El cumplimiento del RGPD (Reglamento General de Protección de Datos) y la ciberseguridad están intrínsecamente relacionados. Mientras que el primero implica a los gobiernos y reguladores que pretenden proteger los datos personales, al mismo tiempo los ciberdelincuentes planean cómo robar estos datos para obtener beneficios económicos.
Los riesgos asociados a la complacencia en torno al cumplimiento del RGPD y a una ciberseguridad inadecuada han sido muy publicitados en la prensa desde la entrada en vigor del reglamento. Tanto British Airways como Marriott International fueron dos ejemplos muy destacados que aparecieron en los titulares tras ser multados por la pérdida de datos de clientes tras ser víctimas de ciberataques.
Esto eleva la importancia de una estrategia de ciberseguridad de la empresa para minimizar las posibles multas que pueden llegar a producirse en caso de que los sistemas se vean comprometidos. La legislación de la UE ofrece ahora a los reguladores la posibilidad de imponer cuantiosas multas de 20 millones de euros o del 4% del volumen de negocios global de una empresa, lo que sea más elevado.
Mientras los riesgos relacionados con los ciberataques y las violaciones de datos siguen aumentando, también lo hacen las sanciones y multas asociadas si se considera que se han tomado medidas inadecuadas de ciberseguridad. CSO, el proveedor global de noticias, análisis e investigación sobre seguridad y gestión de riesgos, informa que, en conjunto, los ciberataques y las violaciones de datos son el riesgo empresarial número uno en la actualidad.
Las recientes y cuantiosas multas del RGPD han provocado una gran conmoción en el sector. Un nuevo estudio de la empresa de seguridad de datos Clearswift ha demostrado que las sanciones económicas han empezado a influir en los planes de gasto de los consejos de administración en relación con la ciberseguridad. Clearswift afirma que casi un tercio de las empresas (32%) hace referencia a las multas del RGPD contra British Airways y Marriott International como la razón principal para un aumento de la implicación a nivel de la junta directiva y/o la provisión de gastos en seguridad informática.
Los consejos de administración se están dando cuenta de que el coste del incumplimiento, de un ciberataque o de una violación de datos, es significativamente mayor que cualquier ahorro potencial conseguido al seleccionar equipos más baratos de una organización que no puede demostrar su madurez cibernética. El impacto de una multa, el daño a la reputación, la denegación de servicio o la pérdida de confianza de los clientes, tiene una importancia mucho mayor.
Consideración de la conformidad y oportunidades para los integradores de sistemas
Todas las partes interesadas tienen que desempeñar su papel para asegurarse de que una organización está protegida contra un ciberataque. Los integradores de sistemas de seguridad que comprendan los retos de la ciberseguridad y puedan demostrar su madurez cibernética obtendrán un mayor nivel de confianza de sus clientes actuales, así como de los nuevos clientes potenciales.
Al mismo tiempo, alinear su oferta para ayudar a aliviar el riesgo asociado a los ciberataques mediante sistemas de seguridad física generará nuevas oportunidades. Al igual que cualquier capa de seguridad, no hay que esperar que esto se dé gratis. Las organizaciones ven cada vez más el valor de pagar a terceros para apoyar su estrategia de ciberseguridad y minimizar la exposición a un ataque.
Como resultado, el departamento de TI está prestando una gran atención y ejerciendo una mayor influencia. Es fundamental tener en cuenta las expectativas de los responsables de TI y de los departamentos de seguridad, y está claro que esperan que los integradores de sistemas asuman responsabilidades como la actualización de los sistemas y el parcheado del firmware. En resumen, los responsables de TI quieren que el soporte de terceros se comporte como un socio, no como un simple proveedor.
El valor de un contrato de servicio y mantenimiento
Mientras que algunos integradores de sistemas han visto cómo los contratos de servicio y mantenimiento han disminuido en los últimos años, no ha sido así para los que se ocupan de los sistemas informáticos. La realidad actual es que los sistemas de seguridad física y electrónica se han convertido en sistemas informáticos, utilizando en gran medida la misma infraestructura.
Ya han pasado los días en los que se necesitaba cualquier tipo de mantenimiento mecánico para apoyar las tecnologías de las cámaras. Sin embargo, esto no significa que el valor de un contrato de servicio y mantenimiento haya cambiado, y siguen siendo necesarias las mismas prácticas recomendadas.
No es de extrañar que hayamos visto una reducción en el número de contratos de servicio y mantenimiento que se emiten más allá del período de garantía y defectos de algunos clientes. Pero, para empresas como esta, sin contrato de servicio y mantenimiento, ¿quién es responsable de mantener la integridad de la ciberseguridad relacionada con estos sistemas? Si no se asegura de que se llevan a cabo actualizaciones periódicas y se mantiene la seguridad del sistema, una organización se está abriendo al riesgo de que se produzca una violación de los datos, no de que se produzca.
Si ha sido designado como proveedor de servicios y mantenimiento del cliente, puede existir la expectativa de que esto cubra todos los aspectos del hardware y el software, a menos que el contrato establezca lo contrario. Para aclarar el requisito de soporte centrándose en las actualizaciones de firmware y los parches, es útil hacer las siguientes consideraciones con el cliente:
- Si las actualizaciones de firmware y los parches no están incluidos en el contrato de asistencia, ¿quién es responsable de ellos? En consecuencia, ¿cuáles son las repercusiones de que otra parte interesada lleve a cabo estas actualizaciones en un sistema cuyo mantenimiento es responsabilidad suya?
- Si no incluyes las actualizaciones de firmware y parches como parte de tu oferta, ¿cuál será la percepción del cliente, especialmente si tus competidores pueden proporcionar este servicio?
A partir de estas consideraciones, podemos ver que es ventajoso para un integrador de sistemas entender el enfoque del fabricante sobre las actualizaciones de firmware y los parches. El conocimiento del proceso, que puede ser tan sencillo como eficaz, ayudará a articular su enfoque de la ciberseguridad y a confirmar que todas las actualizaciones y requisitos de seguridad están incluidos en su oferta.
En última instancia, esto se reflejará favorablemente durante el proceso de contratación. Demostrar que entiende la importancia de los contratos de servicio y mantenimiento actuales más allá del tradicional mantenimiento preventivo planificado generará confianza entre su base de clientes y apoyará la obtención de contratos.
Por qué son tan importantes las actualizaciones del firmware y los parches
En el Reino Unido, la Oficina de Comisionados de Información (ICO), el equivalente a las Autoridades de Protección de Datos (DPA) que pertenecen a cada estado miembro de la UE, ha publicado en el pasado orientaciones específicamente relacionadas con la gestión de parches. Dichas orientaciones afirman lo siguiente "El hecho de no parchear las vulnerabilidades conocidas es un factor que la ICO tiene en cuenta a la hora de determinar si una infracción del séptimo principio de la Ley de Protección de Datos* es grave para justificar una sanción civil momentánea". (*Equivalente al GDPR).
Las malas prácticas de gestión de los parches que conducen a importantes violaciones de los datos de los consumidores son un problema para las organizaciones mundiales que es necesario abordar. No en vano, su incumplimiento ha dado lugar a sanciones económicas.
Una estadística preocupante publicada por CSO es que "el 60% de las filtraciones implicaban vulnerabilidades para las que existía un parche pero no se aplicaba". Si un integrador de sistemas no ha actualizado los sistemas cuando los parches y las actualizaciones de firmware han estado disponibles, cabe suponer que, como procesador de datos, el integrador de sistemas también sería responsable de parte de la multa asociada.
Entonces, ¿qué están haciendo sus socios tecnológicos para ayudarles a apoyar a sus clientes en el reto de la seguridad? Y lo que es igualmente importante dentro del panorama competitivo, ¿qué están haciendo para ayudarle a obtener más oportunidades de negocio en materia de ciberseguridad a través de herramientas y servicios que le permitan operar de forma más eficiente?
AXIS Device Manager
AXIS Device Manager es una forma fácil, rentable y segura de gestionar los dispositivos conectados. Ofrece a los instaladores y administradores de sistemas una herramienta eficaz para gestionar todas las tareas de instalación, seguridad y mantenimiento.
Una de las principales ventajas de AXIS Device Manager es la capacidad de reforzar todos los dispositivos Axis conectados a la red. Este proceso reduce las vulnerabilidades y lagunas de seguridad de acuerdo con la Guía de Endurecimiento de Axis. La Guía de Endurecimiento de AXIS sigue usos de referencia como los Controles CIS - Versión 6.1, anteriormente conocidos como SANS Top 20 Critical Security Controls.
Este proceso permite a los ingenieros de puesta en marcha crear un perfil de endurecimiento del dispositivo que puede guardarse como ajuste de configuración y publicarse en el resto de los dispositivos de la organización. Esto reduce significativamente el tiempo de puesta en marcha, mientras que al mismo tiempo crea un enfoque en capas que limita un único punto de fallo y exposición, endureciendo el sistema en su conjunto.
La capacidad de actualizar el firmware y los parches de forma rápida y eficaz permite a los integradores de sistemas supervisar de forma proactiva los sistemas de videovigilancia y llevar a cabo todas las actualizaciones sin afectar a las integraciones actuales con los sistemas conectados. AXIS Device Manager permite el seguimiento de todas las actualizaciones de firmware emitidas para abordar cualquier exposición de vulnerabilidad común (CVE), en línea con la política de gestión de vulnerabilidad de Axis.
Estrategia de firmware
Se ha informado de que las actualizaciones del firmware serán más importantes que los acuerdos de garantía del hardware. Esto no es una sorpresa si tenemos en cuenta que las garantías de hardware de los fabricantes oscilan entre uno y cinco años, aunque en realidad lo que se espera es que las tecnologías se implanten durante siete o diez años o más. Al mismo tiempo, existe un riesgo cada vez mayor para las empresas en torno a los ciberataques y las violaciones de datos. El hecho de que el hardware esté fuera de garantía no significa que el fabricante deba dejar de proporcionar actualizaciones de firmware.
Un buen ejemplo es la estrategia que ofrece Axis como parte de su gestión continua del ciclo de vida de los dispositivos. La primera opción es el soporte activo que añade funciones además de mejorar la ciberseguridad y la estabilidad. La segunda opción es el soporte a largo plazo (LTS). Esto proporciona tranquilidad para no perder las integraciones que se han desarrollado porque con el LTS no se añaden nuevas funciones. Si el equipo ya tiene la funcionalidad que necesita, LTS es la opción de soporte recomendada.
Ningún equipo es eterno. La innovación impulsa el cambio tecnológico y es aquí donde vemos que surgen las oportunidades. Aunque las funciones operativas para resolver los problemas de la empresa suelen ocupar un lugar destacado en la agenda de una organización, siempre se requiere un argumento comercial sólido. Incluso en ese caso, es posible que no se apruebe el presupuesto en el consejo de administración. Sin embargo, reflexionar sobre el riesgo que supone no actualizar las tecnologías con un enfoque de ciberseguridad, en lugar de centrarse en las eficiencias operativas, puede ser un enfoque más eficaz para asegurar la inversión.
Consideraciones y oportunidades para el "fin de" los equipos
Otras dos consideraciones a la hora de apoyar a su cliente en torno a las estrategias de sustitución de equipos son los equipos al final de su vida útil y los equipos al final de su vida útil. Entender la diferencia ayuda a explicar cómo se pueden aprovechar las oportunidades y presentarlas a sus clientes.
Fin de la vida útil
El fin de la vida útil (EOL) es un término que indica que el proveedor dejará de vender el producto, normalmente cuando haya una nueva oferta disponible. Las organizaciones que utilizan una tecnología que ha alcanzado el EOL no deben entrar en pánico, ya que a menudo significa que hay una alternativa mejor disponible. El fin de la vida útil tampoco debería afectar al periodo de garantía del fabricante.
Fin de soporte
El fin del soporte (EOS) se produce cuando el proveedor deja de dar soporte a un producto o servicio y, normalmente, se refiere a hardware y software. Mientras que un fabricante creíble documentará la fecha de EOS cuando avise de que un producto va a llegar al final de su vida útil, es vital para una organización hacer un seguimiento de los períodos de EOS relacionados con las tecnologías desplegadas en su empresa. Esto se debe a que EOS es el punto en el que el proveedor dejará de dar soporte con actualizaciones de firmware y parches, abriendo el riesgo de explotaciones y violaciones de datos. Por este motivo, el EOS es un factor clave que deben tener en cuenta los responsables de las políticas de TI y la estrategia de ciberseguridad de un centro.
En algún momento, todo el software quedará desfasado y obsoleto. Cuando llega a esta fase, una recomendación del Centro Nacional de Ciberseguridad del Reino Unido, el equivalente a la Agencia de Ciberseguridad de la Unión Europea (ENISA), es que no se utilice. La organización reconoce que esto no siempre es posible, pero destaca los problemas de utilizar software obsoleto de la siguiente manera:
- El software ya no recibirá actualizaciones de seguridad de sus desarrolladores, lo que aumenta la probabilidad de que los atacantes conozcan las vulnerabilidades explotables
- Las últimas mitigaciones de seguridad no están presentes en el software más antiguo, lo que aumenta el impacto de las vulnerabilidades, haciendo que la explotación tenga más probabilidades de éxito y dificultando la detección de cualquier explotación.
La combinación de estos problemas significa que es más probable que se produzcan incidentes de seguridad de alto impacto, incluido el malware desarrollado para explotar las vulnerabilidades "gusano", que puede causar consecuencias catastróficas en toda una organización.
La mayoría de las grandes organizaciones comprenden que el software y el hardware tienen una vida útil y están dispuestas a incorporar una estrategia de sustitución de hardware en los presupuestos anuales para mitigar cualquier riesgo innecesario. Esto crea una oportunidad para que los proveedores de mantenimiento apoyen a su cliente cuando busque actualizarse a nuevas tecnologías.
Para las organizaciones que no cuentan con un programa de gestión del ciclo de vida, esto ofrece a un integrador de sistemas de seguridad la oportunidad de apoyar proactivamente a sus clientes y aconsejarles cuándo será necesaria una actualización tecnológica. Esto permite planificar con tiempo los presupuestos a asignar y los proyectos a asegurar para mantener la integridad de la seguridad de los sistemas desplegados.
Demuestre su apoyo a la ciberseguridad
Los temas de la ciberseguridad y el cumplimiento del GDPR ocupan un lugar destacado en la agenda de la mayoría, si no de todos, los usuarios finales. Ser capaz de demostrar su conocimiento y comprensión de estos desafíos y cómo planea apoyar a sus clientes con su estrategia de ciberseguridad sólo puede ayudar a diferenciar positivamente su oferta.
Al utilizar las herramientas gratuitas que proporciona Axis, no sólo protegerá a sus clientes al examinar los riesgos que plantean los ciberataques y las violaciones de datos, sino que podrá convertirse en un asesor y socio de confianza. Las herramientas de Axis le permitirán apoyar a los clientes con estrategias de sustitución de equipos EOS y permitir que las funciones de seguridad y TI planifiquen presupuestos precisos por adelantado. Para usted, puede proporcionar una mejor visibilidad de los proyectos futuros y conducir a un mayor número de contratos de servicio y mantenimiento.
