los CCTV, las llaves electrónicas y controles
de accesos, entre otros, que son elementos
que facilitan los ataques debido a su poca seguridad, o a su
falta de configuración adecuada.
En
un estudio reciente, de junio de 2018, en la página de internet https://securityaffairs.co/wordpress/73650/hacking/axis-vulnerabilities.html, se publicó un artículo que hace una
reflexión para los profesionales de seguridad sobre las competencias que
actualmente requiere un profesional de la seguridad integral en el mundo de hoy.
El título del artículo es “Researchers from cybersecurity
firm VDOO have discovered several vulnerabilities affecting nearly 400 security
cameras from Axis Communications.”.
(Investigaciones de la Firma
de Ciberseguridad VDOO han descubierto muchas vulnerabilidades que afectan a
cerca de 400 cámaras de seguridad de Axis Comunicaciones). Esto refuerza
nuestra hipótesis sobre la necesidad que tiene el nuevo gerente de seguridad
integral de comprender y aplicar los conceptos de seguridad informática en sus
sistemas de seguridad física; de lo contrario, será desplazado de
su cargo.
Algunos
eventos muestran los avances de la inseguridad en este campo. A principios de
este año se divulgó una noticia impresionante de unos hackers que se apoderaron
del sistema de llaves electrónicas de un hotel de lujo en Austria. Los
huéspedes no pudieron entrar a sus habitaciones hasta que el hotel
pagó un rescate. Esto no fue sorpresivo para los expertos en ciberseguridad,
e hizo que el hotel volviera a la utilización de la llave física.
Otro
evento interesante se ve reflejado en la página: https://www.secureweek.com/2018/03/16/se-han-encontrado-hackers-realizando-ataques-ddos-a-traves-de-camaras-cctv-pirateadas/
en
la que se evidencia que se han encontrado hackers lanzando ataques de DDoS a
través de las cámaras que han sido vulneradas. Lo
que muestra el trabajo investigativo, según la página web, es que fueron 900
cámaras de CCTV que se vieron involucradas por tener un elemento básico de
seguridad informática que tiene que ver con el inicio de sesión débil. Según
los investigadores de Incapsula, es muy
fácil para los atacantes informáticos lograr el acceso a estas cámaras de CCTV
al realizar un ataque de fuerza bruta. También
manifestaron los investigadores que los responsables de la configuración de los
dispositivos eran los culpables, debido a que posiblemente no cambiaron la
contraseña por defecto den los equipos o la dejaron abierta para conexiones externas. En
la siguiente imagen se evidencia la distribución de las cámaras de CCTV, que se
vieron involucradas.
Metodología
Una
vez entendida la situación de singularidad en la seguridad física a través de
la convergencia de la seguridad informática con la seguridad física, y para
reafirmar nuestra hipótesis de que “El
gerente de seguridad moderno deberá comprender y aplicar los conceptos de
seguridad informática o será desplazado de manera inequívoca de su cargo”, se utilizó como instrumento de
argumentación una encuesta con cuatro preguntas concretas frente al tema de la
convergencia de la seguridad informática y la seguridad física. Dicho
instrumento fue aplicado a profesionales de la seguridad en Perú, Ecuador,
México y Colombia. Los
resultados obtenidos son los siguientes:
En
la pregunta:
En
un proyecto de seguridad electrónica ¿Qué tan frecuente es que se toque el tema
sobre qué políticas de ciberseguridad se deben aplicar?
¿Es
sencilla la aplicación de buenas prácticas de ciberseguridad en su
organización?
¿Qué
tan seguros son mis proveedores de tecnología de seguridad electrónica?
Conclusiones
Como
podemos ver, aunque la tecnología ha ido avanzando de forma incremental,
el hombre de seguridad no camina a la misma velocidad; como
muestran las cifras, aún existe un 23% de hombres de
seguridad que no tiene claro por dónde iniciar el implemento de políticas de
seguridad informática en los sistemas de seguridad física, lo que en algunos
casos podría facilitar al adversario su actividad delictiva.
Todavía
existe un número importante de empresas que desconocen si sus aliados
estratégicos han sido afectados por ataques cibernéticos,;
como es evidente en las cifras, un 54% es un monto alto, esto
evidencia que podríamos estar en riesgo debido a que los equipos de seguridad
física, se verían expuestos a ataques de
denegación de servicio, red botnet…, etc, debido a que no podríamos afirmar que
no hemos estado comprometidos de alguna manera.
Las
cifras muestran que la conciencia de seguridad informática en la seguridad
física ha venido en alza, pues ya es considerada en los proyectos, como se
evidencia en el 46% de ellos. Aún nos queda un largo camino que
recorrer, pues si no es solicitada no se ve como un tema importante en el
desarrollo de los proyectos; esto se demuestra en el 39.7% que
evidencia al realizar la pregunta.
Frente
a temas de seguridad de mis proveedores, el 31.7% considera obvio que las empresas
deben ser seguras, lo que hace que bajemos la guardia y no tomemos las
precauciones debidas frente a este tema, no solo exponiendo la seguridad física
sino la seguridad corporativa, la seguridad integral.
Bibliografía:
https://www.secureweek.com/2018/03/16/se-han-encontrado-hackers-realizando-ataques-ddos-a-traves-de-camaras-cctv-pirateadas/
Conferencia
del ingeniero Joseff Santiago sScarfo, conferencia No deje que el sistema de
seguridad exponga su organización (ALAS).
Blog
Protegerse. com
Aprendacctv.com
Sensortechforum.com
0 comments:
Post a Comment