Seguritecnia 494

Ciberseguridad como los de gestión de vídeo, alarmas de intrusión, incendios, etcétera. Otros siste- mas conectados también son vulnerables, como los de ventilación o ascensores, que podrían usarse para paralizar la seguridad y las operaciones en una instalación. Más allá de proteger el sistema de seguridad física, también deben sal- vaguardarse el resto de sistemas y la información que está conectada a la red. Por tanto, una tecnología, producto o solución única no es suficiente para proteger adecuadamente los sistemas de control. Es necesario emplear una estrategia multicapa que incluya dos o más mecanismos de seguridad que se superpongan; es decir, emplear estrate- gias de defensa en profundidad. Igualmente, es importante controlar el acceso de los dispositivos a la LAN de la empresa, tanto si acceden desde el ex- terior como si están dentro de la misma. Mediante la utilización de herramientas de control de accesos, podemos conec- tar a los trabajadores con los recursos de la empresa, protegiendo sus dispositivos independientemente de la localización, ya sea en el centro de datos, la nube o en aplicaciones móviles. El servicio permite al administrador configurar políticas de acceso para controlar el acceso a la nube y al centro de datos en función de dispo- sitivos, localizaciones, recursos, usuarios y grupos, o incluso perfilado de endpoint . Cuando hablamos de la ciberseguridad completa y global, nos referimos a prote- ger todos los aspectos del sistema, no solo las comunicaciones, los servidores y los datos, sino también aspectos relacionados con la vulnerabilidad de sistemas de segu- ridad física que pueden suponer un punto de entrada para posibles atacantes. Plan de ciberseguridad Según diversos informes, el 43 por ciento de los ciberataques se dirigen a pequeñas empresas, que suelen estar mal equipadas para defenderse contra este tipo de riesgo. El Barómetro Euler Hermes revela que dos de cada tres empresas han sufrido al me- nos un intento de fraude este año, y el 33 por ciento de estas compañías sufrieron un daño superior a 10.000 euros. Considerar las medidas y sistemas de seguridad físicos como parte del plan de ciberseguridad es una práctica a consi- derar muy en serio. La empresa debe te- ner en cuenta, desde el inicio del diseño de una nueva infraestructura, todos los elementos que van a formar parte de la red de una manera u otra. Además, el equipo de ciberseguriad debe realizar un análisis de riesgos de es- tos dispositivos y conocer, mediante prue- bas test de intrusión, cómo puede afectar a la red si alguno de ellos es comprome- tido. Al fin y al cabo, la seguridad física es el pilar de la seguridad lógica. Para ello, Dorlet proporciona una so- lución de control de accesos con todas las comunicaciones punto a punto pro- tegidas y cifradas, con gestión exclusiva de las keys por parte del usuario final y sin acceso a esas keys por parte del fa- bricante ni el instalador. Es decir, la co- municación entre el software de gestión y las unidades de control (UCA), entre cada UCA y sus lectores, y entre cada lector y la tarjeta utilizada para acceder, está cifrada. Todas las keys necesarias se almacenan en una SAM ( Secure Ac- cess Module ) que se introduce en los diferentes elementos de la solución. Además, las keys se pueden dividir entre diferentes individuos para que no estén centradas en una única persona que tenga control total de toda la instalación. Se dota, por tanto, de todos los me- dios necesarios para un control absoluto de la instalación, en los que ni Dorlet ni el resto de los fabricantes y/o empresa instaladora de seguridad tenga acceso a las keys . Esto impide cualquier intento de sabotaje o filtración por parte de perso- nal ajeno a la propia organización. Esta solución cuenta con la certifica- ción Common Criteria EAL 6+, criterios comunes para la evaluación de la segu- ridad de las tecnologías de la informa- ción reflejados en la norma internacional (ISO/IEC 15408), que clasifica la solucio- nes en niveles en función del grado de exhaustividad con el que ha sido testado (EAL3+, EAL4+, etc.). Contar con certificaciones que avalen que estas soluciones están reconocidas como ciberseguras es un must. Por eso, a la hora de elegir un sistema de control de accesos es primordial asegurarse de que los sistemas y fabricantes elegidos cuenten con todos estos certificados (EN-60839 en Control de Accesos Grado 4, Common Criteria, Esquema Nacional de Seguridad, etc.) para cumplir con los requisitos de protección necesarios. / Marzo-Abril 2022 103