Recientes acontecimientos nos han hecho reflexionar sobre el enfoque en materia de ciberseguridad en todas las organizaciones, ya sean públicas o privadas. Por ejemplo, los delincuentes intentaron sacar provecho del impacto que tuvo la pandemia en nuestras vidas con un trabajo remoto masivo desde el hogar. Como dato, exponer que en Europa hubo alrededor de 300 ataques maliciosos de cierta importancia durante 2020, más del doble de los detectados en 2019. Ahora, de nuevo y sin apenas tregua, nos enfrentamos a una situación similar con motivo de la guerra entre Ucrania y Rusia.
John Edwards, comisionado de Información del Reino Unido, declara que estamos en una nueva era para la seguridad y que las empresas y organizaciones deben intensificar su vigilancia contra los ciberataques, a veces promocionados por Estados.
No en vano, los productos y soluciones de videovigilancia son uno más de los objetivos a atacar. El incremento en la utilización de dispositivos conectados, entre los que se encuentran cámaras y elementos IoT (Internet de las Cosas), aumenta las oportunidades para que los ciberataques puedan causar daños.
Situación actual
Las cámaras actuales son muy avanzadas y cuentan con distintas medidas de protección. No obstante, hay que tener presente un gran número de dispositivos existentes, heredados, que deben mantenerse actualizados para no servir como ruta de entrada para un ciberataque.
Aunque muchas organizaciones invierten en sistemas de seguridad física, lamentablemente no siempre tienen presente que sus dispositivos de videovigilancia e IoT puedan ser un serio problema de ciberseguridad. Cualquier cámara o dispositivo conectado puede convertirse en un punto de apoyo para lanzar un ataque en la red de una empresa u organización. Por no hablar de un acceso a malintencionado a material confidencial o sensible a través de las imágenes, por ejemplo.
Cualquier cámara o dispositivo conectado puede convertirse en un punto de apoyo para lanzar un ataque en la red de una organización
De ahí que los fabricantes estén invirtiendo de forma notable en ofrecer soluciones para estas preocupaciones por medio de tecnología (software y hardware), formación, colaboración con los clientes y acreditaciones formales que pongan en valor la seguridad de sus procesos y soluciones.
Certificaciones de ciberseguridad
Las normativas y certificaciones son también clave en este tema. Tomemos como punto de partida la denominada Ley de Autorización de Defensa Nacional. Un proveedor que cumple con esta normativa muestra los estándares necesarios requeridos por agencias federales, tratándose de un nivel muy alto de seguridad y diligencia que transmite tranquilidad y garantía a las organizaciones y entidades gubernamentales de los Estados Unidos.
También es importante el Programa de Garantía de Ciberseguridad UL. Esta certificación incide en el diseño de los productos en materia de ciberseguridad a fin de fabricar y ofrecer sistemas más estables y seguros, con un mantenimiento regular y parches para garantizar que las vulnerabilidades se mitiguen de forma rápida y proactiva.
Otra marca de certificación es Secure by Default, que muestra que un producto es seguro para la red de forma predeterminada sin necesidad de aplicarle un refuerzo.
Además, es muy recomendable tener presente la ISO 27001, que garantiza, desde un proveedor, una correcta gestión en materia de seguridad de la información.
Por último, tenemos la FIPS 140-2, estándar para la acreditación de los módulos criptográficos de los ordenadores de los Estados Unidos. No en vano, cada vez tienen mayor presencia en las cámaras de videovigilancia.
Nuevas propuestas de ciberseguridad para proveedores
Y esto es solo el principio. Organismos como el Consejo Europeo están trabajando en propuestas legislativas, en revisiones de directivas o en marcos de certificación, entre otros, para abordar los riegos actuales y futuros en la red. Por ello, proveedores, instaladores y usuarios hemos de estar muy atentos a próximos movimientos.
La cantidad de recursos y de investigación que dedica un proveedor para mantenerse a la vanguardia de las amenazas más recientes indicará exactamente qué tan seguros son sus sistemas y qué tan seguros serán en el futuro. Si se descubre una vulnerabilidad, reaccionar con rapidez es crítico para el negocio.
Compañías como Hanwha Vision cuentan con las certificaciones mencionadas y con equipos dedicados para dar respuestas más rápidas a posibles amenazas de ciberseguridad. Es más, su equipo S-CERT (Security Vulnerability Response Center) se dedica a diseñar medidas de seguridad proactivas contra el acceso no autorizado y la intrusión en dispositivos de videovigilancia, así como a afrontar con rapidez cualquier vulnerabilidad de seguridad.
Sin embargo, ningún sistema puede estar al cien por cien protegido. Por eso, es fundamental trabajar con un proveedor que tenga una singular dedicación a la ciberseguridad (y que disponga de credenciales que lo demuestren), recursos asignados para estar al tanto de posibles amenazas y que trabaje con sus usuarios e instaladores para mejorar también sus conocimientos sobre ciberseguridad.
Ni que decir tiene que el hardware debe estar actualizado con el firmware y los parches de seguridad más recientes.
Factor humano
Además, el elemento humano aquí es clave: formación y compromiso para mantener un sistema seguro y evitar ataques. Hay mucho en juego en todas las organizaciones que gestionan datos, particularmente el tipo de datos confidenciales de identificación personal que las cámaras y otros sensores de seguridad pueden capturar.
Al final no se trata solo del coste económico, siendo éste de por sí muy importante, también se han de tener en cuenta los daños a la reputación de la empresa u organización, a las operaciones y a la confianza.
Ahora que las cámaras de videovigilancia y otros dispositivos de seguridad IP son lo habitual, combatir las amenazas en ciberseguridad mediante tecnología, habilidades, formación y certificaciones debe ser estratégico en la industria de la seguridad en general y de la videovigilancia en particular.