Nada hecho por el hombre es 100% seguro -los errores de programación no pueden evitarse por completo- y cualquier proceso que dependa de los seres humanos es naturalmente defectuoso. Porque lo somos.
La ciberseguridad es una responsabilidad compartida, ninguna de las partes interesadas en el mercado puede luchar sola contra la ciberdelincuencia, todos tenemos que trabajar juntos para adelantarnos a los que tienen intenciones delictivas.
Echemos un vistazo a las distintas responsabilidades de las diferentes partes implicadas en la "cadena" de la ciberseguridad, que es tan fuerte como su eslabón más débil:
El usuario
La principal responsabilidad del usuario -la persona que tiene la responsabilidad de ejecutar la solución- es realizar las inversiones adecuadas en ciberseguridad. Esto puede hacerse de forma "DIY", es decir, el departamento de TI aplica las correcciones por sí mismo, o pagar a un integrador/instalador para que se encargue del mantenimiento del sistema. La vida útil de un sistema es fácilmente de 10 a 15 años. Suponer que no hay que hacer nada para mantener el sistema en buen estado durante ese tiempo es, en el mejor de los casos, una visión corta y bastante ingenua.
El integrador / instalador
Esta parte interesada desempeña un papel esencial en la ciberseguridad. El integrador/instalador debe asegurarse de que todos sus dispositivos, portátiles, móviles, etc., están parcheados con las últimas actualizaciones del sistema operativo y de que ejecutan un sofisticado escáner de virus.
Las contraseñas seleccionadas deben ser lo suficientemente complejas e individuales al menos por cliente y sitio. Hay que evitar la costumbre general de utilizar una sola contraseña maestra para facilitar el servicio de los dispositivos. El acceso remoto a las instalaciones debe ser limitado y todos los dispositivos que se conecten al sistema del cliente deben ser revisados muy cuidadosamente en busca de virus para evitar cualquier tipo de infección.
El mantenimiento del software de videovigilancia y del hardware conectado sigue siendo algo que se lleva a cabo en muy pocas ocasiones o con poca frecuencia. Una vez instalados, estos sistemas normalmente sólo se actualizan si se añaden más dispositivos o se solicitan funcionalidades adicionales al usuario.
Sin un mantenimiento regular, la ciberseguridad disminuirá con el tiempo. La probabilidad de que se encuentre una vulnerabilidad en el contexto del sistema, es decir, el sistema operativo, el software o el hardware, es casi del 100%. Aunque el riesgo parezca bajo, toda vulnerabilidad conocida debe ser corregida. En la mayoría de los casos no es necesaria una aplicación instantánea de la corrección, pero se recomienda encarecidamente una actualización bianual de todo el sistema.
Es responsabilidad del integrador informar a sus clientes sobre este procedimiento, que en el sector de la seguridad no especializado en TI todavía no es tan conocido como debería.
El consultor
Otro componente esencial es el trabajo de los consultores, las personas que especifican los componentes de los sistemas de seguridad.
Los consultores no sólo deben especificar las características y propiedades correctas de los productos, sino que también tienen la responsabilidad de especificar el mantenimiento durante la vida útil del sistema. Al hacerlo, pueden destacar la importancia esencial de mantener el sistema actualizado y también ser transparentes sobre el coste potencial de hacerlo.
Sin embargo, en el contexto de los dispositivos OEM/ODM que se instalan, es muy difícil garantizar este aspecto del mantenimiento; la mayoría de los clientes no comprarían un sistema cuyo mantenimiento es un juego de azar.
El distribuidor
Para un distribuidor puro, el tema de la ciberseguridad es muy sencillo: sólo se ocupan de la logística y no tocan el producto en sí. Sin embargo, los distribuidores de valor añadido deben tener en cuenta los mismos aspectos que los integradores o instaladores, como se ha descrito anteriormente.
Para los distribuidores que también revenden los denominados dispositivos OEM/ODM, aquellos que compran a un fabricante y reetiquetan con otra marca (o la propia), se aplica un conjunto de normas totalmente diferente.
Lo primero y más importante es la transparencia: Tienen que hacer saber a sus clientes lo que están comprando. Sin esta transparencia, el precio suele ser lo que más influye en la decisión de compra del cliente.
También tienen que garantizar el suministro de actualizaciones de firmware en caso de vulnerabilidad de su proveedor original. Los hábitos del sector demuestran que una vulnerabilidad detectada en los dispositivos de los proveedores originales no suele solucionarse en los dispositivos de sus numerosos socios OEM.
El fabricante
Las responsabilidades de ciberseguridad del fabricante son relativamente sencillas de entender:
No incluir aspectos intencionados como puertas traseras, contraseñas codificadas, etc.
Suministrar las herramientas adecuadas para que la gestión cibernética de muchos dispositivos sea lo más sencilla y asequible posible
Educar a otros sobre los riesgos y cómo evitarlos, tanto interna como externamente
Registrar los aspectos relevantes en las guías de endurecimiento u otra documentación
Permitir el uso de mecanismos estándar para que los dispositivos sean lo más seguros posible
Informar a los socios y al canal sobre las vulnerabilidades y los parches disponibles.
El investigador
Las vulnerabilidades son descubiertas muy a menudo por investigadores más que por hackers. En función del tipo de vulnerabilidad, estos investigadores deciden los pasos a seguir. Si la vulnerabilidad no es intencionada, se ponen en contacto con el fabricante y le dan un cierto tiempo para solucionar la vulnerabilidad antes de publicarla. Pero si se trata de una vulnerabilidad crítica de carácter intencionado, como una puerta trasera, la hacen pública al instante para concienciar a los usuarios de ese producto.
El consumidor
Nuestro propio comportamiento es también un aspecto clave para una mentalidad cibermadura. ¿Con qué frecuencia cambiamos la contraseña de nuestro router? ¿Cómo de complejas son nuestras propias contraseñas? ¿Utilizamos diferentes contraseñas o una contraseña "maestra" para la mayoría de las aplicaciones y servicios en línea que utilizamos? El comportamiento perezoso de los usuarios sigue siendo uno de los mayores beneficios para los hackers. Las contraseñas fáciles de adivinar y las que se utilizan en todos los inicios de sesión ponen a los consumidores en riesgo de que sus cuentas sean secuestradas.
Un solo individuo no puede cumplir la misión de hacer y mantener un sistema ciberseguro. Sólo si todas las partes interesadas asumen la responsabilidad de mantener los datos seguros, tendremos éxito en la lucha contra la ciberdelincuencia.
