La ciberseguridad es (todavía) una responsabilidad compartida

Timo Sachse

Esta es una versión actualizada de una publicación de blog que escribí hace casi tres años. El hecho de que gran parte de ella siga siendo relevante hoy en día es una prueba, si es que se necesitara, de que la ciberseguridad sigue siendo un viaje continuo en lugar de un destino.

El número de publicaciones de blogs que mis colegas han redactado en los últimos años sobre el tema de la ciberseguridad también demuestra la evolución continua tanto de los «vectores de ataque» utilizados por los ciberdelincuentes como de las formas en que podemos contrarrestarlos.

Nada hecho por el hombre es 100% seguro (los errores de programación no se pueden evitar por completo) y cualquier proceso que dependa de seres humanos tiene defectos naturales..

La ciberseguridad es una responsabilidad compartida, ninguna de las partes interesadas en el mercado puede combatir el ciberdelito por sí sola, todos debemos trabajar juntos para adelantarnos a aquellos con intenciones delictivas. Echemos un vistazo a las distintas responsabilidades de las diferentes partes interesadas involucradas en la «cadena» de la ciberseguridad, que es tan fuerte como su eslabón más débil:

El usuario

La principal responsabilidad del usuario, la persona con la responsabilidad de ejecutar la solución es realizar las inversiones adecuadas en ciberseguridad. Esto se puede hacer de forma “DIY”, lo que significa que el departamento de TI aplica los arreglos ellos mismos, o para pagar a un integrador / instalador para que se encargue del mantenimiento del sistema. La vida útil de un sistema es fácilmente de 10 a 15 años. Asumir que no es necesario hacer nada para mantener el sistema en buenas condiciones durante ese tiempo es, en el mejor de los casos, miope y bastante ingenuo.

El integrador/intslador

Este actor juega un papel fundamental en la ciberseguridad. El integrador / instalador debe asegurarse de que todos sus propios dispositivos, computadoras portátiles, dispositivos móviles, etc.estén parcheados con las últimas actualizaciones para el sistema operativo y ejecuten un escáner de virus sofisticado.

Las contraseñas seleccionadas deben ser lo suficientemente complejas e individuales al menos por cliente y sitio. Debe evitarse el hábito general de utilizar una contraseña maestra para facilitar el servicio de los dispositivos. El acceso remoto a las instalaciones debe ser limitado y todos los dispositivos conectados al sistema del cliente deben ser revisados ​​con mucho cuidado en busca de virus para evitar cualquier tipo de infección.

El mantenimiento del software de videovigilancia y del hardware conectado sigue siendo algo que se realiza con muy poca o mucha frecuencia. Una vez instalados, estos sistemas normalmente solo se actualizan si se agregan más dispositivos o se solicita al usuario una funcionalidad adicional.

Sin un mantenimiento regular, la ciberseguridad disminuirá con el tiempo. La probabilidad es casi del 100% de que se encuentre una vulnerabilidad en el contexto del sistema, es decir, el sistema operativo, el software o el hardware. Aunque el riesgo parece bajo, todas las vulnerabilidades conocidas deben corregirse. En la mayoría de los casos, no es necesaria una aplicación instantánea de la solución, pero se recomienda encarecidamente una actualización de todo el sistema cada dos años.

Es responsabilidad del integrador informar a sus clientes sobre este procedimiento, que en la industria de la seguridad ajena a las tecnologías de la información todavía no es tan conocido como debería.

El consultor

Otro componente esencial es el trabajo de los consultores, las personas que especifican los componentes de los sistemas de seguridad.

Los consultores no solo deben especificar las características y propiedades correctas del producto, sino que también tienen la responsabilidad de especificar el mantenimiento durante la vida útil del sistema. Al hacerlo, pueden resaltar la importancia esencial de mantener el sistema actualizado y también ser transparentes sobre el costo potencial de hacerlo.

Sin embargo, en el contexto de la instalación de dispositivos OEM / ODM, es muy difícil garantizar este aspecto de mantenimiento; la mayoría de los clientes no comprarían un sistema cuyo mantenimiento sea un juego de azar.

El distribuidor

Para un distribuidor puro, el tema de la ciberseguridad es muy simple: solo están manejando la logística y no tocan el producto en sí. Sin embargo, los distribuidores de valor agregado deben considerar los mismos aspectos que los integradores o instaladores, como se describe anteriormente.

Para aquellos distribuidores que también revenden los llamados dispositivos OEM / ODM, aquellos que compran a un fabricante y vuelven a etiquetar con otra marca (o la propia), se aplica un conjunto de reglas completamente diferente.

En primer lugar, la transparencia es clave: necesitan que sus clientes sepan lo que están comprando. Sin esta transparencia, normalmente es el precio el que más influye en la decisión de compra del cliente.

También deben garantizar el suministro de actualizaciones de firmware en caso de vulnerabilidades de su proveedor original. Los hábitos de la industria muestran que una vulnerabilidad detectada en los dispositivos de los proveedores originales, por lo general, no se corrige en los dispositivos de sus muchos socios OEM.

El fabricante

Las responsabilidades de ciberseguridad del fabricante son relativamente sencillas de comprender:

  • No incluya ningún aspecto intencional como puertas traseras, contraseñas codificadas, etc
  • Proporcionar las herramientas adecuadas para hacer que la administración cibernética de muchos dispositivos sea lo más simple y asequible posible
  • Educar a los demás sobre los riesgos y cómo evitarlos, tanto interna como externamente.
  • Registrar aspectos relevantes en guías de endurecimiento u otra documentación
  • Permitir el uso de mecanismos estándar para que los dispositivos sean lo más seguros posible
  • Informar a los socios y al canal sobre las vulnerabilidades y los parches disponibles

El investigador

Con mucha frecuencia, las vulnerabilidades son descubiertas por investigadores en lugar de piratas informáticos. Según el tipo de vulnerabilidad, estos investigadores deciden los próximos pasos a seguir. Si la vulnerabilidad no es intencional, se comunican con el fabricante y les dan una cierta cantidad de tiempo para corregir la vulnerabilidad antes de publicarla. Pero si se trata de una vulnerabilidad crítica con un carácter intencional, como una puerta trasera, instantáneamente se hacen públicas para crear conciencia entre los usuarios de ese producto.

El consumidor

Nuestro propio comportamiento también es un aspecto clave para una mentalidad ciber madura. ¿Con qué frecuencia cambiamos la contraseña de nuestro enrutador? ¿Qué tan complejas son nuestras propias contraseñas? ¿Usamos contraseñas diferentes o una contraseña «maestra» para la mayoría de las aplicaciones y servicios en línea que usamos? El comportamiento perezoso del usuario sigue siendo uno de los mayores beneficios para los piratas informáticos. Las contraseñas fáciles de adivinar y las que se utilizan en todos los inicios de sesión ponen a los consumidores en riesgo de que sus cuentas sean secuestradas.

Una sola persona por sí sola no puede cumplir la misión de crear y mantener un sistema ciberseguro. Only by having all stakeholders take responsibility for keeping data safe will we be successful in fighting cybercrime.

Una sola persona por sí sola no puede cumplir la misión de crear y mantener un sistema ciberseguro. Solo si todas las partes interesadas asumen la responsabilidad de mantener la seguridad de los datos, tendremos éxito en la lucha contra el ciberdelito. Solo si todas las partes interesadas asumen la responsabilidad de mantener la seguridad de los datos, tendremos éxito en la lucha contra el ciberdelito.

Lea la revista electrónica Axis Cybersecurity para obtener más información e inspiración sobre ciberseguridad.