Seguritecnia 469

66 SEGURITECNIA Noviembre 2019 Protección de Infraestructuras Críticas ciberseguridad en el software que lo proteja contra ataques. En Francia, la Agencia Nacional de la Seguridad de Sistemas de la Información expide una certificación, ligada a los sistemas de control de acceso, que cubre los as- pectos de ciberseguridad donde la norma EN-60839 no llega, tales como el software , comunicación entre lecto- res-UCA- software , encriptación de tar- jetas, etc. Conclusión Hemos descubierto ocho posibles pun- tos vulnerables en una solución de con- trol de accesos, donde la norma EN- 60839 no hace referencia alguna (pun- tos 1 y 2), hace mención pero no se adecúa a la realidad de la seguridad de la tecnología hoy en día (3), sus pro- puestas son muy laxas (4) o no atiende a medidas de ciberseguridad (7 y 8). Por ello es necesaria una revisión de esta norma o la toma de medidas complementarias de obligado cumpli- miento, al igual que hacen países de nuestro entorno mediante asociaciones o entes públicos. S al software que le acompaña, certificán- dose ambos elementos (UCA+ software ). Este tándem asegura que se cumplan todas las funcionalidades que requiere la norma. Si usamos una UCA certificada en grado 4 con un software diferente, el conjunto no estaría certificado. En aquellos casos donde el cliente requiera de un software superior tipo PSIM, la in- tegración del propio PSIM debería rea- lizarse contra el software del control de accesos para mantener la certificación de grado. El único aspecto de mejora en este sentido es la inclusión de medidas de fuera a los lectores que utilizan proto- colos muy extendidos, como Wiegand o clock&data (ver tabla 7). 6. Unidad de control de accesos: Este es uno de los aspectos más cono- cidos de la norma EN-60839 y de los más fáciles de identificar, ya que los fa- bricantes de UCA expiden certificados con el grado que cumplen. La norma se centra mucho en esta parte y define minuciosamente los re- querimientos de estos equipos. 7. Comunicación entre UCA y soft- ware : En esta parte, la norma EN-60839 im- pone que la comunicación ha de ser encriptada solo si se hace uso de redes públicas. Hoy en día, la diferencia entre redes públicas y privadas es prácticamente inexistente, ya que, aunque hagamos uso de redes corporativas, estas siem- pre suelen tener alguna salida a redes públicas (Internet), lo que las hacen pro- pensas a ciberataques. Nuestra recomendación es que la comunicación entre la UCA y su soft- ware esté en todo momento cifrada, independientemente del tipo de red que use. 8. Software de gestión: La norma EN-60839 se centra en las funcionalidades de control de acce- sos que ha de tener el software , y no en la seguridad informática de este último. Para poder certificar una UCA en grado 4 es necesario pasar unos ensa- yos de laboratorio tanto a la UCA como Es necesaria una revisión de la norma de control de accesos EN-60839 o la toma de medidas complementarias de obligado cumplimiento Tabla 7.

RkJQdWJsaXNoZXIy MzA3NDY=