El show de la seguridad de la información y los sistemas de seguridad

Global Technology © 2019 | Todos los derechos reservados | Política del sistema de gestión | Declaración medioambiental Declaración de conformidad ENSAviso Legal

  • Twitter Social Icon
  • LinkedIn Social Icon
Please reload

Entradas recientes

LA SEGURIDAD INTEGRAL Y EL SISTEMA PIC

September 29, 2017

1/4
Please reload

Entradas destacadas

El show de la seguridad de la información y los sistemas de seguridad

July 5, 2017

(publicado en la revista Seguritecnia)

 

 

 

 

 

 

 

 

 

 

 

Raquel García Cabañero   

Responsable de Cumplimiento de 

Global Technology 4E

 

 

 

                                                              

 

 

 

 

 

Enrique Polanco                                                        

Socio director de Global                    

Technology 4E

 

 

 

El Show de Truman (dirigida por Peter Weir en 1998 y con Jim Carrey y Ed Harris como actores principales) es, como se dice de toda ficción, una pequeña parte de lo que puede ser la dura realidad. Truman se sentía libre y seguro, estando tranquilo en la ignorancia de que otros ejercían sobre él el enorme poder que otorga el control de la información sobre todo su entorno vital y que es capaz de modificar su percepción. La idea de una vida de ficción paralela a la realidad no resulta nada descabelladani innovadora. Tampoco es singular la dualidad de poder elegir entre vivir como simples actores o adoptar un papel de liderazgo dentro de la sociedad. En esta línea, nuestro propósito es enfocar la creciente preocupación por la seguridad integral y la aparición de escenarios, en los que la amenaza es multidisciplinar y con una enorme capacidad de mimetizarse en el ciberespacio, consiguiendo que nos olvidemos de que existe, mientras bebe de nuestra información hasta el momento de pegar el zarpazo definitivo o simplemente utilizando esa información en beneficio de sus tomas de decisiones. Coma la leona de la imagen, es dificil percibir la amenaza encubierta y expectante capaz de abrir brecha en cualquier momento en nuestras defensas.

 

La Innovación está al servicio de las nuevas 

tecnologías, jugando la seguridad física un importante 

papel en la protección de los sistemas ciber

 

Hasta hace no mucho tiempo, al igual que Truman, no sabíamos que estábamos siendo vigilados tan de cerca y todas nuestras actividades estaban siendo monitorizadas para interactuar sobre nosotros y nuestras decisiones cuando "ellos" lo estimaran conveniente. Si que teníamos la clara percepción de que nuestra ciberinformación era altamente vulnerable y por ello nos hemos estado preocupando bastante de protegerla. Nos hemos estado centrando en mantener le confidencialidad, integridad y disponibilidad de nuestros informáticos, pero hemos dejado un poco de lado la enorme dependencia que los sistemas de seguridad física tienen de los sistemas informáticos. No se ha dado suficiente importancia a la gran vulnerabilidad que supone la comunicación de nuestros sensores de todo tipo -vallado sensorizado, cámaras, cortinas IR, microondas, detectores de incendio, controles de acceso, etc.- basados en comunicaciones cíber y cuya seguridad puede quedarse coja en el momento de solaparse las responsabilidades entre dos mundos que no conozcan bien las capacidades y necesidades tecnológicas del otro.

¿Cómo es que alguien aún se puede extrañar de que todas las conexiones de sistemas tecnológicos a CCV deban estar regidas por los mas estrictos parámetros de ciberseguridad? ¿Como podemos dudar de que a las empresas de seguridadhomologadas para estas conexiones se les pueda exigir un mínimo conocimiento en esta disciplina? Hoy en día van apareciendo con cuentagotas estas exigencias en algunas ofertas y licitaciones (lo que no siempre ha sido bien recibido por quienes tienen sus procedimientos algo desactualizados), pero esperamos, y casi estamos seguros, que la evolución y desarrollo de la normativa de seguridad tomará cartas en el asunto y regule como perceptivas las buenas prácticas que el mundo ciber puede aportar a la seguridad global. Una de estas buenas prácticas podría ser, sin duda, obtener la certificación ISO 27001 por físicos y que los "lógicos" acrediten conocer la tecnología ciber integrada en los dispositivos antes comentados y que puedan implementar un sistema realmente seguro al instalar sistemas susceptibles de ser atacados por ambas amenazas. Como ya hemos comentado, la lista de estos sistemas es larga y cada vez hay menos dispositivos de seguridad que no dependan de la cibernética, y sistemas TIC (Tecnologías de la Información y la Comunicación) que no tengan algún tipo de vulnerabilidad física.

 

Normativa

 

 

Para reforzar la idea sobre la importancia de todo lo expuesto, es conveniente fijarse en la normativa sobre la Protección de Infraestructuras Críticas, a las que define como "aquellas instalaciones, redes, servicios y equipos físicos y de tecnología de la información cuya interrupción o destrucción tendría un impacto mayor en la salud, la seguridad o el bienestar económico de los ciudadanos o en el eficaz funcionamiento de las instituciones del Estado y de las administraciones públicas" y para las que indica que "la seguridad física y la ciberseguridad son áreas que deben ser abordadas de forma interrelacionada y con una perspectiva holística de la seguridad. Esto redundará en una visión global de la seguridad, posibilitando el diseño de una estrategia corporativa única y optimizando el conocimiento, los recursos y los equipos".

 

No se ha dado suficiente importancia a la 

vulnerabilidad que supone la comunicación de los 

sensores basados en comunicaciones ciber

 

Sin embargo, a veces es difícil discernir dónde acaba lo físico y dónde empieza lo ciber y viceversa, y lo que es muy importante, cuál es el nexo de unión entre ambas y quién es el responsable de su enlace. No olvidemos que los buenos estrategas tratan de introducirse en las defensas enemigas por el punto de menor cohesión. Es por ello que podemos establecer una relación entre los diferentes conceptos y tipos de seguridad (física y ciber en este caso) y el conjunto de elementos de apoyo que las pueda entrelazar, como pudiera ser la aplicación a rajatabla por todos los actores implicados de los controles contemplados en la norma ISO 27001. Así les pasaba a los personajes del show que,aunque en un principio se consideran entes independientes, convergen e interactúan dentro de un mismo escenario, donde cualquier vulnerabilidad o fallo de comunicación era inmediatamente explotada por el amigo Christof.

 

 

Actor Protagonista

 

Llegados a este punto, tendremos que pensar que el "actor protagonista", el bueno de la película, debiera ser la convergencia de la seguridad, pero a la que tuviéramos que proporcionarle las armas adecuadas para que tenga alguna posibilidad de ganar. Una buena arma sería la norma ISO 27001 que tan interesante nos está pareciendo. Incluso podría considerarse algo mas que una simple arma; podría ser ese personaje secundario, como el que nos muestra Truman, y que se considera fundamental para dar sentido a la trama. Esta norma es uno de los referentes a nivel nacional en internacional y especifica los requisitos para el establecimiento, implementación, mantenimiento y ejora continua de un sistema de gestión de seguridad de la información, en el contexto en el que se aplique. El alcance de la misma será el seleccionado por la organización, por lo que se puede aplicar tanto a procesos o servicios como incluso a toda una infraestructura de alto nivel. Por ello, sería de gran ayuda si por ejemplo es aplicada en el entorno de la configuración, instalación y conexión de cualquier dispositivo de seguridad tecnologico en un sistema avanzado de mando y control, como los que hoy en día se están implementando en las grandes corporaciones que conciben la seguridad como un activo indispensable para garantizar la continuidad del negocio.

Al referirnos a una norma de carácter internacional, no podemos dejar de fijarnos en el uso que se hace de ella en otros países con cierto nivel tecnológico. En este contexto, podríamos aceptar el nivel propuesto por el World Economic Forum que en su último Global Information Technology Report de 2016 incluye a España en el puesto 34 en ranking de países con respecto a su capacidad tecnológica en general. Sin embargo, y aunque los rankings basados en conceptos meramente cuantitativos, sin relacionarlos con parametros tales como población o numero de empresas activas, no reflejen con exactitud la importancia del dato, parece relevante destacar que según los datos de la ISO (Internacional Organization for Standardization) en su informe "Survey of management system standard certificactions 2006-2015" en el año 2015 España se encontraba en el décimo puesto con respecto al número de certificación  ISO 27001 otorgadas. No obstante, el número ha caido levemente en los tres últimos años reseñados.

 

Implementar un Sistema de Gestión de Seguridad de la

Información basado en la ISO 27001 contribuye a

elevar el nivel de seguridad

 

Para finalizar, y como conclusión, quisiéramos indicar que, aunque esta certificación tiene una enorme aceptación entra las empresas TIC, es en las empresas de seguridad eminentemente física en las que se debe preconizar su implementación en gran escala para mejorar el nivel de integración de todos los elementos y garantizar el mínimo espacio permeable de desconexión, somo se comentó más arriba. No obstante, también debiera hacerse un esfuerzo por parte de estas compañias para conocer mejor y facilitar la segura interconexión de estos sistemas. A modo de ejemplos, cualquier servicio de cloud computing necesita de sistemas físicos que los sustente y que deben ser convenientemente seguros; y un sistema antiintrusión, como una cámara de vigilancia o una valla de seguridad sensorizada, necesita de unas comunicaciones seguras para poder determinar el momento de producirse y posición exacta de una brecha de seguridad. La innovación está al servicio de las nuevas tecnologías, jugando la seguridad física un importante papel en la protección de los sistemas ciber, siendo la seguridad lógica la llave absoluta para garantizar la confidencialidad, integridad y disponibilidad de la seguridad física.

 

Implementar un Sistema de Gestión de Seguridad de la Información basado en la ISO 27001 contribuye positivamente a elevar el nivel de seguridad global. Ademas, cabe destacar que el Centro Nacional de Protección de las Infraestructuras Críticas incluye ésta como uno de los estándares de seguridad recomendables para su implementación en tan importantes infraestructuras.

 

 

Share on Facebook
Share on Twitter
Please reload

Síguenos
Please reload

Buscar por tags