Seguritecnia 494

Ciberseguridad El baseline de seguridad se dirige a toda la cadena de suministro, fabrican- tes, integradores, operadores y mante- nedores. Debemos basar nuestro mode- lo desde un punto de vista de confianza cero, siendo capaces de detectar y res- ponder en el menor tiempo posible. Los fabricantes deben pensar en tér- minos de seguridad antes de ver la viabi- lidad del proyecto. No en vano, la seguri- dad tiene que ser por defecto y desde el diseño. Además, han de proveer a los in- tegradores, operadores y mantenedores de las vulnerabilidades detectadas a tra- vés de sus canales de distribución (ma- yoristas) generando feeds recolectados por los distintos canales de inteligencia; por ejemplo, los fabricantes de antima- lware con los que deberán cerrar acuer- dos comerciales o de colaboración. Por la parte de integradores y mante- nedores, estos deben formar/concien- ciar (aunque me gusta más el término ‘sensibilizar’) a sus equipos en gestionar los sistemas de seguridad electrónicos desde un punto de vista de la ciberse- guridad. Lo primero es el cambio de con- traseñas, que normalmente suelen venir como “admin1234”. En los mantenimien- tos que se realizan se ha de actualizar el software de todos los elementos para co- rregir las vulnerabilidades que van apa- reciendo y tener sistemas más robustos frente a los posibles ataques. No basta con formar/sensibilizar y con establecer mecanismos de actualización; estos de- ben ser comprobados por las empresas de integración y mantenimiento en base a que los controles o contramedidas que se establecen cumplen con su objetivo, como por ejemplo con una auditoría aleatoria o una muestra representativa de sus instalaciones. No pedimos pasar de cero a cien, pero hay que montar mecanismos de control para comprobar la robustez de los sistemas instalados, como puede ser un escaneo de vulnerabilidades en automático. Modelo ciberseguro Las centrales receptoras de alarmas (CRA, COV y SOC) cobran mucho pro- tagonismo a la hora de implementar un modelo ciberseguro en los sistemas que monitorean, de tal manera que tendrán que habilitar comunicaciones seguras, al menos una VPN o una MPLS, si el cliente así lo requiere. Pero también hay que establecer mecanismos de parchea- do en remoto de los sistemas gestiona- dos para garantizar la confidencialidad, disponibilidad e integridad de los siste- mas que supervisan. Todos deben cumplir con la normativa vigente (Reglamento General de Protec- ción de Datos y Ley Orgánica de Protec- ción de Datos), aunque la responsabili- dad recae sobre el dueño del sistema. En este sentido, debe existir una obliga- ción formal de comunicar al dueño de los datos que es él el responsable de cumplir con la legislación vigente y no otro. No obstante, tenemos que ayudar al cumplimiento, ya que somos parte de la cadena y en muchas ocasiones en- cargados del tratamiento. Recordemos que un dato de carácter personal es todo aquel que identifica de manera inequí- voca a un individuo; por ejemplo, una imagen que proporciona una cámara, una huella dactilar que utilizamos para un control de accesos, etc. Por todo lo expuesto anteriormente debemos tender a modelos de hibri- dación donde el gobierno de la ciber- seguridad debe estar lo más alineado posible con la seguridad física. Al final, las amenazas buscan vulnerabilidades estén donde estén y pueden ser no solo de carácter lógico, sino también físi- co. Y esto, insisto, nos lleva a modelos de hibridación. Hay que evolucionar a modelos de gestión de seguridad 360 grados, que las CRA se conviertan en SOC y puedan monitorizar todo tipo de amenazas, ya sean del mundo IT, físico (de los sistemas electrónicos de seguri- dad) o híbridos. / Marzo-Abril 2022 85