1 31 Table of Contents 33 162

seguritecnia 434

30 SEGURITECNIA Septiembre 2016 Seguridad Corporativa definida por el eslabón más débil conectada a ella. Imaginemos que un atacante puede explotar una vulnerabilidad en estas cámaras accediendo mediante una mala configuración de la conexión inalámbrica. Esto abre la posibilidad de comprometer la red interna por la que puede circular información sensible, incluso sin estar físicamente en el edificio. Otro posible escenario sería que un atacante comprometiera el ordenador del sistema de vigilancia reproduciendo un “vídeo” en bucle en pantalla completa de manera que el vigilante de seguridad no pueda visualizar realmente lo que trasmiten las cámaras, pudiendo, por tanto, realizar una intrusión física sin ser detectado. Vulnerabilidades El número de vulnerabilidades públi- cas y accesibles para todo el mundo en Internet está creciendo significativa- mente. Una simple búsqueda en Goo- gle “camera site: www.cvedetails.com ” nos permite hacernos una idea del nú- mero de inseguridades de este tipo de dispositivos (ver imagen 1). Normalmente, el ámbito de las Tecnologías de la Información (TI) dedica todo su esfuerzo en implantar medidas digitales ( firewall , IPS, IDS, SIEM, etc.) y se suelen realizar ejercicios de auditorías de ciberseguridad y/o test de intrusión para ponerlos a prueba (ciberejercicios), quedando f uer a del al cance l os sis temas generalmente asociados a seguridad física, como pueden ser tarjetas de acceso, tornos y sensores de movimiento o calor. Las brechas de seguridad suelen aparecen en la intersección de varios departamentos o áreas donde la responsabilidad no parece estar muy clara. L as compañías empiezan a con- cienciarse cada vez más, y con buen criterio, de que la seguri- dad física y lógica deben estar siempre unidas de la mano. Por ello se habla de convergencia de los diferentes puntos de vista de la seguridad. Los nuevos ataques combinan técnicas que pueden estar dentro de una u otra área, o incluso en ambas a la vez. Recordemos que el objetivo no es un departamento u área de la empresa, sino los activos de la organización. Aparecen en este entorno, como muchas veces en la seguridad, conceptos mili t ares: Red Team / Blue Team como equipos atacante y defensor, con una visión holística de dichas funciones. Durante los últimos años han apa r e c i do nuevos d i spos i t i vos asociados con la seguridad física. El Internet de las Cosas se está introduciendo progresivamente en nuestro ámbito laboral (además del personal). Estos elementos son un vector más a tener en cuenta como vía de acceso a nuestra red corporativa y, por tanto, a nuestra información y activos críticos. Un ejemplo muy simple son las cámaras de vigilancia conectadas a la red IP, ampliamente utilizadas por los vigilantes de Seguridad para monitorizar tanto el perímetro de las instalaciones como su interior. Este tipo de dispositivos se conectan a redes corporativas por las que se trasmite información sensible. El hecho de estar conectados a una red de datos supone que están expuestas a los mismos riesgos que un servidor de producción o un equipo de usuario. Recordemos que la seguridad de nuestra red está Pablo Seijo Cajaraville Mánager de Ciberseguridad del Grupo SIA Raúl García Sánchez Coordinador técnico de Ciberseguridad del Grupo SIA ‘Red Team’, la evolución hacia las auditorías en entornos ciberfísicos Imagen 1. Las compañías empiezan a concienciarse cada vez más de que la seguridad física y lógica deben estar siempre unidas de la mano

RkJQdWJsaXNoZXIy MTI4MzQz