A estas alturas, no creo que quede ya nadie que no sea consciente de la amenaza que supone el cibercrimen. De uno u otro modo, todos estamos expuestos, como ya lo estábamos antes al crimen tradicional. Sabemos que tenemos que extremar las precauciones con nuestras tarjetas de crédito, nuestros dispositivos móviles, nuestras cuentas de compra on-line y de redes sociales, nuestro correo electrónico, el WhatsApp y el propio ordenador, y con todo aquello que esté conectado a internet. Las contraseñas, las credenciales y los códigos de acceso son nuestro día a día.
Sin embargo, confiamos en que todos esos dispositivos que utilizamos estén dotados de las necesarias medidas de protección para evitar ser hackeados, al menos si nosotros no cometemos errores en esas precauciones básicas. No pondríamos en peligro ninguna de nuestras actividades, información y activos digitales de saber que esos dispositivos no resistirán debidamente los ataques más generalizados que el mundo del cibercrimen va poniendo de actualidad. Por ello, la mayoría de los fabricantes nos asisten con continuas actualizaciones de su software en una clara muestra de compromiso y preocupación por sus clientes, y por supuesto, para evitar sanciones, que con las nuevas regulaciones son cada vez más onerosas.
Cuando se trata de dispositivos personales, poca broma. No obstante, hoy día, la mayoría de los dispositivos que ejecutan tareas profesionales tienen conexión a redes y con frecuencia a internet. Vivimos en la era del IoT (Internet of Things) el internet de las cosas o el internet de (casi) todas las cosas. La iluminación, la climatización, la domótica, los sistemas de control de producción, los dispositivos de control de tráfico, de señalización, los vehículos, y en general todos los sistemas supervisados y con gestión de mantenimiento está de uno u otro modo conectados a redes y en muchos casos a la nube, o como decíamos no hace tanto, a internet.
Es el caso también de los sistemas de seguridad física, los sistemas de alarma de intrusión, los de control de accesos y desde luego los de videovigilancia. Siendo sistemas instalados por empresas especializadas y homologadas, esa confianza en su resistencia al ciberataque viene además reforzada por la asunción de que los profesionales que nos instalan el sistema habrán hecho la pertinente selección de productos debidamente preparados y habrán sido eficientes en su configuración para garantizar un alto grado de protección. Vamos a pensar que es así, y que ese ejercicio de profesionalidad nos proporciona la tranquilidad deseada. Pues ya está, un buen sistema, bien configurado y en muchas ocasiones sin conectar a internet (o eso pensamos). Es muy habitual encontrar este argumento cuando se afronta el riesgo al que están expuestos los sistemas de seguridad. Si no hay contacto o conexión con el exterior, no hay riesgo. Es una ilusión. Todos los sistemas hoy día, desde que son operados por personas que interactúan con otros medios y entornos, están de uno u otro modo expuestos a un ciberataque. Muchos de ellos además sin nosotros ser conscientes, están comunicados con algún servicio en la nube (envío de alarmas, mantenimiento, gestión remota, etc.). Mal haremos pues si desestimamos el riesgo y no ponemos atención a qué tenemos instalado, cómo está instalado y cómo está actualizado.
Uno de los aspectos que introduce la lucha contra las ciber amenazas es sin duda el factor tiempo. Estábamos habituados a evaluar la eficacia y resistencia de un elemento de seguridad física en el momento de su adquisición e instalación, estimando que una simple revisión de que esas propiedades no se habían visto alteradas, bastaría para que siguiera ofreciendo un buen servicio. Pero hoy, la capacidad de un dispositivo para resistir y protegerse de los ataques no es atemporal, se ve mermada con el tiempo a medida que aparecen nuevas formas de ataque y nuevas vulnerabilidades son descubiertas. Por lo tanto, es imprescindible actualizar el software (firmware, Sistema Operativo, etc) con las nuevas versiones que el fabricante va facilitando. Y confiar en la diligencia y compromiso del fabricante para estar vigilante y pronto en la respuesta a las nuevas amenazas.
No parece una buena práctica no ejecutar las actualizaciones que el fabricante de nuestro teléfono móvil o nuestro sistema operativo del ordenador nos envían y sugieren (a veces más que sugerir) sin que las hayamos pedido ni buscado nosotros. Esos fabricantes nos envían las actualizaciones porque nuestros dispositivos están conectados a internet y de algún modo al fabricante.
Pero ¿qué sucede con nuestros dispositivos de seguridad?
Es habitual asumir que nuestro mantenedor se encargará de ello, pero ¿es así? ¿cómo lo hace? ¿tiene herramientas para hacerlo? Tengamos en cuenta que pueden ser decenas, cientos o miles de dispositivos y que un fabricante responsable y comprometido puede publicar entre 5 y 10 actualizaciones al año dependiendo de las vulnerabilidades descubiertas.
Todo este análisis nos conduce a generar una conciencia de ciberseguridad en la gestión de nuestros sistemas de seguridad. Partiendo de la evaluación de los productos y soluciones contemplando el aspecto de su ciberseguridad, la competencia del integrador / instalador para una correcta configuración y proceso de mantenimiento y actualización a lo largo de la vida útil del sistema.
Para ello, enumero aquí algunas preguntas que deberíamos hacernos antes de implantar un sistema y durante su explotación:
- ¿Es el fabricante de los dispositivos, confiable y diligente con las actualizaciones? ¿Muestra transparencia en la gestión de vulnerabilidades?
- ¿Hasta qué fecha me garantiza el fabricante las actualizaciones de los dispositivos?
- ¿Está mi instalador debidamente capacitado para configurar y utilizar todas las medidas técnicas de ciber protección?
- ¿Podrá el sistema incorporar todas las políticas de ciberseguridad de nuestra organización?
- ¿Está contemplado el mantenimiento y actualización de los dispositivos? ¿Quién lo asume? ¿con qué herramientas cuenta?
Definitivamente, la ciberseguridad no es solo una característica intrínseca de los dispositivos y sistemas que podamos encontrar en la hoja de datos. Se trata más bien de un modo de afrontar las amenazas combinando las medidas técnicas con protocolos de acción y procedimientos de gestión que mantengan nuestros sistemas actualizados y preparados para resistir los ciberataques que sin ninguna duda se van a producir. Sin el compromiso de todas las partes que intervienen (fabricante, instalador, mantenedor y usuario) y la responsabilidad compartida por todos ellos, no alcanzaremos una ciberseguridad efectiva en nuestros sistemas.
