Seguritecnia 494

/ Marzo-Abril 2022 102 Ciberseguridad I magina por un momento que, después de gastarte miles de euros en sistemas de seguridad digital, de repente todos los datos de tu organización quedan expuestos. ¿Cómo es posible? Cada día aumentan las posibilidades de hackeo de las comunicaciones y otros elementos desde el interior o el ex- terior de las organizaciones. Las nuevas tecnologías digitales han aumentado la interconectividad entre los sistemas de seguridad, pero aún no están lo suficien- temente maduras, lo que permite a los ciberdelincuentes aprovecharse de la situación y amenazar toda la red de una organización utilizando un “simple” sis- tema de control de accesos como pun- to de entrada. Hay que tener en cuenta que, si en una solución de seguridad global se integra un solo sistema que sea vulnerable y está conectado a la red, supondrá una amenaza al sistema en su globalidad. La ciberseguridad aplicada a los sis- temas de control de accesos ha ido tomando más y más relevancia en los últimos años. Tanto, que sectores como los hospitales, la industria o el transpor- te (aeropuertos, puertos y ferrocarril), utilizan estos sistemas aplicados a sus infraestructuras críticas. Por ello, es necesario aplicar solu- ciones ciberseguras de identificación y acceso en las instalaciones basadas en tarjetas sin contacto, en las que todas las comunicaciones punto a punto de los elementos que componen el sistema (desde el software de gestión hasta las tarjetas) se encuentran cifradas con keys únicas y propiedad del cliente. Los sistemas de control de acceso son una poderosa herramienta que tiende a pasarse por alto como vector potencial de ataques cibernéticos, pero la realidad es que si un ciberdelincuente viola un sis- tema, no solo puede abrir y cerrar puer- tas sin permiso, sino que también puede obtener el control de cualquier otro siste- ma que esté conectado a la red. Si este sistema carece de la seguridad cibernética adecuada, puede permitir a los ciberdelincuentes moverse a través de la red, tomar el control de otros siste- mas de seguridad y obtener información de registros internos, así como acceso a toda la información de la organización. Ciberseguridad: no solo cíber Además de contar con controles de acceso cibernético seguros, es indis- pensable que la seguridad física de los dispositivos de acceso (como lectores, manillas, etc.) y de los datos asociados a estos equipamientos sea tratada como una pieza más de la ciberseguridad. El software debe estar actualizado siem- pre, realizando actualizaciones periódi- cas automáticas, para protegerlo contra posibles vulnerabilidades. Las credenciales, bien sean tarjetas fí- sicas o virtuales (en smartphone ), en nin- gún caso deben estar sin cifrar, evitando así el poder realizar copias o compartirse fácilmente. En este sentido, el cifrado de claves Desfire ® es el método más seguro (Common Criteria EAL5+), ya que incluye hasta seis claves diferentes; si existe la duda de un posible hackeo de la primera, se puede pasar a la segunda, y así suce- sivamente. Esto únicamente es posible por parte del administrador de seguridad. Actualmente, la legislación en ciberse- guridad se circunscribe al ámbito IT o de elementos de software , dejando al margen el hardware . No obstante, la seguridad físi- ca de los dispositivos industriales y de los datos asociados de estos debe abordarse como una pieza más de la ciberseguridad industrial. Por ello, una de las principales preocupaciones ha de ser que los elemen- tos de hardware estén fabricados y confi- gurados a prueba de manipulaciones. El peligro de “dejar pasar” Una vez que un ciberdelincuente obtiene acceso a la red interna de seguridad, la empresa corre el riesgo de perder el con- trol de sistemas de seguridad esenciales, Ciberseguridad 360º: más allá de la seguridad informática N atxo R ojo D irector de N egocio de D orlet S eguridad