1

Controles y auditoría aplicados a los sistemas de control industrial en infraestructuras críticas

En anteriores publicaciones de la serie analizamos los riesgos que se han de tener en consideración a la hora de hablar de los ICS en infraestructuras críticas. Asimismo, se puso de relieve cuán importantes eran estos sistemas de cara a preservar la integridad de este tipo de complejos y su correcto funcionamiento.

Llegados a este punto, a lo largo de este artículo se analizarán los controles y auditorías pertinentes para poder, según el caso, prevenir o mitigar los efectos que los riesgos puedan suponer.

Antes de entrar en detalle sobre las normativas que existen actualmente y que son aplicables en estos ámbitos, explicaremos ciertos controles que resultan cruciales a la hora de llevar a cabo estas labores de auditoría en este tipo de infraestructuras, al margen de que sean contemplados o no en las diferentes normativas existentes.

Controles recomendables

En primer lugar, una de las tareas más importantes, es realizar un inventariado de activos (Figura 1). Esta tarea implica uno de los mayores retos a los que puede enfrentarse una empresa industrial, y aún más si parte de cero. Las empresas, con la llegada de nuevas tecnologías y la industria 4.0 adaptaron las maneras de organizar los medios de producción, dotando a los procesos de mayor inteligencia y desplegando un gran número de dispositivos para alcanzar un mayor nivel de control de los procesos industriales. En esta línea, se empiezan a desplegar un mayor número de sensores, actuadores, gateways para la concentración de comunicaciones, etc. relacionados con el IIoT. Dado que tal cantidad de dispositivos origina una cantidad de datos casi inabarcable por algunas infraestructuras, se hace necesario el uso de tecnologías que ya eran ampliamente utilizadas en entornos TI, como la tecnología Cloud o el uso de machine learning. Esta rápida evolución ha provocado que sea habitual encontrar en los entornos industriales un inventario de activos incompleto o inexistente en muchos casos. Entre los beneficios que reporta realizar un inventario de activos se podrían destacar: la mejora frente a posibles ciberataques, conociendo todos los integrantes del entorno tener un conocimiento claro sobre las vulnerabilidades conocidas que afectan a todos ellos y corregirlas; mejoras en la seguridad de la arquitectura de red, reestructuración de la red, despliegue de sondas, etc.; mejoras en la disponibilidad y eficiencia de los procesos al tener todos los elementos implicados más controlados.[1]

Figura 1. Elementos de un entorno industrial.

En segundo lugar, es importante igualmente contar con un proceso de gestión y evaluación de vulnerabilidades correctamente diseñado. En otras palabras, en los sistemas ICS actuales sigue dándose una amplia variedad de vulnerabilidades de seguridad, vulnerabilidades que ahora además pueden realizarse directamente desde Internet en muchas ocasiones, desde dispositivos intermedios en la red de ofimática que tienen acceso a los dispositivos de nivel de campo, etc. Por lo tanto, es crítico identificar y analizar las vulnerabilidades de seguridad y las debilidades de estos sistemas para desarrollar soluciones de seguridad y mecanismos de protección.[2]

Para ello, es crucial establecer una serie de fases que gestionen el ciclo de vida de las vulnerabilidades que afecten a la organización: detección y validación, identificar las vulnerabilidades presentes en los activos y validar que efectivamente afectan a los sistemas de activos industriales; análisis, valoración del riesgo que suponen para la organización teniendo en consideración la severidad y criticidad de las mismas; notificación de las vulnerabilidades a los responsables junto con medidas de mitigación y resolución; resolución, procediendo a aplicar las resoluciones pertinentes (Figura 2) sobre las vulnerabilidades detectadas; validación y cierre, verificación de la correcta aplicación de la mitigación/resolución y cierre posterior.

Figura 2. Métodos de resolución aplicables en la gestión de vulnerabilidades.

En tercer lugar, realizar una segmentación apropiada de las redes es una de las medidas más importantes a tener en consideración de cara a conseguir un aislamiento lo mayor posible de ciberataques dirigidos a las redes de telecomunicaciones implementadas a lo largo de la infraestructura. Es crucial conseguir esta independencia y seguridad de todas las comunicaciones involucradas en los procesos industriales, así como el aseguramiento y bastionado de los sistemas existentes.[3]

Divide y vencerás: Segmentación al rescate | INCIBE-CERT
Figura 3. Ejemplo de red segmentada.

Normativas existentes

Históricamente, la normativa en los ICS se ha centrado principalmente en aspectos propios del funcionamiento de los dispositivos o en la especificación de protocolos de comunicación. No obstante, en los últimos años han comenzado a surgir diferentes grupos de normas y guías de seguridad[4] dirigidas a este tipo de sistemas y la protección de las instalaciones, entre ellas:

  • ISA99

Describe los elementos necesarios para la implantación de un sistema de gestión de la ciberseguridad y cómo conocer los requerimientos de cada elemento. recoge una serie de herramientas de seguridad, al igual que su modo de implantación y despliegue dentro de los ICS.

  • IEC 62443

Evolución de la anterior elaborada por el grupo TC65 de la IEC, con la intención de completarla y ampliarla. Consta de una serie de 13 documentos, 5 informes técnicos, 1 especificación técnica y 7 guías, agrupadas en cuatro bloques según su contenido: General, Políticas y procedimientos, Sistema y Componentes.

IEC 62443 – How to achieve strong industrial security - Infineon  Technologies
Figura 4. IEC 62443
  • NIST SP 800-82

Realizada por el Instituto Nacional de Estándares y Tecnología (NIST) estadounidense es proporcionar una guía para la seguridad de los sistemas de control. Define topologías típicas, amenazas y vulnerabilidades, así como recomendaciones y contramedidas.

  • NIST SP 800-53

Proporciona una guía de controles de seguridad para los sistemas de información. Aplica a todos los componentes de un sistema de información que procesa, almacena o transmite información.

  • RG 5.71

Elaborada por la comisión de regulación nuclear de los EE. UU. (NRC), establece los controles para asegurar la protección de las computadoras, comunicaciones y redes frente a posibles ciberataques. Estos controles se dividen en tres categorías: técnicos, operacionales y gestión.

  • NERC CIP

Propiedad del organismo regulador de la energía de los EE. UU. (NERC), consiste en una serie de 9 guías, relacionadas la amplia mayoría con la ciberseguridad ponen el foco en los ciberactivos de implicados en procesos de intercambio de datos y servicios.

Watch Fundamentals of nerc cip | Prime Video
Figura 5. NERC CIP
  • IEC 62351

Se divide en 11 documentos independientes, siendo el primero la introducción a la norma, el segundo el glosario de términos y el resto el conjunto de medidas de seguridad, aplicadas por familias de protocolos. Los últimos documentos unidos a la norma definen la implementación de medidas como el control de accesos basado en roles, gestión de credenciales, etc.

IEC 62351 Standards
Figura 6. IEC 62351
  • IEEE 1711-2010

Define un protocolo serie de seguridad para dos tipos de módulos criptográficos: el módulo criptográfico SCADA (SCM) para proteger el canal serie SCADA; y el módulo criptográfico de mantenimiento (MCM) para proteger el canal de mantenimiento, habitualmente implementado sobre modem.

  • IEEE 1686-2007

Define los requisitos a cumplir para acomodarse  los programas denominados CIP (Critical Infraestructures Protection). Es un estándar que regula qué salvaguardas, mecanismos de auditoría e indicadores de alarma sobre dispositivos involucrados en procesos industriales.

De esta manera, tal y como podemos comprobar existen multitud de regulaciones adoptables ya adaptables a este tipo de entornos, cuyo aseguramiento como ya sabemos es crítico por naturaleza. Cabe destacar igualmente que, todas estas infraestructuras deberían estar preparadas para el fallo, es decir, no pueden estar diseñadas para funcionar siempre en entornos controlados y con normalidad única y exclusivamente, de lo cual se entiende que han de contar con un plan de continuidad cuidadosamente elaborado. Un plan que se capaz de dotar de protección, o modos alternativos de operación para aquellas actividades y procesos del negocio que si fuesen interrumpidas podrían ocasionar daños severos o potencialmente significantes a las organizaciones. Para ello, se debería incluir la gestión de crisis y comunicaciones, un plan  de recuperación del negocio y un plan para la recuperación de los sistemas IT en caso de desastre.[5]

Conclusiones

En resumidas cuentas, en el actual panorama de revolución tecnológica y explosión de la industria 4.0, adoptar y gestionar todo este tipo de controles  de auditoría adquiere un nivel de importancia aún mayor si cabe. Proteger este tipo de infraestructuras es una tarea indispensable que no es posible postergar o dejar a un lado.

Referencias

[1] S21Sec. «Inventario de activos.» 2020. 3-6. (último acceso: 23 de noviembre de 2020).

[2] S21Sec. «Evaluación de ciberseguridad y gestión de vulnerabilidades en entornos industriales.» 2020. 3-9. (último acceso: 23 de noviembre de 2020).

[3] S21Sec. «Evaluación y metodología de detección de anomalías.» 2020. (último acceso: 23 de noviembre de 2020).

[4] INCIBE-CERT. Normativas de seguridad en sistemas de control. 5 de julio de 2015. https://www.incibe-cert.es/blog/normativas-seguridad-sistemas-control (último acceso: 24 de noviembre de 2020).

[5] KnowledgeLeader. «A Guide to Business Continuity Management.» Julio de 2020. https://www.knowledgeleader.com/knowledgeleader/content.nsf/web+content/pbguidetobusinesscontinuitymanagementfrequentquestionsjuly2020 (último acceso: 24 de noviembre de 2020).




Controles y auditoría IoT

En el post anterior comenté algunos riesgos asociados a los dispositivos conectador a la red. Por este motivo, sin cambiar mucho de tema, en este artículo hablaré sobre los controles a tomar en estos dispositivos, así como de los puntos clave que habría que tener en cuenta a la hora de realizar una auditoría.

Antes de empezar a listar los controles, creo que es importante recordar que existen muchos dispositivos IoT diferentes, así como los sistemas de comunicación que emplean estos dispositivos para comunicarse. Esto hace que no sea una tarea fácil crear un estándar.

En este caso, he decidido listar una seria de controles aplicables basados en la NIST 800-53 [1] [2]:

ID Capa ID NIST Nombre del control Objetivo del control
IoT-1 1 PE-3 Control de acceso físico El fabricante verifica tanto las autorizaciones de acceso al dispositivo como las autorizaciones de acceso individuales. A su vez, mantiene registros de auditoría sobre el acceso físico y controla el acceso a las diversas áreas del dispositivo. Finalmente, el fabricante es el encargado de cambiar las combinaciones y claves del dispositivo cuando estas sean comprometidas.
IoT-2 1 SC-8 Transmisión, confidencialidad e integridad Los dispositivos IoT protegen la confidencialidad e integridad de la información transmitida. Este control se aplica tanto a las redes internas como a las externas.
IoT-3 2 SC-7 Protección de límites Los dispositivos monitorean y controlan las comunicaciones tanto en el límite externo como en los límites externos claves. Deben tener implementadas subredes para los datos de acceso público y deben conectarse a redes externas únicamente mediante interfaces administradas.
IoT-4 3 IA-3 Identificación y Autentificación del dispositivo Los dispositivos deben identificar al resto de dispositivos antes de establecer conexión.
IoT-5 3 SC-15 Dispositivos de computación colaborativa Los dispositivos únicamente pueden activarse remotamente cuando el fabricante lo permita. También, tienen que indicar el uso a los usuarios presentes en el dispositivo.
IoT-6 4 IA-2 Identificación y autentificación para los usuarios Los dispositivos deben identifican y autentifican a los usuarios.
IoT-7 4 AC-2 Gestión de cuentas El fabricante asigna las cuentas de respaldo y funciones comerciales. Además, establece administradores de cuentas y establece grupos y roles. Posibilidad de que el fabricante o el propietario pueda administrar cuentas del dispositivo.
IoT-8 5 CM-7 Funcionalidad mínima El fabricante configura el dispositivo para realizar únicamente lo esencial. Además, restringe el uso de algunas funciones.
IoT-9 5 SC-28 Protección de la información en reposo El dispositivo protege la confidencialidad y la integridad de la información en reposo.
IoT-10 5 PL-2 Plan de seguridad del sistema El fabricante desarrolla un plan de seguridad consistente con la arquitectura empresarial y define los límites de autorización. También, describe el contexto y el entorno operativo del dispositivo y proporciona una descripción de los requisitos de seguridad. Además, describe los controles de seguridad implementados, junto con el motivo de estos.
IoT-11 6 PM-11 Definición de misión / proceso empresarial El fabricante define la misión / procesos teniendo en cuenta la seguridad de la información y el riesgo resultante. Además, determina las necesidades de protección de la información que surgen.
IoT-12 7 PM-1 Plan del programa de seguridad de la información El fabricante desarrolla y publica un programa de seguridad de la información. A su vez, ofrece una descripción de los requisitos y los controles para cumplir los requisitos.
Controles IoT basado en la NIST 800-53

Tengo que mencionar, que además de los controles, existen frameworks que permiten comprender ideas complejas mediante preguntas simples. Un ejemplo es el framework Zachman. Este framework se muestra en la siguiente imagen [3].

Framework Zachman

A la hora de realizar una auditoría, el IoT no requiere habilidades adicionales que una auditoría TI tradicional. El IoT únicamente necesita un nuevo enfoque que vincule las estrategias con las soluciones IoT. Algunas preguntas que considerar a la hora de auditar IoT serían las siguientes [4]:

  • ¿Como está el IoT desplegado en la organización hoy en día y quién es el propietario o cuáles son sus respectivos componentes?
  • ¿Sabemos qué datos se recopilan, almacenan y analizan, y hemos evaluado las posibles implicaciones legales, de seguridad y de privacidad?
  • ¿Tenemos planes de contingencia implementados en caso de que nuestros dispositivos de IoT sean hackeadas o modificadas para fines no deseados?

En conclusión, existen un gran número de controles y frameworks para poder auditar correctamente entornos con dispositivos IoT y tener el entorno bajo control. En mi opinión, un gran número de incidencias ocurren por no cumplir con estos controles o no haberse preguntado algunas de las preguntas mostradas a lo largo de este artículo.

[1] <<An IoT Control Audit Methodology>>, ISACA, consultado el 23/11/2020, https://www.isaca.org/resources/isaca-journal/issues/2017/volume-6/an-iot-control-audit-methodology

[2] <<Control List>>, Twelve IoT Controls, consultado el 23/11/2020, https://twelveiotcontrols.com/

[3] <<IoT Needs Better Security>>, ISACA, consultado el 23/11/2020, https://www.isaca.org/resources/isaca-journal/issues/2017/volume-3/iot-needs-better-security

[4] <<Internal Audit, Risk, Business & Technology ConsultingThe Internet of Things: A Game Changer for IT Audit>>, Knowledge Leader, consultado el 23/11/2020, https://www.knowledgeleader.com/knowledgeleader/resources.nsf/description/HITheInternetofThingsAGameChangerforITAudit/$FILE/HI%20The%20Internet%20of%20Things%20-%20A%20Game%20Changer%20for%20IT%20Audit.pdf




Propiedad intelectual, controles y auditoría

En el artículo anterior comentamos los riesgos a los que se exponen las empresas en cuanto a la propiedad intelectual. Identificamos 3 categorías: No olvidarnos de nuestra PI, que no nos roben nuestra PI y no infringir la PI de otros.

Para cada uno de estos posibles riesgos existen distintos controles que podemos implementar para reducir la probabilidad de que ocurran. Asegurando de esta manera el correcto funcionamiento de la empresa y asegurando el uso y aprovechamiento de estos activos tan importantes.

Empecemos por lo más básico, tener controlado cuales son las PI de las que disponemos. Para evitar que se olvide cuales son las PI de las que dispone la organización hay algunos controles obvios que hay que implementar.

Como auditores nuestro trabajo comienza por identificar las propiedades intelectuales. Hay muchísimas maneras de descubrir toda la información que puede ser de importancia para la organización. Algunas de las técnicas en las que podemos pensar son: 

  • Realizar un inventario periódico de las PI de las que dispone la empresa.
  • Identificación de la documentación relacionada con las PPII.
  • Clasificación de las PI. Según tipo, importancia, … 
  • Descubrir e investigar licencias a nombre de la empresa.
  • Validar que las licencias de PPII que hace uso la empresa son válidas.
  • Investigar acuerdos con terceros sobre PI.
  • Procedimientos investigación y flujos de trabajo bien documentados.
  • Identificación de los principales generadores de PI. Seguramente el equipo de investigación o desarrollo.
  • Análisis de repositorios de documentos.
  • Descubrir nombres de dominios de internet relacionados con la organización.
  • Si la organización opera internacionalmente, análisis del estado de las patentes, marcas, … en todos los países en los que opera.

Además queremos evitar perder estos datos por lo que necesitaremos establecer controles que eviten la pérdida de información. Aquí entrarían varias técnicas de seguridad de la información, como copias de seguridad o replicación de documentos.

Una vez tenemos identificado aquello que queremos proteger nos fijamos en los controles que nos ayudan a evitar que manos u ojos indeseados se hagan con nuestros activos. Esta parte se solapa mucho con la gestión de la seguridad.

  • Controles de acceso.
  • Restricciones de acceso.
  • Segregación de responsabilidades.
  • Identificación de usuarios.
  • Registro de actividad.
  • Ciberseguridad.
  • Concienciación de los empleados acerca de la PI.
  • Investigación de los contactos y pasado de los empleados.
  • Contratos de confidencialidad.
  • Marcar como confidencial la información o documentos para que no haya dudas.
  • Expresar claramente en los contratos de los empleados la confidencialidad y las consecuencias en caso de incumplimiento.

Y por otro lado, debemos asegurar que las propiedades intelectuales están adecuadamente protegidas haciendo uso adecuado de las herramientas legales de las que se dispone.

  • Patentes
  • Modelos de utilidad
  • Copyright
  • Marcas
  • Diseños industriales
  • Derechos de autor
  • Secretos comerciales
  • Seguros

También debemos asegurar que la estrategia en cuanto a la PI se alinea con la estrategia de la empresa.

El último problema al que nos podemos enfrentar es a estar infringiendo la propiedad intelectual de terceros. En estos casos nuestro trabajo como auditores es reportarlo a la dirección para que tomen las acciones necesarias para resolver el problema.

Referencias

[1] <<Intellectual Property Process Audit Report>>, KnowleadgeLeader, consultado el 20/11/2020,
https://www.knowledgeleader.com/knowledgeleader/content.nsf/web+content/au/ditreportintellectualpropertyprocess

[2] <<Intellectual Property Management and Auditing>>, consultado el 20/11/2020,
https://www.innovation-asset.com/the-audit-and-management-of-intellectual-property

[3] <<IP Audit Check-list>>, consultado el 21/11/2020,
https://www.southeastasia-iprhelpdesk.eu/sites/default/files/publications/EN_Audit.pdf 

[4] <<Law and Internal Auditing>>, consultado el 21/11/2020,
https://na.theiia.org/training/Public%20Documents/Intellectual%20Property.pdf 

[5] <<Fact Sheet IP audit: Uncovering the potential of your business>>, consultado el 22/11/2020,
https://www.iprhelpdesk.eu/sites/default/files/newsdocuments/Fact-Sheet-IP-Audit-Uncovering-Potential-Your-Business-EN.pdf 




Controles para amenazas internas

Ya hemos hablado sobre qué son las amenazas internas, su relevancia y los riesgos que estas acarrean, ahora toca hablar de cómo prevenir, identificar y mitigar estos riesgos aplicando diversos controles. Para empezar a aplicar controles lo interesante es primero saber en qué situación se encuentra actualmente tu empresa y qué esfuerzos está poniendo en detener este tipo de amenazas.  En la página de SIRIUS Edge se nos plantean una serie de preguntas que podrían resultar interesantes para identificar el desempeño de nuestra empresa frente a estas amenazas para luego poder crear un programa que ayude a mitigarlas y prevenirlas [1].

  • ¿Has identificado y clasificado tus datos críticos?
  • ¿Has educado a tus usuarios sobre los procesos de tratamiento de los datos?
  • ¿Puede definir el comportamiento normal que debería tener el usuario?
  • ¿Eres capaz de identificar comportamientos anómalos?
  • ¿Tienes algún control de auditoría para dejar claro las necesidades de acceso y autorización de los usuarios?
  • ¿Tienes un programa efectivo de gestión de identidad y acceso (IAM)?
  • ¿Prestas especial atención a los usuarios con acceso privilegiado?
  • ¿Tienes alguna estrategia para auditar la adherencia a la política del usuario?
  • ¿Auditas de forma rutinaria las prácticas de seguridad de terceros que influyan en tu empresa?

En el propio artículo de SIRIUS Edge podemos encontrar puntos clave para montar un programa de auditoría y CISA (Cybersecurity & Infraestructure security agency) también menciona 5 puntos clave para la creación de programas de auditoría para amenazas internas [2]. Aunque estos mencionados sean interesantes he encontrado de mayor interés un artículo de LISA Instituto que da 21 puntos clave para detectar y prevenir insiders en tu organización [3]. En la foto podemos ver los 21 puntos que consideran claves. No voy a comentar todos los puntos ya que muchos creo que se explican por sí mismos. Me voy a centrar en el cómo desarrollar el programa formalizado de insider y en algunos puntos más que puedan resultar interesantes de hablar.

Crear un programa de insiders puede ser clave dentro de una empresa ya que proporciona un recurso que puede ayudar a abordar el problema de los insiders. El programa al final es una medida que adopta la empresa para detectar, prevenir y actuar de forma correcta frente a estas amenazas. LISA Institute menciona los componentes comunes que tienen estos programas según el CERT:

  • Programa formalizado y definido: Se tienen que definir la misión, las directrices a seguir, quienes son los encargados, la gobernanza y el presupuesto.
  • Participación de toda la organización: Es importante tener la participación de todos los componentes de la empresa para obtener datos que sean útiles en el programa.
  • Supervisión del cumplimiento y la eficacia del programa: Se crea un grupo que sirva como soporte al gerente del programa para generar nuevas ideas y cambios posibles en el programa. Para aprobar estos cambios y procedimientos que ha propuesto el equipo existe un grupo directivo. Es importante hacer evaluaciones anuales del programa, tanto desde dentro de la empresa como por parte de terceros.
  • Mecanismos y procedimientos de información confidencial: Se tiene que permitir que cualquiera pueda reportar alguna actividad sospechosa, pero que esa persona no salga perjudicada en el proceso.
  • Plan de respuesta a incidentes de amenazas internas: Se debe redactar un plan para gestionar las incidencias y alertas que surjan, como actuar, plazos de actuación y recursos necesarios.
  • Comunicación de eventos de amenazas internas: Es clave comunicar de estas alertas que vayan surgiendo siempre respetando la confidencialidad y la privacidad.
  • Protección de la libertades y derechos civiles de los empleados y clientes: Al implementar este programa se tiene que revisar cada proceso para asegurar que se respeta la privacidad de los implicados.
  • Políticas, procedimientos y prácticas: Redactar un documento detallando, la misión, el alcance, las directivas a seguir, las instrucciones y procedimientos estándar del programa.
  • Técnicas y prácticas de recogida y análisis de datos: Detallar qué técnicas de monitorización se van a realizar, así como que datos se van a recoger y cuál va a ser su tratamiento con tal de asegurar la privacidad de los datos.
  • Entrenamiento y concienciación sobre las amenazas internas: Es importante la creación de un programa de capacitación y concienciación. Creo que es un punto clave teniendo en cuenta que los empleados son los que realizan estos ataques muchas veces porque no están informados. La empresa tiene que informarles de que conductas son adecuadas y de cuáles no y concienciarse en cuanto a cómo repercute uno de estos incidentes en la empresa, en el mundo exterior e incluso en el propio empleado. En la página de CISA podemos encontrar videos, publicaciones e incluso enlaces a cursos que tratan el tema [4].
  • Infraestructura de prevención, detección y respuesta: Tener una infraestructura de defensa tanto física como en la red.
  • Prácticas de amenazas internas relacionadas con los socios comerciales de confianza: Revisar todos los contratos firmados con terceros para poder detectar posibles amenazas emergentes.
  • Integración de Insiders con la gestión de riesgos empresariales: En la gestión de riesgos se deben tener en cuenta las amenazas internas junto a todos los demás riesgos que puedan surgir en la empresa.

Entre los 21 puntos unos cuantos tratan el tema de la monitorización como por ejemplo el punto que habla de estar atentos a las redes sociales o las herramientas de monitorización de empleados. Creo que son clave a la hora de saber qué es lo que el empleado hace dentro de la empresa, pero también tiene su punto negativo y es que se puede llegar a atentar contra la privacidad del propio empleado. No sería el primer caso de despido por culpa de redes sociales y hasta cierto punto no tendría que afectar al puesto de trabajo de la persona. Se tiene que encontrar un punto de monitorización en el que la empresa sea capaz de detectar amenazas, pero sin llegar a privar al empleado de su privacidad, es decir un sistema donde el empleado esté a gusto y no sienta que le están invadiendo su espacio privado. Para ello es importante informar en todo momento al empleado de cómo se le monitoriza y qué información se recopila en ese proceso.

En conclusión, si miramos a los 21 puntos veremos que existen muchos pasos a seguir para mitigar estas amenazas, pero es importante ver hasta qué punto podemos realizar tareas de monitorización de empleados sin atacar directamente a su privacidad.

Otro punto que me ha parecido clave es el mantener un control estricto de los accesos que tienen los empleados a los sistemas y la información. Sólo permitir acceso a personas que lo necesitan hace que los datos y los sistemas no estén tan expuestos como si toda la empresa tuviese acceso a ellos. Buscando documentos relevantes sobre amenazas internas en Océano me ha sorprendido como gran parte de los artículos tratan este tema. Mencionar en concreto uno de Suhair Alshehri que habla sobre la importancia de mantener controlados los accesos en el sistema sanitario para evitar amenazas internas [5]. Algo que en una empresa puede suponer una brecha de datos en el sistema sanitario puede poner en juego la vida de las personas, por lo que es un tema clave. Debemos tener en cuenta que a diferencia de los atacantes externos los internos ya tienen credenciales y acceso a la zona de trabajo por lo que les estamos dando facilidades de fastidiarlo todo.

P.S: Investigando sobre el tema de los controles he encontrado un report de 2020 que contiene datos interesantes sobre las amenazas internas. Podría servir como complemento a lo ya tratado en el segundo post sobre la relevancia. [6]

REFERENCIAS

[1] <<5 Keys to Addressing Insider Threats>>, SIRIUS Edge, acceso el 21 de noviembre de 2020, https://edge.siriuscom.com/security/5-keys-to-addressing-insider-threats#:~:text=Two%20key%20controls%20for%20reducing,behavior%20by%20a%20single%20actor.

[2] <<ESTABLISH A COMPREHENSIVE INSIDER THREAT PROGRAM>>, CISA, acceso el 21 de noviembre de 2020, https://www.cisa.gov/establish-program

[3] <<Lista de 21 medidas para detectar y prevenir Insiders en tu organización>>, LISA Institute, acceso el 21 de noviembre de 2020, https://www.lisainstitute.com/blogs/blog/medidas-para-detectar-y-prevenir-insiders

[4] <<INSIDER THREAT – TRAINING & AWARENESS>>, CISA, acceso el 21 de noviembre de 2020, https://www.cisa.gov/training-awareness

[5] Suhair, Alshehri. 2016. << Using Access Control to Mitigate Insider Threats to Healthcare Systems>>. Paper. IEEE International Conference on Healthcare Informatics. Océano.

[6] <<Insider Threat Report>>, Cybersecurity Insiders, acceso el 22 de noviembre de 2020, https://www.cybersecurity-insiders.com/wp-content/uploads/2019/11/2020-Insider-Threat-Report-Gurucul.pdf




Más riesgos y controles del 5G

Siguiendo con el hilo del anterior post en el que comenté algunos de los riesgos del 5G, en este presentaré algunos riesgos más y los controles y medidas necesarias para mitigar esos riesgos. 

Pero antes de todo, veo conveniente dejar claros algunos conceptos como riesgo, control, amenaza y vulnerabilidad. En el ámbito de la informática podemos definir el riesgo como la probabilidad de que ocurra un incidente de seguridad. Por otro lado, la amenaza es una acción que podría tener un potencial efecto negativo sobre un activo. Por sí sola la amenaza no provoca un daño, necesita de una debilidad o fallo en los sistemas para que se materialice el daño, a estas debilidades o fallos les llamamos vulnerabilidades. Por lo tanto, podemos decir que un riesgo es la probabilidad de que ocurra una amenaza utilizando una vulnerabilidad generando un daño [1]. 

Para mitigar estos riesgos, se emplean controles que permiten asegurar la calidad de nuestros sistemas y a su vez, estos controles necesitan ser auditados para asegurar que se cumplen como se deben.

Tras el apoyo del Consejo Europeo el 22 de marzo de 2019 para un enfoque concertado de la seguridad de las redes 5G, la Comisión Europea adoptó su recomendación sobre la ciberseguridad de las redes 5G el 26 de marzo de 2019. Esta recomendación pedía a los Estados miembros que completaran evaluaciones de riesgos y revisaran las medidas nacionales, trabajando juntos a nivel de la UE con el objetivo de concretar una evaluación de riesgos coordinada y preparar una “caja de herramientas” de posibles medidas de mitigación.
Cada Estado miembro completó su propia evaluación de riesgos de sus infraestructuras de red 5G y transmitió los resultados a la Comisión y a ENISA. Gracias a esto se desarrolló una “caja de herramientas” de la UE para la mitigación de riesgos en cuanto a redes 5G [2].

Este documento comienza enumerando 9 riesgos fundamentales a tener en cuenta:

  1. Mala configuración de redes.
  2. Falta de controles de acceso.
  3. Baja calidad del producto.
  4. Dependencia de un solo proveedor dentro de redes individuales o falta de diversidad a nivel nacional.
  5. Interferencia estatal a través de la cadena de suministro 5G.
  6. Explotación de redes 5G por parte del crimen organizado dirigido a usuarios finales.
  7. Interrupción significativa de infraestructuras o servicios críticos.
  8. Fallo masivo de las redes debido a la interrupción del suministro eléctrico u otros sistemas de apoyo.
  9. Explotación del IoT, teléfonos o dispositivos inteligentes.

Estos riesgos se pueden agrupar en diferentes escenarios. El primer y segundo riesgo hacen referencia a un escenario relacionado con una insuficiencia de medidas de seguridad. El tercero y cuarto están relacionados con la cadena de suministro. El quinto y sexto surgen de acciones negativas por parte de terceros actores. El séptimo y octavo riesgo surgen por el fallo de un sistema unido a la red 5G y por último, el noveno está relacionado con dispositivos para el usuario final. Tal vez este último riesgo sea uno de los que más se diferencia respecto a los riesgos que pudieran haber tenido y que siguen teniendo redes móviles de anteriores generaciones como el 4G y el 3G.

En el mismo documento también se plantean medidas que permiten mitigar los riesgos comentados anteriormente. A partir de estas medidas se pueden sacar los controles que aseguren la calidad de la red 5G. He realizado la siguiente tabla teniendo en cuenta el documento, seleccionando, resumiendo y adaptando el contenido:

En conclusión, los controles parecen estar muy dirigidos a los operadores de red móvil, esto puede expresar una clara preocupación por parte de estas empresas. Al final, dentro de un sistema compuesto por muchos agentes, el nivel de seguridad suele ser el del eslabón más débil y es donde hay que poner el foco. En mi opinión, estas medidas no serán suficientes para evitar que se materialicen ciertas amenazas ya que todo no se puede prever. Además, esta tecnología que posibilita que otras cojan fuerza, hace que ciertos problemas solo salgan a la vista una vez que esté completamente implantada. Creo que todavía hay mucho trabajo por delante en cuanto al 5G.

Bibliografía

[1] <<Diferencias entre ataque, amenaza y vulnerabilidad en Ciberseguridad>>, EALDE, consultado el 12/11/2020,
https://www.ealde.es/ataque-amenaza-vulnerabilidad-ciberseguridad/#:~:text=El%20concepto%20de%20vulnerabilidad%20en%20Ciberseguridad&text=Esta%20puede%20considerarse%20como%20la,de%20un%20sistema%20de%20informaci%C3%B3n.&text=Las%20amenazas%20representan%20un%20potencial,que%20se%20materialice%20ese%20da%C3%B1o

[2] <<EU Toolbox of risk mitigating measures>>, European Union, consultado el 12/11/2020, https://ec.europa.eu/digital-single-market/en/news/cybersecurity-5g-networks-eu-toolbox-risk-mitigating-measures




Controles y auditoría en los dispositivos médicos

Como expliqué en el post anterior, existen múltiples formas de atacar o de poner en riesgo los dispositivos médicos que utilizamos día a día y cada vez con más vulnerables, desde ataques a través de software mal configurado, hasta la obtención de datos erróneos del paciente. Esto último podría ser fatal ya que pondría en peligro directamente al paciente. ¿Qué pasaría si “por un error informático”, le suministramos una dosis errónea de un medicamento a un paciente? El resultado podría ser fatal. Y eso no ocurre solo a los ordenadores como tal, también dispositivos que tienen los pacientes como los marcapasos o wearable que recogen datos que podrían usarse en caso de emergencia. Por lo que no podemos arriesgarnos en la salud de las personas, hay que controlar los posibles riesgos.

En el post anterior también me adelanté explicando la ISO 14971, que permite evaluar y controlar los riesgos. Este, define unos pasos a seguir. [1]

  1. Crear un plan de gestión de riesgos para el dispositivo
    • Define los pasos detallados de un dispositivo en concreto, incluyendo el análisis del riesgo, en control del riesgo, la revisión y el reporte.
  2. Ejecutar actividades de riesgo
    • Utilizar herramientas de análisis de riesgo, para reducirlos al mínimo. También es conveniente hacer un balance riesgos-beneficios.
  3. Revisar los resultados obtenidos y realizar un reporte
    • Documentar el trabajo realizado y comentar los resultados

Un concepto interesante que se puede usar para medir la probabilidad de que ocurra un riesgo y su posible resultado sería la utilización de una matriz de aceptación de riesgos, que mide con 3 colores el nivel de riesgo. [2]

Ahora que ya hemos identificado los riesgos, los hemos
analizado por niveles, podemos controlarlos. La ISO 14971 sigue ayudándonos
haciéndonos las siguientes preguntas.

  • ¿Podemos reducir el riesgo?
  • ¿Cuál es la mejor manera de hacerlo?
  • ¿Ha funcionado el control del riesgo?
  • ¿Es aceptable el nivel de riesgo que tenemos
    ahora?

HERRAMIENTAS

Si no contamos con experiencia anterior en control de riesgos, puede ser complicado evaluar cuál es la más indicada para tu problema. ¿Tiempo? Finito. ¿Herrramientas? Infinitas (más o menos). Se pueden separar básicamente en 3 tipos: Botton-up, top-down y el resto. La siguiente imagen muestra varias de las más comunes. [3]

También me parece importante destacar que solo se pueden prever los riesgos que están bajo tu control. Por ejemplo, no debemos obsesionarnos con los riesgos que acarrea una pandemia mundial, ya que no está bajo nuestro control y además es nuevo para todos.

Para terminar, también es importante evaluar los beneficios. El tipo, la magnitud o la probabilidad pueden ser unos indicadores positivos

Como ejemplo, voy a intentar establecer los posibles
controles para los riesgos identificados en el anterior post: [4]

  • Limitar los controles de acceso –> Solamente al dispositivo que está conectado y establecer la autenticación en 2 pasos.
  • Actualizaciones periódicas –> Aplicar parches de seguridad es la mejor práctica.
  • Aplicar estándares en el código –> Testearlo rigurosamente antes de desplegarlo y establecer unas características para desarrollarlo de la mejor manera posible.
  • Seguridad por diseño –> Asegurar el inventario de las terceras partes en cuanto a software y hardware. También podría ser importante en el uso de canales encriptados para comunicarse con el resto del mundo.

No se puede hablar sobre los controles sin hablar de los
auditores, que tienen una labor esencial en lo que llevamos hablando en este post
y en muchas otras acciones. Son los responsables en cumplimentar las
regulaciones y procedimientos que se utilizan.

Por ejemplo, el MDSAP (Programa de Auditoría Única de Dispositivos Médicos) es una iniciativa internacional que permite realizar una única auditoría del sistema de gestión de calidad de los fabricantes de dispositivos médicos satisfaciendo todas las regulaciones en múltiples países. De esta manera se logra centralizar un poco la forma de auditar entre los distintos países. [5]

Un ejemplo sobre ello es un artículo que he visto sobre la “gestión de equipos médicos: implementación y validación de una herramienta de auditoría”, en el que explican los detalles, pasos, etapas y la importancia de esta actividad. Es un poco extenso, pero dejo este par de imágenes de resumen. [6]

Evaluación de gestión de equipos médicos en el marco de la resolución 2003 de 2014

Resultados dinámicos de la evaluación de estándares de gestión de la tecnología en el marco de acreditación en salud

Como se puede ver en la imagen superior, el resultado es muy
similar a las actividades que realizamos en clase así que es fácilmente
entendible y muy visual.

Al final del artículo, vuelven a recalcar los beneficios cuando se ha aplicado la auditoría en este ámbito y la importancia de desplegarla en los mayores entornos posibles.

Para terminar, en el próximo post, el último, trataré algunos temas que se me han quedado en el tintero para finalizar con este contenido.

Referencias

[1] <<ISO 14971 and Medical Device Risk Management 101>>,
Oriel Stat a Matrix, consultado el 5/11/2020, https://www.orielstat.com/blog/iso-14971-risk-management-basics/

[2] <<Creating a Medical Device Risk Management Plan
and Conducting a Risk Analysis>>, Oriel Stat a Matrix, consultado el
5/11/2020, https://www.orielstat.com/blog/medical-device-risk-management-planning-analysis/

[3] <<Medical Device Risk Control and Risk Management
Tools>> , Oriel Stat a Matrix, consultado el 5/11/2020, https://www.orielstat.com/blog/risk-controls-risk-management-tools/

[4] <<Device manufacturers – A Snapshot of Guidance>>,
ISACA, vol 4 (2019): 30-31

[5] <<Medical Device ISO 13485:2003 Voluntary Audit Report Pilot Program; Termination of Pilot Program; Announcement of the Medical Device Single Audit Program Operational Phase>>, Océano, consultado el 5/11/2020, https://oceano.biblioteca.deusto.es/primo-explore/fulldisplay?docid=TN_cdi_proquest_reports_1749683809&context=PC&vid=deusto&lang=es_ES&search_scope=default_scope&adaptor=primo_central_multiple_fe&tab=default_tab&query=any,contains,medical%20devices%20audit

[6] <<Gestión de equipos médicos: implementación y validación de una herramienta de auditoría>>, SciELO, consultado el 5/11/2020, http://www.scielo.org.mx/scielo.php?script=sci_arttext&pid=S0188-95322017000100076




Drones: controles y auditoría

En el post anterior realicé un análisis de los riesgos que implica el uso de drones, evaluando si son altos, medios o bajos teniendo en cuenta la probabilidad de ocurrencia y la gravedad de las consecuencias en caso de que el riesgo se materialice.

Con el objetivo de completar dicho análisis, en este post voy a definir los controles que deberían llevarse a cabo para mitigar los riesgos identificados, tanto los no intencionados como los intencionados. Asimismo, hablaré sobre el rol del auditor en relación con los drones.

Controles

Riesgos no intencionados

Los controles para los riesgos no intencionados se basan en verificar que se cumple con el Real Decreto 1036/2017 que regula el uso de drones en España [1], el cual ya traté en un post anterior.

Teniendo en cuenta que la normativa no se aplica de igual manera cuando el dron se usa de forma recreativa o profesional, también he realizado esta separación en la descripción de los controles.

Riesgos Controles para uso recreativo Controles para uso profesional

Daños a edificios

  • Verificar que no se vuela sobre aglomeraciones de edificios.
  • Verificar que no se vuela de noche si el dron pesa más de 2 kg.
  • Verificar que se encuentra al alcance de la vista y que no se vuela a más de 120 m del suelo.
  • Verificar el seguro de responsabilidad civil, la habilitación en AESA1, si es piloto de RPAS2 y si tiene el certificado médico en vigor.
  • Verificar la autorización para volar sobre aglomeraciones de edificios.
  • Verificar la autorización para volar en BVLOS3 con un dron de más de 2 kg.
  • Verificar la autorización para volar de noche.

Daños a aeronaves

  • Verificar que no se vuela de noche si el dron pesa más de 2 kg.
  • Verificar que no se vuela a un mínimo de 8 km de aeropuertos y similares.
  • Verificar que no se vuela en Espacio Aéreo Controlado ni donde se realicen otros vuelos a baja altura.
  • Verificar que se encuentra al alcance de la vista y que no se vuela a más de 120 m del suelo.
  • Verificar el seguro de responsabilidad civil, la habilitación en AESA1, si es piloto de RPAS2 y si tiene el certificado médico en vigor.
  • Verificar la autorización para volar a menos distancia de la que marca la Ley en las proximidades de aeropuertos y similares.
  • Verificar la autorización para volar en Espacio Aéreo Controlado y Zonas de Información de Vuelo.
  • Verificar la autorización para volar en BVLOS3 con un dron de más de 2 kg.
  • Verificar la autorización para volar de noche.

Daños a personas

  • Verificar que no se vuela sobre personas.
  • Verificar que no se vuela de noche si el dron pesa más de 2 kg.
  • Verificar que se encuentra al alcance de la vista y que no se vuela a más de 120 m del suelo.
  • Verificar el seguro de responsabilidad civil, la habilitación en AESA1, si es piloto de RPAS2 y si tiene el certificado médico en vigor.
  • Verificar la autorización para volar sobre grupos de personas.
  • Verificar la autorización para volar en BVLOS3 con un dron de más de 2 kg.
  • Verificar la autorización para volar de noche.

Interferencias

  • Verificar que no se vuela a un mínimo de 8 km de aeropuertos y similares.
  • Verificar que para la comunicación, se utilizan bandas libres.
  • Verificar el seguro de responsabilidad civil, la habilitación en AESA1, si es piloto de RPAS2 y si tiene el certificado médico en vigor.
  • Verificar la autorización para volar a menos distancia de la que marca la Ley en las proximidades de aeropuertos y similares.
  • Verificar la autorización para volar en Espacio Aéreo Controlado y Zonas de Información de Vuelo.
  • Verificar que para la comunicación, se utilizan bandas libres.

1 AESA (Agencia Estatal de Seguridad Aérea)
2 RPAS (Remotely Piloted Aircraft System)
3 BVLOS (Beyond Visual Line of Sight)

Riesgos intencionados

Los riesgos intencionados, a diferencia de los no intencionados, no se centran en verificar el cumplimiento de la normativa sino en intentar que ese riesgo no se lleve a cabo. Estos riesgos, debido al objetivo de causar daño que tienen, son más difíciles de controlar. Asimismo, los controles para intentar mitigarlos varían mucho dependiendo del riesgo.

Riesgo Controles

Ataque terrorista

  • Vigilar visualmente el espacio aéreo cercano a zonas susceptibles de ser atacadas.
  • Rastrear la compra de drones por parte de posibles grupos terroristas.

Ataque de ciberseguridad

  • Verificar la dificultad de robar físicamente los datos almacenados en el dron.
  • Verificar que los datos almacenados en el dron están cifrados.
  • Verificar que la clave secreta es compleja y larga.
  • Verificar que las conexiones de la comunicación están cifradas.

Dispersión químico-biológica

  • Verificar el contenido de los pulverizadores agrícolas para comprobar que no ha sido modificado.
  • Vigilar visualmente el espacio aéreo cercano a grupos grandes de personas susceptibles de ser atacadas.

Contrabando

  • Vigilar visualmente el espacio aéreo cercano a las cárceles y fronteras.
  • Vigilar las inmediaciones de las cárceles y fronteras para comprobar que no hay pilotos de drones.

Violación de privacidad

  • Vigilar visualmente el espacio aéreo cercano a la propiedad privada que se quiere proteger.
  • Ocultar información sensible que puede ser captada por un dron.
  • Controlar los obstáculos físicos (vallas, barreras, …) que evitan el acceso a la propiedad privada que se quiere proteger.

Rol del auditor

Los drones son una tecnología relativamente nueva y su mercado es cada vez más popular, lo que requiere una supervisión para controlar que se cumple con la normativa vigente y que no suponen un peligro para la sociedad.

Por lo tanto, es imprescindible el rol del auditor para llevar a cabo controles como los descritos en este post. De hecho, las operadoras de drones que quieran obtener un certificado LUC (Certificado de operador de drones ligeros) deben tener un gerente responsable, además de un responsable de monitoreo que lleve a cabo un proceso continuo de auditorías. Este monitoreo puede ser realizado por personal interno o externo. [2]

En definitiva, como en muchas otras tecnologías emergentes, la presencia del auditor es indispensable. Asimismo, el tener que auditar una tecnología nueva evidencia el hecho de que la auditoría es un trabajo interdisciplinar y que requiere la adquisición de nuevos conocimientos según pasan los años y las tecnologías evolucionan. [3]

Referencias

[1] <<Normativa de Drones en España 2020>>, One Air, acceso el 5 de noviembre de 2020, https://www.oneair.es/normativa-drones-espana-aesa.

[2] <<Auditoría de operadoras de drones y certificado LUC>>, Drone Europa, acceso el 5 de noviembre de 2020, https://www.droneuropa.com/auditoria-drones/.

[3] <<The Practical Aspect: Today’s Interdisciplinary Auditors>>, ISACA, acceso el 5 de noviembre de 2020, https://www.isaca.org/resources/isaca-journal/issues/2019/volume-5/todays-interdisciplinary-auditors.




Riesgos de las amenazas internas

Ya hemos hablado sobre qué son las amenazas internas en el primer post y en el segundo hemos comentado la importancia que tienen hoy en día. En este tercer post vamos a ver qué riesgos acarrean las amenazas internas. En el segundo se comento el tema monetario ya que salir de una de estas amenazas cuando se producen es muy caro, pero también trae consigo otros problemas más allá del dinero y que pueden ser a largo plazo.

Las amenazas internas están muy ligadas a los datos y a la ciberseguridad. Puede que el propio interno robe los datos y los saques de la empresa para venderlos, sacarlos a la luz o algún otro tipo de acto criminal. También puede crear una puerta de acceso a un cibercriminal, el cual si nos descuidamos puede llegar a hacerse con el control de la empresa de forma silenciosa y cuando nos demos cuenta ya no podremos echarle. Si el atacante externo consigue meterse en la empresa a través del interno pueden surgir infinidad de problemas muy serios.

Aunque la gran mayoría de riesgos sean muy peligrosos también los hay con menos importancia, todo depende que haga el atacante interno. Un riesgo de bajo nivel por ejemplo sería que el atacante robara los correos electrónicos de clientes, trabajadores e incluso de terceros y los vendiera a una empresa que los meta en su lista para enviarles spam. En este caso la probabilidad de que suceda podría ser alta ya que el spam es algo que se practica mucho y es sencillo hacerte con los correos electrónicos, pero, aunque sea probable el daño no sería muy grave ya que se trataría de simple spam algo que puede regularse y evitarse con filtros antispam de forma sencilla. Otro riesgo a tener en cuenta serían las filtraciones de información al ámbito público, con esto me refiero a filtrar información sobre productos sin anunciar o por ejemplo planos. Depende de la situación de la empresa puede ser de mayor o menor impacto, el ámbito que yo manejo son los videojuegos y en ese caso a finales del producto ni te expone a que una empresa copie tu producto. Pero si hablamos en casos como Intel, el hecho de que se filtre información sobre cómo funciona internamente tu nuevo modelo de procesador puede llegar a ser un gran golpe. Este mismo año hemos visto una filtración de más de 20GB de información de Intel y en videojuegos es el pan de cada día [1]. Podría decirse que el impacto es variable pero la probabilidad de que ocurra es muy alta.

Gran parte de los riesgos que surgen de estos atacantes pueden tener un impacto devastador en la empresa. Para empezar porque como ya hemos visto en los datos del post anterior pueden salirles caro monetariamente a la empresa. Microsoft menciona seis puntos clave sobre esto en el manual de Microsoft 360 [2].

  • Fugas de datos confidenciales y derrame de datos: Es un riesgo con impacto elevado y con una probabilidad muy alta. Buscando información sobre este tipo de amenazas es el riesgo más comentado. Al hablar sobre amenazas internas la fuga de datos es el problema número uno de la lista.
  • Violaciones de confidencialidad: Va un poco ligado al anterior, aunque no tiene porque haber una fuga, un interno podría simplemente acceder a información confidencial para su propio beneficio o el de terceros. Aquí también entraría el hecho de que el imponer medidas para evitar estas amenazas que puedan capar la privacidad del interno.
  • Robo de propiedad intelectual (PI): Ya lo he comentado al hablar sobre las filtraciones, puede ser devastador para una empresa perder o que su propiedad intelectual se haga pública.
  • Uso de información privilegiada: El acceso de los trabajadores y personas vinculadas a la empresa tendrían que estar capados según su nivel dentro de la misma. Un empleado con más acceso del necesario podría hacer uso de esta información privilegiada para realizar alguna de las anteriores acciones o incluso comer fraude.

Es fácil imaginarse el daño que puede crear un empleado a su propia empresa. Pensad que un empleado descontento podría incluso llegar a dañar el hardware de la propia empresa o los servidores y hacer que pierdan su infraestructura y con eso sus datos. Con la información a la que puede acceder si no se toman medidas de acceso adecuadas podría llegar a cometer fraude y robar millones a la empresa. Incluso podría utilizar los recursos de esta para actos criminales. Un simple empleado enfadado o descuidado puede causar muchos problemas a la empresa.

En conclusión, existen muchos riesgos asociados a las amenazas internas ya que los internos pueden ser capaces de realizar muchos tipos de actividades ilegales o no permitidas dentro de la empresa y causar un gran impacto dentro de la misma. En mi opinión diría que existen muchos riesgos de impacto muy alto asociados a este tipo de amenazas por lo que tenerlas bajo control es fundamental, los controles a aplicar será algo del próximo post.

Referencias

[1]<< Una filtración en Intel revela 20
GB de documentos internos confidenciales de la empresa>> , Xataka, acceso
el 3 de noviembre de 2020, https://www.xataka.com/seguridad/filtracion-intel-revela-20-gb-documentos-internos-confidenciales-empresa

[2]<< Insider risk management in
Microsoft 365>>, Microsoft, acceso el 3 de noviembre de 2020, https://docs.microsoft.com/en-us/microsoft-365/compliance/insider-risk-management?view=o365-worldwide




La importancia de las amenazas internas

En el anterior post hable sobre que eran las amenazas internas y trate el tema de forma general dando pequeñas pinceladas sobre el tema. Durante el texto se habló sobre la importancia de minimizar estas amenazas y la importancia que este tenía. En este post ahondare en esto haciendo uso de ejemplos prácticos y datos relevantes que muestren la gran importancia que tiene mantener a raya las amenazas internas en las organizaciones. Al hablar de algún caso, ahondar en datos globales, ver qué organismos están interesados en el tema y que toolkits existen os daréis cuenta de cómo es de vital importancia mantener a raya las posibles amenazas internas que puedan surgir, ya sean intencionadas o no.

Para empezar a ver la importancia de estas amenazas voy a empezar con un enfoque más global haciendo uso de diversos datos recogidos recientemente. En concreto me voy a centrar en el informe del Instituto Ponemon “Coste 2020 de las amenazas internas: Global”. Se trata de un informe que abarca 12 meses sacado a principios de año por lo que gran parte de los datos serán del 2019. En este se detecta que en dos años la frecuencia de estos incidentes ha aumentado un 47% contabilizando en este informe un total de 4.716 incidentes. En el anterior post ya comenté un poco que esto podía deberse a la velocidad en la que la tecnología avanza lo cual hace que surjan más amenazas y más posibilidades. Las empresas se han dado cuenta de la importancia de contener las amenazas por lo que se ha visto un crecimiento del 86% en la dedicación de investigar porque surgen y cómo pararlas. El coste de una de estas amenazas, según indica el informe, es diferente dependiendo del tiempo que haga falta emplear para neutralizarla. Una compañía hace un desembolso de más o menos €12.57 millones al año cuando una amenazada dura más de 90 días, siendo 77 el promedio de días que se tarda en contener estas amenazas. En el informe y en la noticia enlazada en las referencias, de donde salen estos datos, se muestra mucha más información, pero para resaltar un apunte final decir que el desembolso de una compañía grande es de unos €16.42 millones al año en este tipo de amenaza y €7.04 millones el de una pequeña. Son cifras que deberían llamar nuestra atención y la de las empresas para empezar a poner el foco en este tipo de amenazas.[1][2]


Viendo un caso de ejemplo es la mejor manera de entender el impacto que puede tener sobre la empresa. En mi caso, he elegido un hecho acontecido a la empresa Canadiense Shopify Inc. Con sede en Ottawa, Ontario. Es una empresa que se centra en el comercio electrónico y ofrece un portal web donde las tiendas pueden vender sus productos [3]. La noticia a comentar data del 23 de septiembre de este mismo año y es que ese mismo mes Shopify se vio envuelta en una brecha de datos por culpa de unos empleados del grupo de soporte que robaron datos de unos 200 comerciantes. La propia compañía asegura que no ha sido un tema de vulnerabilidad de datos si no que un ataque por parte de los dos empleados. Han conseguido datos de las compañías que utilizan el servicio y de ahí también se ha podido acceder a listas de clientes. La buena noticia es que por lo que se sabe no se ha filtrado ningún tipo de tarjeta de crédito ni datos de pago, pero imagina por un momento que alguien consigue datos bancarios de miles de personas. Si se diera el caso, podría ser un gran golpe para las empresas, para Shopify y para toda la gente que ha dejado su información bancaria dentro del servicio, podría suponer que alguien ajeno a la empresa pierda tanto sus datos como verse afectado monetariamente. Aunque es cierto los datos que han obtenido aún no ser de gran riesgo pueden ser usados para enviar spam y correos maliciosos a los afectados. En el artículo destaca que Shopify fue rápida a la hora detectar la brecha, desautorizar a los atacantes, despedirlos y seguir investigando el asunto ahora a manos del FBI. Por lo que parece no se deben de haber utilizado los datos obtenidos, pero nunca se sabe lo que podría llegar a pasar. La compañía resalta que estas amenazas son de las peores ya que dan muy mala imagen a la compañía y que son un tipo de amenaza en la que siempre que depositas tu confianza en un empleado te estás arriesgando. Además, ahora en época de Covid les ha resultado más difícil controlar el comportamiento de tus empleados para saber si pueden ser una amenaza. El propio artículo menciona otro caso en el que un atacante ofreció $1 millón a un empleado de Tesla por poner un ransomware de forma intencionada. [4]

Sería raro dudar de la importancia cuando septiembre se considera el “National Insider Threat Awareness Month”. Se trata de un esfuerzo colaborativo entre distintas organizaciones para enfatizar y dar la importancia que merece a la documentación, detección y mitigación de estas amenazas. Este año se han centrado en la elasticidad a la hora de recuperarse de este tipo de amenazas [5]. En un artículo de itgovernance hablan sobre la importancia de la ISO27001 para controlar o evitar estas amenazas. La ISO27001 es un estándar de mejores prácticas para gestionar la seguridad de la información. Este estándar va más allá de nuestro tema, pero como se comenta en el artículo es importante aplicarla ya que tener la información interna segura y controlada puede evitar que un atacante interno acceda a ella y pueda utilizarla en contra de la empresa [6]. También existen varios toolkits a usar, como por ejemplo el que ofrece CDSE (Center for Development of Security Excellence). Este toolkit está abierto y disponible para ver sin ninguna restricción. En él podremos acceder a varios topics donde tendremos pdfs con las best practices e información importante para que podamos establecer nuestro propio programa de contención. Es interesante ver todos los puntos que trata el toolkit para entender a la perfección cómo funcionan estas amenazas y cómo tocan muchos temas críticos dentro de la empresa. [7]

En conclusión, podríamos decir que la importancia de intentar contener y evitar estas amenazas es alta. Es cierto que hacerlo puede ser costoso pero una incidencia de este tipo puede suponer un gran golpe para la empresa y costarle bastante dinero. Además, las mejoras en seguridad que se apliquen para este tipo de amenazas también pueden ser de utilidad frente a amenazas externas.

REFERENCIAS

[1]<< Amenazas internas: cuando el peligro está en tu propia empresa>>, Interbel, acceso el 19 de octubre de 2020, https://www.interbel.es/amenazas-internas/#:~:text=Las%20organizaciones%20más%20grandes%20(más,de%20euros%20en%20amenazas%20internas

[2]<< 2020 Cost of Insider Threats Global Report>>, Observeit, acceso el 19 de octubre de 2020, https://www.observeit.com/cost-of-insider-threats/

[3]<<Shopify>>, Wikipedia, acceso del 19 de octubre de 2020, https://en.wikipedia.org/wiki/Shopify

[4]<<Shopify Insiders Attempted to Steal Customer Transactional Records>>, Infosecurity https://www.infosecurity-magazine.com/news/shopify-insiders-records/

[5]<<Insider Threat Awareness Month: Expect the Unexpected>>, Homeland Security Today, acceso el 19 de octubre de 2020https://www.hstoday.us/subject-matter-areas/airport-aviation-security/insider-threat-awareness-month-expect-the-unexpected/

[6]<<Use ISO27001 to combat the insider threat, experts say>>, itgovernance, acceso el 19 de octubre de 2020, https://www.itgovernance.co.uk/media/press-releases/use-iso27001-to-combat-the-internal-threat-expert

[7]<< Insider Threat Toolkit>>, CDSE, acceso el 19 de octubre de 2020, https://www.cdse.edu/toolkits/insider/index.php




Propiedad intelectual, introducción y contexto

La propiedad intelectual es uno de los mayores activos de las empresas actuales. La edad de la información se caracteriza principalmente por otorgar mucho valor a los datos y las ideas que surgen de las personas. Estos elementos intangibles incluyen: dibujos, formas, nombres, imágenes, obras literarias y artísticas, símbolos, modelos, fórmulas, etc. Manejar y controlar el uso y conocimiento de estas es muy complicado. ¿Cómo controlas algo que no se puede tocar?

Para proteger la explotación de estos recursos existen leyes que categorizan y otorgan ciertos derechos según el tipo de propiedad intelectual. Estas leyes varían según el organismo gubernamental. En general nos podemos encontrar con los siguientes [1]:

  • Patentes: El gobierno otorga el derecho de explotación exclusiva de un producto, generando un monopolio artificial para la empresa o creador de la invención, a cambio de la divulgación del producto.
  • Modelo de utilidad: Es un derecho que otorga el estado a una invención. Es muy similar  a una patente, con la diferencia de que un modelo de utilidad no tiene que ser tan “novedoso” u “original” como una patente. Versiones, actualizaciones o extensiones de un producto que suponen una ventaja competitiva entran en esta categoría. A cambio la exclusividad sobre el producto es menor que en la patente.
  • Derechos de autor: Son unos derechos que obtiene el autor de una obra artística, científica o didáctica, por el simple hecho de ser el autor. Aquí podemos encontrarnos los derechos de copia (copyright) que especifican quién y cómo puede realizar copias de las obras. Expiran o pasan al dominio público después de muchos años. En la mayoría de los países ocurre pasados los 50 años, en muchas partes de Europa son 70 años y en México 100.
  • Propiedad industrial: Una propiedad industrial puede ser una marca, símbolo, patente, dibujo o diseño industrial. Sobre estas el estado otorga el derecho decidir quién puede utilizar la invención, diseño o signo distintivo y a prohibir que un  tercero lo haga.
  • Marcas registradas o trademarks: Estas están compuestos por formas, dibujos, símbolos, iconos, logotipos, música, (olores en algunos países). Son elementos principalmente gráficos que un consumidor asocia a una marca. Y las instituciones gubernamentales otorgan a su titular, la posibilidad de autorizar o prohibir el uso de la misma a terceras personas.

También hay otros tipos de PI que son curiosas y/o destacables:

  • Variedades vegetales: Como se puede intuir por el nombre, este tipo de propiedad otorga derechos de de uso comercial sobre una variedad de plantas.
  • Imagen comercial: La imagen que proyecta una marca o empresa. La sensación, estilo, feeling que percibe un cliente también se puede considerar propiedad intelectual. Pero esta no está protegida por ninguna ley y, el cuidado de esta es puramente de la empresa. Tiene mucho valor, se puede dañar fácilmente y tiene mucho impacto en los clientes.
  • Secreto comercial: Son fórmulas, prácticas, procesos, diseños, instrumentos, patrones o compilaciones de información que no se conoce o no se puede determinar de manera razonable, mediante la cual una empresa puede obtener una ventaja económica. Estos conocimientos se podrían proteger mediante una patente pero en ese caso se deben publicar los detalles y en unos 20 años se perdería la exclusividad.

Cómo gestionar y controlar las ideas y la información es difícil, hay que tener localizada e identificada toda aquella información que sea relevante para la empresa. Lo que un trabajador aprende durante su jornada laboral, ¿le pertenece a él o a la empresa? Si este empleado se marcha a la competencia, ¿qué les puede contar? ¿Cómo de parecidos tienen que ser dos cosas para considerarse plagio? ¿Cuánto para que sea un producto distinto? ¿Cómo estimar cuánto vale una PI?

Si bien las leyes se centran especialmente en productos que se pueden vender las propiedades intelectuales también incluyen documentos internos de las empresas como las buenas prácticas, formularios u hojas de procesos entre otros. Todo el conocimiento implícito de una organización procesos, organización, experiencia y habilidades de los empleados es conocimiento y puede suponer un valor muy elevado.

Para que nos hagamos una idea del volumen que suponen las propiedades intelectuales durante el año 2018 en España se realizaron más de 80.000 solicitudes. Más de 50.000 de marcas, 18.000 diseños industriales, 12.000 nombres comerciales y 5.000 modelos de utilidad, patentes y expedientes [2].

[1] <<¿Qué es la propiedad intelectual?>>, OMPI, consultado el 30/09/2020, https://www.wipo.int/edocs/pubdocs/es/intproperty/450/wipo_pub_450.pdf

[2] <<La OEMP en cifras>>, OEMP, consultado el 02/10/2020, https://www.oepm.es/export/sites/oepm/comun/documentos_relacionados/Publicaciones/Folletos/La_OEPM_en_Cifras_2018.pdf