Imagina por un momento que, después de gastarte miles de euros en sistemas de seguridad digital, de repente todos los datos de tu organización quedan expuestos. ¿Cómo es posible?
Cada día aumentan las posibilidades de hackeo de las comunicaciones y otros elementos desde el interior o el exterior de las organizaciones. Las nuevas tecnologías digitales han aumentado la interconectividad entre los sistemas de seguridad, pero aún no están lo suficientemente maduras, lo que permite a los ciberdelincuentes aprovecharse de la situación y amenazar toda la red de una organización utilizando un «simple» sistema de control de accesos como punto de entrada. Hay que tener en cuenta que, si en una solución de seguridad global se integra un solo sistema que sea vulnerable y está conectado a la red, supondrá una amenaza al sistema en su globalidad.
La ciberseguridad aplicada a los sistemas de control de accesos ha ido tomando más y más relevancia en los últimos años. Tanto, que sectores como los hospitales, la industria o el transporte (aeropuertos, puertos y ferrocarril), utilizan estos sistemas aplicados a sus infraestructuras críticas.
Por ello, es necesario aplicar soluciones ciberseguras de identificación y acceso en las instalaciones basadas en tarjetas sin contacto, en las que todas las comunicaciones punto a punto de los elementos que componen el sistema (desde el software de gestión hasta las tarjetas) se encuentran cifradas con keys únicas y propiedad del cliente.
Los sistemas de control de acceso son una poderosa herramienta que tiende a pasarse por alto como vector potencial de ataques cibernéticos, pero la realidad es que si un ciberdelincuente viola un sistema, no solo puede abrir y cerrar puertas sin permiso, sino que también puede obtener el control de cualquier otro sistema que esté conectado a la red.
Si este sistema carece de la seguridad cibernética adecuada, puede permitir a los ciberdelincuentes moverse a través de la red, tomar el control de otros sistemas de seguridad y obtener información de registros internos, así como acceso a toda la información de la organización.
Ciberseguridad: no solo cíber
Además de contar con controles de acceso cibernético seguros, es indispensable que la seguridad física de los dispositivos de acceso (como lectores, manillas, etc.) y de los datos asociados a estos equipamientos sea tratada como una pieza más de la ciberseguridad. El software debe estar actualizado siempre, realizando actualizaciones periódicas automáticas, para protegerlo contra posibles vulnerabilidades.
Las credenciales, bien sean tarjetas físicas o virtuales (en smartphone), en ningún caso deben estar sin cifrar, evitando así el poder realizar copias o compartirse fácilmente. En este sentido, el cifrado de claves Desfire® es el método más seguro (Common Criteria EAL5+), ya que incluye hasta seis claves diferentes; si existe la duda de un posible hackeo de la primera, se puede pasar a la segunda, y así sucesivamente. Esto únicamente es posible por parte del administrador de seguridad.
Actualmente, la legislación en ciberseguridad se circunscribe al ámbito IT o de elementos de software, dejando al margen el hardware. No obstante, la seguridad física de los dispositivos industriales y de los datos asociados de estos debe abordarse como una pieza más de la ciberseguridad industrial. Por ello, una de las principales preocupaciones ha de ser que los elementos de hardware estén fabricados y configurados a prueba de manipulaciones.
El peligro de «dejar pasar»
Una vez que un ciberdelincuente obtiene acceso a la red interna de seguridad, la empresa corre el riesgo de perder el control de sistemas de seguridad esenciales, como los de gestión de vídeo, alarmas de intrusión, incendios, etcétera. Otros sistemas conectados también son vulnerables, como los de ventilación o ascensores, que podrían usarse para paralizar la seguridad y las operaciones en una instalación.
Más allá de proteger el sistema de seguridad física, también deben salvaguardarse el resto de sistemas y la información que está conectada a la red. Por tanto, una tecnología, producto o solución única no es suficiente para proteger adecuadamente los sistemas de control. Es necesario emplear una estrategia multicapa que incluya dos o más mecanismos de seguridad que se superpongan; es decir, emplear estrategias de defensa en profundidad.
Igualmente, es importante controlar el acceso de los dispositivos a la LAN de la empresa, tanto si acceden desde el exterior como si están dentro de la misma.
Mediante la utilización de herramientas de control de accesos, podemos conectar a los trabajadores con los recursos de la empresa, protegiendo sus dispositivos independientemente de la localización, ya sea en el centro de datos, la nube o en aplicaciones móviles. El servicio permite al administrador configurar políticas de acceso para controlar el acceso a la nube y al centro de datos en función de dispositivos, localizaciones, recursos, usuarios y grupos, o incluso perfilado de endpoint.
Cuando hablamos de la ciberseguridad completa y global, nos referimos a proteger todos los aspectos del sistema, no solo las comunicaciones, los servidores y los datos, sino también aspectos relacionados con la vulnerabilidad de sistemas de seguridad física que pueden suponer un punto de entrada para posibles atacantes.
Plan de ciberseguridad
Según diversos informes, el 43 por ciento de los ciberataques se dirigen a pequeñas empresas, que suelen estar mal equipadas para defenderse contra este tipo de riesgo. El Barómetro Euler Hermes revela que dos de cada tres empresas han sufrido al menos un intento de fraude este año, y el 33 por ciento de estas compañías sufrieron un daño superior a 10.000 euros.
Considerar las medidas y sistemas de seguridad físicos como parte del plan de ciberseguridad es una práctica a considerar muy en serio. La empresa debe tener en cuenta, desde el inicio del diseño de una nueva infraestructura, todos los elementos que van a formar parte de la red de una manera u otra.
Además, el equipo de ciberseguriad debe realizar un análisis de riesgos de estos dispositivos y conocer, mediante pruebas test de intrusión, cómo puede afectar a la red si alguno de ellos es comprometido. Al fin y al cabo, la seguridad física es el pilar de la seguridad lógica.
Para ello, Dorlet proporciona una solución de control de accesos con todas las comunicaciones punto a punto protegidas y cifradas, con gestión exclusiva de las keys por parte del usuario final y sin acceso a esas keys por parte del fabricante ni el instalador. Es decir, la comunicación entre el software de gestión y las unidades de control (UCA), entre cada UCA y sus lectores, y entre cada lector y la tarjeta utilizada para acceder, está cifrada. Todas las keys necesarias se almacenan en una SAM (Secure Access Module) que se introduce en los diferentes elementos de la solución. Además, las keys se pueden dividir entre diferentes individuos para que no estén centradas en una única persona que tenga control total de toda la instalación.
Se dota, por tanto, de todos los medios necesarios para un control absoluto de la instalación, en los que ni Dorlet ni el resto de los fabricantes y/o empresa instaladora de seguridad tenga acceso a las keys. Esto impide cualquier intento de sabotaje o filtración por parte de personal ajeno a la propia organización.
Esta solución cuenta con la certificación Common Criteria EAL 6+, criterios comunes para la evaluación de la seguridad de las tecnologías de la información reflejados en la norma internacional (ISO/IEC 15408), que clasifica la soluciones en niveles en función del grado de exhaustividad con el que ha sido testado (EAL3+, EAL4+, etc.).
Contar con certificaciones que avalen que estas soluciones están reconocidas como ciberseguras es un must. Por eso, a la hora de elegir un sistema de control de accesos es primordial asegurarse de que los sistemas y fabricantes elegidos cuenten con todos estos certificados (EN-60839 en Control de Accesos Grado 4, Common Criteria, Esquema Nacional de Seguridad, etc.) para cumplir con los requisitos de protección necesarios