1

Más riesgos y cierre

Introducción

Durante esta lista de posts he ido hablando sobre diversos temas relacionados con el IoT. En el primero artículo introduje un poco el tema sobre los dispositivos conectados a la red. Durante el segundo hablé de las aplicaciones que tiene esta tecnología en la industria. Los últimos 2 post han sido sobre los riesgos que tienen estos dispositivos y que controles y auditoría necesitan estos dispositivos.

Este último post he decidido dedicarlo a introducir algunos riesgos más, en función del área al que pertenece, puesto que comenté que me parecía un tema interesante en mi post relacionado con los riesgos. Si bien es cierto, que algunos riesgos se repetirán, pienso que es importante categorizarlos.

Riesgos

A continuación, planteo un pequeño esquema que resume los riesgos de cada área y acto seguido explicaré detalladamente cada una de estas [1].

  • Área financiera
    • Salud y seguridad
    • Cumplimiento normativo
    • Privacidad del usuario
    • Costos inesperados
  • Área operacional
    • Acceso inadecuado
    • Uso en la sombra
    • Rendimiento
  • Área técnica
    • Vulnerabilidad del dispositivo
    • Actualizaciones del dispositivo
    • Administración del dispositivo

Área financiera

El riesgo más grave que puede ocurrir en esta área es en el impacto en la salud y la seguridad si se modifica el funcionamiento de un dispositivo. Varias investigaciones han demostrado que se pueden realizar ataques a dispositivos biomédicos como un marcapaso o un desfibrilador. A su vez, también se pueden realizar ataques contra los coches, pudiendo deshabilitar el sistema de frenos cuando este está en marcha.

Además, como bien expliqué en mi post relacionado a los riesgos se puede obtener todo tipo de información de los dispositivos IoT. Si bien los dispositivos cuentan con medidas de seguridad como una contraseña, esta es opcional. Esto hace que la US Federal Trade Commision haya demandado algunas empresas por políticas de seguridad pobres.

También, los riesgos regulatorios son posibles, especialmente en los dispositivos embebidos. Los riesgos regulatorios ocurren principalmente cuando se está procesando información sensible, cuando se interactúa con procesos regulados por los gobiernos y por el impacto que tienen en sistemas críticos. Los dispositivos que procesan personales pueden estar tratando con información privada o sensible del usuario, lo cual implica un riesgo a la privacidad del usuario.

Finalmente, los costos inesperados suelen surgir cuando un se cambia un dispositivo no informático por uno que si lo es. Esto es debido a que el dispositivo informático requiera conectividad o soporte adicional para realizar la tarea completa.

Área operacional

Además de los riesgos financieros que implica utilizar un sistema embebido, hay que tener en cuenta otros riesgos. Uno de estos riesgos es contar con una comunicación M2M insegura. Esto hace que personal inapropiado pueda realizar cambios en el dispositivo u obtener telemetría de este.

También, la implementación de dispositivos sin una supervisión centralizada ni una gobernanza adecuada puede ser perjudicial para los dispositivos IoT. Este tipo de implementación se llama Shadow IT. Al no contar con nadie que se encargue de que los dispositivos estén protegidos, esto puede hacer asumir riesgos adicionales a la empresa la empresa.

Riesgos técnicos

Los dispositivos IoT embebidos suelen ser más complejos de configurara que los dispositivos tradicionales, causado por el gran número de dispositivos IoT. Estos dispositivos, al igual que los dispositivos tradicionales pueden ser atacados como bien mencioné en mi post sobre riesgos.

Los ataques realizados contra los dispositivos IoT ofrecen un desafío para los fabricantes, debido a que muchas veces la única manera de corregir la vulnerabilidad es actualizar el hardware.

Finalmente, desde el punto de vista de la administración de estos dispositivos, muchas empresas no están preparadas para poder proporcionar la seguridad necesaria a estos dispositivos. Esto hace que deban considerar cuestiones como la realización de inventarios, la supervisión de acceso al dispositivo etc. al igual que en los sistemas tradicionales.

Conclusión final

Mientras buscaba información para realizar estos artículos he descubierto un sinfín de características que desconocía sobre los dispositivos IoT. A su vez, como he ido comentando a lo largo de varios artículos, el número de dispositivos IoT ha estado creciendo durante los últimos años y se espera que siga creciendo en los próximos años. Además, creo que esta tecnología está revolucionando todos los sectores de la industria y que va a seguir incluyendo muchas mejoras. Finalmente, me gustaría recordar que estos dispositivos tienen un gran número de riesgos, los cuales creo que irán decreciendo en los próximos años.

Bibliografía

[1] <<Internet of Things: Risk and Value Considerations>>, ISACA, consultado el 20/11/2020, https://www.isaca.org/bookstore/bookstore-wht_papers-digital/whpiot




Los riesgos de la realidad digital

En este post, voy a intentar explicar cuales son los riesgos del uso en las empresas de la realidad digital. Aunque seguro que a quienes estéis leyendo esto se os puede ocurrir alguno más, voy a explicar únicamente aquellos que, después de haber realizado un pequeño trabajo de investigación, considero que son los más relevantes.

Riesgo físico

Todos aquellos que os hayáis puesto en algún momento unas gafas de realidad virtual sabréis que pueden llegar a hacer que perdamos un poco el entorno que realmente nos rodea. Es común ver videos de gente usando estas gafas que se cae, se choca, o se marea. Este último síntoma es bastante común, y en un entorno empresarial en el que es posible que se tenga que utilizar esta tecnología durante un periodo bastante largo de tiempo, supone un riesgo muy importante. Si nuestros empleados no pueden usar una tecnología en la que hemos invertido mucho dinero, ese dinero se pierde, además de que dichos empleados no van a estar muy contentos.

Otro riesgo físico que preocupa bastante en el aumento de la miopía tras un uso prolongado de este tipo de dispositivos [1]. Todos sabemos que mirar una pantalla durante bastante tiempo es malo para la vista, pero en el caso de la realidad virtual, es aún peor. Cuando miramos una pantalla, basta con levantar un segundo la vista para dejar de mirarla, pero si estamos usando un equipo, el hecho de tener que quitárnoslo (lo que obviamente es más costoso que levantar la vista), hace que estos “descansos” vayan a ser menos comunes. La verdad es que ahora mismo no existen datos sobre hasta que punto afecta el uso prolongado de estos dispositivos a nuestros ojos, pero lo que es seguro es que afecta de forma negativa.

Para terminar con los riesgos físicos, voy a hablar de los traumas que el uso de estas tecnologías puede causar. Muchas personas pueden pensar que como no va a ser de verdad, podemos vivir situaciones que no estaríamos dispuestos a experimentar en la vida real. Es verdad que el riesgo al que nos ponemos es menos en el ámbito físico, pero no en el psicológico. Al utilizar estas tecnologías lo que hacemos es engañar a nuestro cerebro, y la forma de procesar las experiencias que este piensa que estamos viviendo pueden llegar a causar ansiedad, miedo, o estrés postraumático (PTSD). [2]

Privacidad

Las tecnologías de realidad digital utilizan una gran cantidad de sensores para hacer las distintas experiencias lo más realistas posibles. Estos sensores registran datos sobre, por ejemplo, el movimiento de nuestros ojos o de nuestro cuerpo, nuestra posición geográfica… Hoy en día, estos dispositivos son capaces de captar unos 90 movimientos por segundo, lo que se traduciría con que, en una sesión de unos 20 minutos de uso de un equipo de realidad digital, se recogerían unos 2 millones de lecturas de nuestro movimiento [2]. Estos datos aportan una información que puede llegar a ser muy valiosa para las empresas, y que, si no se gestiona correctamente, puede suponer un gran riesgo. Además, como se gestione esta privacidad puede afectar a la opinión pública, y así reducir o aumentar el número de usuarios. Por ejemplo, Las Google Glass de 2014 fueron muy criticadas por su gestión de la privacidad, lo que finalmente hizo que el producto no tuviera éxito [3].

Seguridad

En cuanto al tema de la seguridad, esta se puede dividir en 3 partes. En primer lugar, está la seguridad física de quien la utiliza, pero de eso ya he hablado en el primer apartado, así que no voy a repetirlo. La seguridad de los datos va muy unida a lo expuesto en el apartado de privacidad, así que tampoco voy a ahondar mucho en ella. De la que no he hablado es de la seguridad de los equipos, como cascos, guantes, gafas… Para que una empresa puede implementar este tipo de tecnologías, necesita hacer una inversión en este tipo de dispositivos. Aunque cada vez son más asequibles, siguen sin ser lo que se dice baratos, por lo que perder algunos de estos dispositivos puede suponer un riesgo. Además, hay que considerar que hay muchas formas de perderlos, desde robo por parte de los empleados o de personas externas a la empresa, hasta ciberataques contra estos dispositivos, o simplemente que se les dé un mal uso o mantenimiento [4]. Estos ataques a estos equipos suponen amenazas muy graves para las empresas, ya que pueden terminar en robos virtuales, suplantaciones de identidad…

Conclusión

Como conclusión, me gustaría añadir que, aunque considero que la realidad digital puede ser muy útil para muchas empresas (como se vio en el post anterior), existen muchos riesgos asociados a su uso, y hay que saber bien como controlarlos, cosa de la que hablaré en el siguiente post.

Referencias

[1] La realidad virtual conlleva riesgos muy reales para la salud, Expansión, https://expansion.mx/tendencias/2018/01/02/la-realidad-virtual-conlleva-riesgos-muy-reales-para-la-salud#:~:text=Mareo,afecta%20la%20conexi%C3%B3n%20ojo%2Dcerebro.

[2] The risk and rewards of enterprise use of augmented reality and virtual reality. ISACA journal volume 1 2020.

[3] Coming to terms with reality, both virtual and augmented, Knowledge Leader https://www.knowledgeleader.com/knowledgeleader/resources.nsf/description/PreviewEmergingRisksApril2018Protiviti/$FILE/Preview-Emerging-Risks-April2018-Protiviti.pdf

[4] Los riesgos potenciales de la realidad virtual para la empresa, Datágora, http://www.datagora.es/los-riesgos-potenciales-de-la-realidad-virtual-para-la-empresa/




Seguridad y Controles en Big Data

En el post anterior vimos los riesgos más relevantes asociados al Big Data, siguiendo esa línea, en este veremos cuales son los controles a realizar y las medidas de seguridad a tener en cuenta para mantener a raya esos riesgos.

Para refrescar lo que vimos en el anterior post, empezaremos listando los que son los principales riesgos a los que se enfrenta la industria del Big Data:

  • Como debe ser gestionada la estrategia y los recursos entorno al Big Data
  • Desarrollo e implementación en proyectos de Big Data
  • Privacidad y seguridad de los datos
  • Utilización de tecnologías open source y cloud
  • Computación segura en marcos de programación distribuida
  • Mejores prácticas en base de datos no relacionales
  • Registro de Transacciones y almacén de datos seguros
  • Monitoreo de la seguridad en tiempo real
  • Control de acceso criptográfico

Para poder alcanzar las necesidades de los objetivos de negocio, es necesario atacar estos riesgos y mejorar la habilidad con la que se hace uso del Big Data. Con intención de mejorar esto, ISACA estableció los ocho pasos o controles que describiremos a continuación.

  • Establecer prioridades con los datos: todos los datos no tienen la misma importancia dentro de un negocio, por lo que es imprescindible detectar cuales son los procesos críticos y asegurarse de que estos tienen preferencia.
  • Entender qué sucede con los datos: es fundamental monitorear todos los datos de la compañía, para analizar y tomar decisiones basadas en los resultados.
  • Los datos son preciados, deberían ser asegurados de esa forma: se debe tener un apropiado conocimiento de la performance de los procesos de manejo de datos.
  • Proveer guías claras de seguridad: se deben considerar todas las fuentes de información de las que se están obteniendo los análisis y evaluar las vulnerabilidades de cada una.
  • Asegurar futuros sistemas de prueba: las compañías deberían invertir en herramientas que ayuden a asegurar que sus datos sean acertados, actualizados y limpios a medida que el Big Data crece.
  • Tomar la nube en consideración: Los controles apropiados deben ser puestos en su lugar para confiar en el proveedor de servicios en la nube con los datos sensibles.
  • Encontrar un director de datos.
  • Finalmente, asegurar conformidad con las relevantes regulaciones y leyes actuales: Controles de seguridad lógicos y físicos de acceso son necesarios para prevenir acceso sin autorización a los datos sensibles y valiosos. Es importante, mantenerse informado acerca de propuestas legislativas y usar la oportunidad de emplear las mejores prácticas en cuanto al ciclo de vida de los datos.

Haciendo énfasis en este último consejo de ISACA, veremos las cláusulas recogidas de la ISO 27002 relacionadas con el Big data en lo referente a la seguridad física y lógica.

Controles ISO 27002-2013 [3]

Seguridad física

Cláusula Descripción
11.1.1 Perímetro de seguridad física Se deben definir perímetros de seguridad que sean usados para proteger las áreas que contengan tanto información crítica como sensible, así como las instalaciones donde se procesa.
11.1.2 Controles Físicos de entrada Se deben proteger las áreas que se consideren necesarias por controles apropiados de entrada que garanticen que sólo el personal autorizado tiene acceso.
11.1.4 Protección contra amenazas externas y medioambientales Se deben aplicar procedimientos contra desastres naturales o ataques intencionados como inundaciones, fuegos o explosiones.
11.2.1 Protección y emplazamiento físico del equipo El lugar de trabajo debe reducir los riesgos provenientes de amenazas medioambientales y peligros provocados por accesos no autorizados.
11.2.2 Utilidades de apoyo El equipamiento debe estar protegido ante fallos eléctricos y otras interrupciones causadas por fallos en otros sistemas de apoyo.
11.2.3 Seguridad en el cableado Los cables de alimentación y telecomunicaciones que transporten datos o servicios de información de apoyo deben estar protegidos contra toda interferencia o daño.
11.2.4 Mantenimiento del equipo El equipo debe ser correctamente mantenido de acuerdo con las recomendaciones y especificaciones del fabricante para asegurar su continuidad, disponibilidad e integridad.
11.2.5 Eliminación de activos El equipo, información, o software no debe ser sacado de su emplazamiento físico o lógico sin una autorización previa.

Seguridad lógica

6.1.5 Seguridad de la información en la administración de proyectos La seguridad de la información debe abordarse en la gestión del proyecto, independientemente del tipo de proyecto, y debería estar integrada en los métodos de administración de proyectos de la organización, para asegurar que los riesgos de la seguridad de la información son identificados y dirigidos como parte íntegra del mismo
8.2.1 Clasificación de la información La información debe ser clasificada en función de sus requisitos legales, valor, criticidad y sensibilidad.
8.3.2 Eliminación de medios Los dispositivos deben ser borrados de manera segura cuando ya no sean necesario usando procedimientos formales.
9.2.5 Repaso de los derechos de acceso de los usuarios Se debe revisar de manera frecuente el acceso de los usuarios sobre todo después de ascensos, degradaciones, despidos o cualquier otro cambio significativo.
10.1.1 Política en el uso de controles criptográficos Se debe desarrollar e implementar una política de uso de controles criptográficos para la protección de la información.
12.2.1 Controles contra el malware Se deben implementar controles de detección, prevención y recuperación que garanticen la protección contra el malware, así como concienciar a los trabajadores.
12.3.1 Información de respaldo Se debe establecer una política de respaldo que defina y establezca los requisitos de la empresa en cuanto a respaldo de la información, del software y de los sistemas.
13.1.1 Controles de Red Las redes deben ser controladas y gestionadas para proteger la información de los sistemas y aplicaciones. Se deben implementar controles que garanticen la seguridad de la información en red y la protección de los servicios conectados desde accesos no autorizados.
14.2.8 Pruebas de Seguridad del Sistema Se deben realizar pruebas de seguridad, tanto para los sistemas nuevos como para los actualizados, durante el periodo de desarrollo.
16.1.2 Reportar eventos de seguridad de la información Los eventos de seguridad de la información deben ser comunicados por los canales administrativos apropiados tan rápido como sea posible.
16.1.3 Informar sobre las debilidades en la seguridad de la información Los empleados y contratistas que usen los sistemas de información de la organización están obligados a reportar cualquier debilidad detectada.
16.1.6 Aprendiendo de los incidentes de seguridad de la información La información obtenida de los análisis de incidentes debe usarse para reducir el impacto de futuros sucesos
18.1.3 Protección de archivos Se debe tener en cuenta la forma en la que la organización clasifica sus archivos y el período de tiempo durante el que los almacena a la hora de seleccionar el medio en el que va a guardar la información para protegerla de accesos no autorizados o descargas ilegales.

Ahora que ya conocemos diferentes controles que debemos llevar a cabo relacionados con el Big Data y debido a la longitud del post, lo daré por acabado aquí, dejando como tarea para el próximo y último post una pequeña reflexión sobre los controles nombrados a lo largo de este documento.

Referencias

[1] «Seguridad y Control en Big Data», Academia.
https://www.academia.edu/28496329/Seguridad_y_Control_en_Big_Data

[2] «Auditoría de Proyectos Big Data, Cloud Computing y Open Data», Universidad Complutense de Madrid.
https://eprints.ucm.es/50039/1/TFG%20BertaMontes.pdf

[3] «Controles ISO 27002-2013», ISO 27000.
https://www.iso27000.es/assets/files/ControlesISO27002-2013.pdf




Analizando los riesgos en los sistemas de control de infraestructuras críticas

Como pudo verse en anteriores entradas, las infraestructuras críticas y los ICS están destinados a coexistir de manera inevitable, y el porqué de ello reside precisamente en el componente principal a analizar a lo largo del presente artículo, el riesgo. El riesgo, según la propia RAE (Real Academia Española), se define como la posibilidad o proximidad de que un daño suceda o no suceda [1]. Este concepto, extrapolado al contexto de las infraestructuras críticas y sus sistemas de control, adquiere un cariz realmente delicado si tenemos en cuenta que se trata de un mundo en el que el fracaso no es una opción.

En las infraestructuras críticas existen, como ya pudimos ver en el primer artículo, diferentes tipos de sistemas de control disponibles para este tipo de sectores. Sin embargo, a pesar de la existencia de los mismos, el riesgo que presenta este tipo de infraestructuras sigue siendo notable debido a su propia naturaleza.

Figura 1. Existen múltiples factores y escenarios de riesgo en el mundo de la industria.

Potenciales riesgos

Según un informe elaborado por el propio CCN-CERT (Centro Criptológico Nacional Computer Emergency Response Team) [2], en este tipo de entornos está presente una serie de riesgos que amenazan a menudo la integridad de todos estos sistemas de control, identificando los siguientes riesgos/amenazas:

  • Uso inadecuado de dispositivos portátiles.

Referido a la utilización de este tipo de dispositivos (almacenamiento extraíble, USB, HDD, SDD, etc.) para la extracción de información, intercambios de información, exposición a malware, etc.

  • Trabajo de terceros.

En este punto se enmarca el trabajo que se realiza por parte de terceras empresas en estos entornos. Es frecuente que  las  organizaciones cuenten de  manera  continua  con  terceras  empresas  para  llevar  a cabo tareas que, sin ser parte  del proceso industrial principal, son imprescindibles para el correcto funcionamiento del mismo. Los empleados de estas empresas puede que no se les aplique políticas de privacidad para terceros, controles de acceso adecuados, etc.

  • Interconexiones con otras redes.

Se refiere a la segmentación inadecuada de las redes o la red corporativa de este tipo de infraestructuras. Controles de acceso mal ejecutados, redes sin monitorización, interconexiones no documentadas que pueden ser sumideros de información, etc.

  • Gestión deficiente de copias de seguridad

Copias de seguridad no verificadas, no actualizadas o inexistentes. Incluso mala gestión de almacenamiento y protección de las mismas, dificultando su acceso o dando lugar a situaciones confusas.

  • Falta de concienciación del personal.

Se refiere al uso inadecuado de los equipos disponibles en las infraestructuras, publicación desmedida de información en perfiles personales de RRSS, etc.

  • Gestión de cambios inadecuada.

Políticas de gestión de cambios no verificadas o que no incluyen o excluyen procedimientos necesarios.

  • Inexistencia de planes de gestión de incidentes y continuidad.

Planes que contemplen fallos críticos en los sistemas y su respuesta ante estos, así como cuestiones de ciberseguridad que cada vez están más presentes en estos entornos debido a su exposición.

  • Gestión de la información deficiente.

Intercambios de información mediante plataformas no verificadas, envío de información sensible o información excesiva que puede comprometer la seguridad, mala gestión de documentos internos, etc.

  • Gestión deficiente de software.

Falta de actualizaciones y parches de seguridad en los equipos del ICS, inexistencia de inventario de programas y versiones, falta copias de seguridad.

  • Gestión deficiente de responsabilidades y gestión de la seguridad.

Inexistencia de responsables de ciberseguridad, propietarios de los activos del ICS, procedimiento de transferencia de los mismos, borrado seguro de equipos, etc.

  • Gestión deficiente de credenciales de usuarios.

Contraseñas que no se renuevan, credenciales análogas entre sistemas diferentes, inexistencia de controles de acceso, inicios de sesión automáticos en ciertos equipos del sistema, etc.

  • Falta de gestión técnica de la seguridad y sistemas.

Se refiere a controles de tráfico de la red del ICS, gestión de vulnerabilidades, cortafuegos, segmentación de redes, uso de cifrado en interconexiones o evaluaciones periódicas de la seguridad del sistema.

Todos los anteriores, forman parte de posibles escenarios de riesgo que se dan a menudo con mayor asiduidad de la que pensamos en este tipo de infraestructuras que son críticas. No obstante, también podríamos identificar más riesgos aún si cabe [3], como podrían ser ataques de denegación de servicio (DoS/DDoS), alteraciones de datos que afecten a su integridad, riesgos que presenta la utilización de dispositivos IoT [4] o incluso ataques terroristas. También cabe resaltar que a medida que la soluciones ICS se sustituyen por hardware y software comerciales que utilizan estándares de código abierto (Ethernet, TCP/IP, Wi-Fi…) el número de vulnerabilidades potenciales crece exponencialmente, al igual que la proliferación de dispositivos móviles.[5]

Figura 2. La ciberseguridad tiene cada vez una mayor implicación en la industria y los ICS.

Si echamos un vistazo rápido a todos los anteriores, podemos comprobar cómo gran parte de estas amenazas son compartidas con otros sistemas como los TI, de hecho, en muchos de ellos son estos sistemas los que están directamente involucrados; a fin de cuentas, la modernización de este tipo de infraestructuras e implantación de sistemas de control trae consigo este tipo de problemas intrínsecos que hay que tener en consideración ya que pueden suponer efectos colaterales en el funcionamiento de los procesos; la integración de los tradicionales sistemas IT con los sistemas operacionales u OT (Figura 3) es un desafío que aún está abierto[6]. Además, durante mucho tiempo la barrera física que separaba este tipo de infraestructuras de elementos externos ha sido inexpugnable, sin embargo, hoy día la proliferación de interconexiones entre diferentes sistemas y redes también ha tenido su entrada en este ámbito, algo que se debería tener en consideración igualmente. Aunque buena parte de la tecnología que sustenta los ICS es extremadamente robusta y fiable, no fue diseñada para ser accesible desde redes remotas, sino para un acceso físico restringido.

Figura 3. Integración IT/OT

Conclusiones

En conclusión, de lo anteriormente expuesto se desprende que los riesgos que presentan los ICS no hacen más que aumentar proporcionalmente junto con la aparición y utilización de nuevas tecnologías o soluciones en los procesos de estas infraestructuras. Controlar todos y cada uno de estos aspectos potencialmente problemáticos debe ser considerado primordial en un sector con estas características.

Referencias

[1] RAE. Riesgo. s.f. https://dle.rae.es/riesgo (último acceso: 21 de noviembre de 2020).

[2] CCN-CERT. «Amenazas y análisisde riesgos en Sistemas de Control Industrial (ICS).» Informe de Amenazas, 2016. https://www.ccn-cert.cni.es/informes/informes-ccn-cert-publicos/1381-ccn-cert-ia-04-16-amenazas-y-analisis-de-riesgos-en-sistemas-de-control-industrial-ics/file.html (último acceso: 21 de noviembre de 2020).

[3] Computing. Los 9 riesgos de los sistemas de control industrial. 20 de febrero de 2020. https://www.computing.es/infraestructuras/noticias/1116511001801/9-riesgos-de-sistemas-de-control-industrial.1.html (último acceso: 22 de noviembre de 2020).

[4] Carlos Barreto, Himanshu Neema y Xenofon Koutsoukos, Vanderbilt University. «Attacking Electricity Markets through IoT devices.» Computer, 2020: 55-62. (último acceso: 22 de noviembre de 2020).

[5] Fortinet. «Seguridad de los Sistemas de Control Industrial con Fortinet.» Seguridad de principio a fin conforme a la norma IEC-62443. 2017. 3. (último acceso: 22 de noviembre de 2020).

[6] Dimitrios Serpanos, ISI/ATHENA y University of Patras. «The cyber-physical systems revolution.» Computer, 2018: 70-73. (último acceso: 22 de noviembre de 2020).




Riesgos del IoT

Como he mencionado en mis entradas previas, el IoT ofrece un gran número de ventajas y comodidades tanto a los individuos como a las empresas. Pero al igual que con la gran mayoría de tecnologías, también hay que tener en cuenta los riesgos que conlleva utilizar dispositivos IoT o cualquier otra tecnología en general. Hay que tener en cuenta, que la mayoría de estos riesgos estarán relacionado con la seguridad.

El primer riesgo del que voy a hablar se encuentra en los fabricantes de dispositivos IoT. Al igual que todas las compañías, las empresas que diseñan dispositivos IoT están orientadas a los beneficios y al tiempo de comercialización. Esto hace que al diseñar un dispositivo pasen por alto algunas consideraciones de seguridad necesarias para el mismo. Esto permite a un atacante acceder a la información del dispositivo con un mínimo esfuerzo. Cabe destacar que esta información puede ser desde transmisiones de video y audio, hasta correos electrónicos y contraseñas. También, estos dispositivos mal diseñados permiten la ejecución de comandos remotos que pueden reprogramar el firmware del dispositivo [1].

El segundo riesgo que lastra el IoT son las botnets. Si los dispositivos IoT no tienen las medidas de seguridad apropiadas pueden ser infectadas por distintos tipos de malware. Si bien es cierto que un dispositivo infectado no significa un riesgo, el gran número de dispositivos conectados a internet sin seguridad si lo es. Es importante destacar que los dispositivos IoT son más vulnerables a ser infectados por un fragmento de software malicioso debido a que no reciben actualizaciones de seguridad regularmente [2]. Un gran número de dispositivos IoT es capaz de poner en peligro instalaciones críticas de nuestro día a día, o que suceda algo similar a la botnet DDoS Mirai de 2016 [3]. Finalmente es necesario destacar que los dispositivos IoT han tenido el segundo porcentaje de infección más alto entre todas las plataformas, siendo de un 32.72% [4].

Otro riesgo que pueden generar los dispositivos conectados a la red es la perdida de privacidad y confidencialidad. Un gran número de terceros pueden utilizar este tipo de dispositivos para invadir la privacidad tanto de individuos como de organizaciones. Es necesario destacar que este grupo de terceros pueden ser los crackers (termino negativo del hacker), los gobiernos o los competidores empresariales. Si consiguen acceder a la información, ya sea de carácter confidencial o general, lo más probable es que esta información se utilice sin el permiso ni el consentimiento del propietario. Un par de ejemplos de esta pérdida de privacidad y confidencialidad serían los siguientes [2]:

  • Obtener el control de una cámara de seguridad para conocer los hábitos del objetivo.
  • Empezar a obtener datos de varios dispositivos IoT y utilizar los datos recogidos para extorsionar a la compañía o para vendérselos a compañías competidoras en el mercado negro.

El siguiente riesgo que voy a mencionar sobre el IoT es la visibilidad de los dispositivos en internet. El éxito de un ataque a dispositivos IoT está muy relacionado a la visibilidad que el dispositivo tiene en internet. Como he mencionado anteriormente en este artículo, los dispositivos IoT son propensos a estar infectados y empiezan a formar parte de una botnet. Esto es debido a que muchos dispositivos están conectados con direcciones IP públicas, haciendo a dichos dispositivos vulnerables ante prácticamente cualquier ataque. Para reducir la infección, entre otras técnicas se encuentra contar con un traductor de redes (NAT). Emplear esta técnica reduce el número de dispositivos visibles al escanear una red.

Para finalizar este post, me gustaría concluir y resumir un poco todo lo que he mencionado a lo largo de este artículo. La mayoría de los riesgos que tienen los dispositivos conectados a internet, es decir, los dispositivos IoT está relacionado con la seguridad. Estos riesgos no surgen únicamente por el desconocimiento de los usuarios finales. Los fabricantes muchas veces tampoco dan lo mejor de si para que estos dispositivos tengan el menor número de brechas de seguridad. A su vez, como he mencionado a lo largo de este post, tanto los dispositivos personales como los empresariales están comprometidos, y muchas veces no es necesario contar con un gran nivel de conocimiento para poder aprovechar dichas brechas de seguridad. En el área empresarial, que creo que es la que más perdidas puede generar, ISACA menciona 3 áreas de riesgo para tener en cuenta: el área operacional, el área financiera y el área técnica [5]. Finalmente, aunque estas áreas de riesgo me parecen un tema muy interesante, no voy a profundizar en las mismas en este post.

Bibliografía

[1] <<Demystifying IoT Security: An Exhaustive Survey on IoT Vulnerabilities and a First Empirical Look on Internet-Scale IoT Exploitations>>, Oceano, consultado el 20/11//2020, https://ieeexplore-ieee-org.proxy-oceano.deusto.es/document/8688434

[2] <<7 biggest IoT risks facing businesses today — and what to do about them>>, TechGenix, consultado el 20/11/2020, http://techgenix.com/biggest-iot-risks/

[3] <<Breaking Down Mirai: An IoT DDoS Botnet Analysis>>, Imperva, consultado el 20/11/2020, https://www.incapsula.com/blog/malware-analysis-mirai-ddos-botnet.html

[4] <<Threat Intelligence Report Says IoT Attacks Doubled Within a Year, Predicts an Upward Trend>>, CPO magazine, consultado el 20/11/2020, https://www.cpomagazine.com/cyber-security/threat-intelligence-report-says-iot-attacks-doubled-within-a-year-predicts-an-upward-trend/?utm_source=ActiveCampaign&utm_medium=email&utm_content=Threat+Intelligence+Report+Says+IoT+Attacks+Doubled+Within+a+Year%2C+Predicts+an+Upward+Trend&utm_campaign=Weekly+Highlights

[5] <<Internet of Things: Risk and Value Considerations>>, ISACA, consultado el 20/11/2020, https://www.isaca.org/bookstore/bookstore-wht_papers-digital/whpiot




Riesgos

A pesar del gran potencial que tiene el Big Data y su relevancia en la industria actual, es clave saber identificar y poder hacer frente a los riesgos que conlleva este análisis masivo de los datos. Uno de los papeles más importantes que tienen que cumplir las organizaciones consiste en comprender la importancia del Big Data, reconociendo así los puntos en los que más valor se puede conseguir gracias a su aplicación.

A medida que las organizaciones aumentan el número de soluciones basadas en Big Data para conseguir un valor y una ventaja competitiva, es importante que el auditor de la Seguridad de la Información sea capaz de entender los riesgos que esto conlleva y asegure que estos se están gestionando de manera correcta. El uso de la analítica avanzada puede ser vital para la detección de riesgos, a la vez que ayuda a señalar posibles sesgos en el pensamiento de la gestión, ineficiencias en el mercado y desarrollos emergentes. En resumen, los datos brindan una nueva ventana al mundo, pero los análisis adecuados son los que ayudan a comprender lo que significan para la organización [1]. A continuación, se muestran algunos de los principales riesgos que hay que mantener a raya [2].

Estrategia IT y recursos: Es importante entender la estrategia general de la empresa y como el Big Data debe ser utilizado o aplicado para apoyar esa estrategia. Muchas organizaciones no están preparadas para capitalizar las oportunidades que el Big Data puede ofrecer, especialmente en lo que a talento de los trabajadores se refiere, ya que es una tecnología todavía en alza que cuenta con una falta de expertos en su ámbito.
Los auditores de la seguridad de la información deberían evaluar estrategias tecnológicas y la gestión de recursos con el fin de asegurar que las iniciativas tecnológicas y están alineadas con la estrategia de la empresa y que esta cuenta con recursos suficientes y bien cualificados.

Desarrollo e implementación: Para este apartado listaremos una serie de riesgos que pueden experimentar los proyectos de tecnología de Big Data.

  • Desafíos con el alcance, la calidad, el costo y el tiempo de comercialización.
    • Los auditores de SI deben determinar si las soluciones de Big Data se adquieren y desarrollan de manera controlada utilizando procesos apropiados de gestión de proyectos y desarrollo de sistemas.
  • Las iniciativas de Big Data a menudo utilizan metodologías de desarrollo ágiles iterativas como Scrum. Sin embargo, es probable que los auditores de SI estén familiarizados con los procesos de desarrollo de sistemas en cascada tradicionales, enfatizados más en la documentación completa y detallada.
    • Los auditores de SI pueden tener el desafío de obtener la seguridad de que se realizaron las pruebas adecuadas para determinar que la solución de Big Data funciona según lo previsto.
  • La veracidad de los datos, conocida a menudo como la cuarta V.
    • Para lograr este objetivo, los auditores de SI deben evaluar la estrategia de aseguramiento de la calidad de Big Data de la organización o incluso determinar si se ha implementado un programa efectivo de gobernanza de datos.

Privacidad y seguridad de los datos: una de las grandes preocupaciones asociada al manejo de tanta cantidad de información es garantizar que se cumple con los requisitos de privacidad y seguridad. Los datos pueden ponerse en peligro por una serie de razones, incluidos los controles de seguridad inadecuados, amenazas tanto internas como externas o configuraciones del sistema débiles.
A la hora de manejar datos confidenciales existen requisitos normativos de la industria que recogen como se protegen, comparten y depuran esos datos. Se debe prestar especial atención a datos financieros, de salud e información de identificación personal. Los auditores de SI deben revisar las regulaciones para la protección de datos y la privacidad, y evaluar los controles de seguridad en detalle.
Como dato curioso y práctico que demuestra lo que sucede cuando las cosas no se hacen como se deberían, está la fuga de datos que sufrió una empresa de análisis de datos en 2017 que incluía información, 1,1 terabytes, sobre los votantes estadounidenses.

Tecnologías open source y cloud: muchas organizaciones pueden optar por utilizar plataformas de código abierto o entornos de computación en la nube de terceros, como podrían ser Apache Hadoop o Amazon Web Services (AWS). Este tipo de tecnologías presentan riesgos únicos que deben ser considerador por los auditores.
Otro riesgo asociado a las soluciones de código abierto es el relacionado con las licencias. Dependiendo del tipo de licencia que se utilice, existe el riesgo de infracción de la propiedad intelectual o la exposición del código propio de la organización.
Los auditores SI deben evaluar por una parte que los proveedores de tecnología en la nube tienen controles de seguridad adecuados, que la supervisión con los proveedores externos es suficiente, y, por otro lado, evaluar los controles que se encargan de gestionar y mitigar las vulnerabilidades del código abierto, a la vez que monitorean el cumplimiento de las licencias mencionadas.

A pesar de que cada vez estos riesgos estén más controlados y las medidas que se toman para mantenerlos a raya mejoren continuamente, las soluciones de Big Data también crecen a un ritmo desmesurado. Para hacer frente a ese crecimiento y esta evolución del Big Data hacia los datos no estructurados y el software de código abierto, los auditores SI deberán ampliar su conocimiento y desarrollar nuevas habilidades. Y, por último, volviendo a la analítica avanzada que hemos comentado en el comienzo del post, la utilización de esta ayudará también a reducir los riesgos en financiación, talento, tiempo y tecnologías mal asignadas.

Referencias

[1] «The Real Deal With Big Data», Deloitte. https://www2.deloitte.com/content/dam/Deloitte/us/Documents/regulatory/us-director-advisory-real-deal-with-big-data-013015.pdf

[2] «Auditing Big Data in the Enterprise», ISACA. https://www.isaca.org/resources/isaca-journal/issues/2018/volume-2/auditing-big-data-in-the-enterprise




La aduana de la redes sociales

Tal y como veíamos en anteriores entradas, las redes sociales son una herramienta muy valiosa para las empresas pero no por ello son perfectas. El uso de las redes sociales en el mundo corporativo supone estar expuesto a sufrir una serie de riesgos que, como comentamos en previos posts, pueden generar pérdidas económicas sustanciales. Por ello se debe tener sumo cuidado a la hora de hacer uso de las diferentes plataformas existentes.

Como sucede con cualquier otra herramienta, el uso de las redes sociales debe estar controlado y monitorizado de tal modo que los responsables de su manejo sean capaces de obtener la información necesaria relativa a la eficacia y eficiencia de su uso.

Este control, de igual manera, debe supervisarse para asegurarse de que los empleados y los procesos cumplen con la normativa acordada por la directiva de la organización. Este procedimiento se denomina la auditoría de las redes sociales y es la encargada de verificar que los controles implantados son llevados a cabo y cumplen la función prevista. Al mismo tiempo, la auditoría puede encontrar ciertos errores derivados no de un mala gestión del control planteado, sino de un planteamiento inicial no completo que pudiera dejar cierto riesgo sin supervisión. Estos descubrimientos son comunicados a la alta dirección quien posteriormente puede actuar siguiendo los consejos de los auditores.

Así pues comenzaremos explicando los controles que una corporación debería implementar para llevar un eficaz seguimiento del uso de las redes sociales.

La pausa del desembarco

Cuando viajamos en avión y tras varias horas aterrizamos en nuestro destino, previo al desembarco, siempre se escucha una calmada voz de una de las azafatas comunicando a los pasajeros que por favor no se desabrochen el cinturón antes de que el aeroplano se detenga totalmente. Esta pausa, aunque incómoda, es obligatoria pues, ajeno al pasajero, los encargados de la aeronave deben asegurarse de que las normas para poder efectuar el desembarco se cumplen y que, en efecto, es seguro proceder.

De igual manera, la organización que desee incorporar las redes sociales a su empresa debe primeramente generar una política clara y concisa en la que se detallan las maneras en las que las plataformas serán utilizadas por los empleados y las normas y controles que estos deberán cumplir en su interacción.

La creación de esta política de uso es de vital importancia puesto que, en caso de no tener una, la empresa se expone a sufrir cualquiera de los riesgos explicados en el anterior post con mayor facilidad.

Políticas de uso

Las políticas de uso de las redes sociales idealmente deberían contemplar los siguientes puntos:

  • Tener un control sobre las personas que poseen las credenciales para acceder a las plataformas.
  • Delimitar el uso de las redes en el ámbito laboral, marcando claramente cual sería el tiempo de uso indebido de estas en horario laboral.
  • Monitorización de la actividad de los empleados en las diferentes redes sociales para asegurar la no filtración de información sensible, ya sea de manera consciente -como puede ser un empleado renegado- o inconsciente -subir una foto tuya en tu trabajo en el que pudiera verse en el fondo algún dato no público-.
  • Aclarar la responsabilidad de cada empleado que interactúe en las plataformas, detallando las posibles penalizaciones que una actuación descuidada pueda acarrear.
  • Concienciar a los empleados de la importancia de su presencia en las redes sociales y promover el buen ambiente entre compañeros. Igualmente, advertir de que publicar un comentario negativo sobre un compañero puede tener efectos adversos.
  • Entrenar a los empleados de los diferentes departamentos en el uso de esta herramienta, ofreciendo clases o tutoriales y transmitiendo claramente la política de uso de esta herramienta. Del mismo modo, inculcar los valores que la empresa desea que posean en el mundo digital.

Se podría elaborar una lista mucho más cuidada y detallada. La organización debe dedicarle el tiempo necesario para redactar una política de uso en la que se plasme todo aquello que crean oportuno.

Es recomendable tener una política de uso diferentes para cada departamento que interactúe con las plataformas, ya que el departamento de marketing hará uso de las redes sociales de manera diferente al departamento de información, por ejemplo. Generar una política general y después una departamental favorece el control de su uso y facilita el posterior proceso de auditoría.

Otra gran ayuda es disponer de un abogado experimentado en la redacción de este tipo de documentos que guíe a los directivos en su elaboración. Es posible que se contemplen políticas que interfieran con los derechos de los empleados y por ello la presencia de un abogado que pueda asesorar a los autores tiene un gran valor.

Pensar en negativo

Tener una clara política de uso no significa que le empresa deje de estar expuesta a sufrir alguno de los riesgos mencionados previamente. Al fin y al cabo en el mundo digital la seguridad completa es una ilusión ya que siempre hay personas que consiguen encontrar nuevas vulnerabilidades y explotarlas a placer. Es por esto que, posterior a la redacción de las políticas de uso, la organización debería producir un plan de contingencia en el que se contemplen los posibles casos que pudieran darse si se sufriera un riesgo.

Se debe pensar en las situaciones adversas para planear un plan de contingencia efectivo.

Esta mentalidad negativa puede parecer un tanto alarmista para algunos. No obstante contemplar los posibles escenarios negativos da una ventaja a la organización pues, en caso de que suceda alguno de ellos, esta posee de antemano los procedimientos que deberán ponerse en marcha para paliar y mitigar el riesgo lo antes posible, sufriendo de esta manera el menos impacto posible y agilizando la vuelta a la normalidad.

Entre muchos factores que deben contemplar estos documentos, me gustaría destacar la importancia de aclarar el método de comunicación que se deberá usar en cada caso. Ya sea la comunicación interna de la organización como la externa, mediante la cual se comunica tanto a los stakeholders como a entidades externas, tener claro cómo proceder con dicha comunicación y las vías que se deben utilizar agiliza el descubrimiento de factores que pueden generar un impacto o en el peor de los casos, la detección del impacto.

Herramientas de control

Una vez detallados los planes de contingencia y las políticas de uso, es necesario poder llevar un control del uso de las redes sociales. Para ello existen multitud de herramientas que permiten monitorizar la actividad de la organización en las diferentes plataformas donde tiene presencia. Muchas de estas herramientas ofrecen una interfaz gráfica muy útil que a través de gráficos y porcentajes muestra, entre otras cosas, el incremento o decremento de la actividad de la empresa en cierta red social. Estos datos son de gran interés dado que muestran tanto la eficacia de la actividad realizada como los puntos de mejora a considerar.

Unmetric

Unmetric es una herramienta de pago que ofrece una consola de mandos mediante la cual el usuario puede claramente identificar los aspectos positivos que la actividad realizada ha tenido en las plataformas así como los desaciertos o fallos que han propiciado que cierta publicación haya tenido una recepción no deseada.

Ejemplo del dashboard de Unmetric.

Hora de la aduana

Una vez realizados los documentos detallados y comunicado los controles estos deben de cumplirse y para asegurar de que es así existe la auditoría de las redes sociales.

La auditoría de las redes sociales, siguiendo el hilo del ejemplo del avión, cumple la función de la aduana en cuanto a que su labor es garantizar que todos los procedimientos se cumplen. En caso de encontrar algún fallo o mejora, los auditores lo comunican a los directivos, quienes una vez puestos al corriente toman las decisiones que crean oportunas.

Una auditoría de este tipo debe contemplar al menos los siguientes puntsos:

  • Obtener todas las cuentas de la empresa en las diferentes plataformas. Importante identificar alguna cuenta no oficial que supondría un riesgo potencial. 
  • Asegurarse de que todas las cuentas siguen las normas de actuación detalladas. Contenido apropiado y relacionado con la marca, la foto de perfil es reconocible, no hay contenido que quebrante alguna ley, …
  • Evaluar la actuación en la plataforma : Viendo el aumento de seguidores en cierto tiempo y relacionando el aumento de las compras con algún post realizado en tiempos cercanos.
  • Asegurarse de que la política de las redes sociales concuerdan con las políticas de la empresa. 
  • Asegurarse de que la empresa entrena a sus empleados instruyéndoles en las normas redactadas.
  • Asegurarse de que se dispone del software adecuado para mitigar cualquier riesgo como hacking que pueda venir por la mala implantación de un firewall o la inexistencia de medidas software.
  • Determinar si el acceso a las redes sociales empresariales están contempladas en los procesos de gestión de acceso.

¡Bienvenidos a las redes sociales!

Tras el exhaustivo trabajo realizado en la redacción de las políticas de uso y los planes de contingencia y la implantación de normas de uso, por fin puedo decir… ¡Sean bienvenidos a las redes sociales! Es un mundo maravilloso donde, como verán, se enfrentarán a imprevistos y riesgos pero también disfrutarán de sus grandes ventajas. Al menos ahora tienen la seguridad de poseer las herramientas necesarias para que su estancia aquí no se una pesadilla. ¡Mucha suerte!

Referencias




Más riesgos y controles del 5G

Siguiendo con el hilo del anterior post en el que comenté algunos de los riesgos del 5G, en este presentaré algunos riesgos más y los controles y medidas necesarias para mitigar esos riesgos. 

Pero antes de todo, veo conveniente dejar claros algunos conceptos como riesgo, control, amenaza y vulnerabilidad. En el ámbito de la informática podemos definir el riesgo como la probabilidad de que ocurra un incidente de seguridad. Por otro lado, la amenaza es una acción que podría tener un potencial efecto negativo sobre un activo. Por sí sola la amenaza no provoca un daño, necesita de una debilidad o fallo en los sistemas para que se materialice el daño, a estas debilidades o fallos les llamamos vulnerabilidades. Por lo tanto, podemos decir que un riesgo es la probabilidad de que ocurra una amenaza utilizando una vulnerabilidad generando un daño [1]. 

Para mitigar estos riesgos, se emplean controles que permiten asegurar la calidad de nuestros sistemas y a su vez, estos controles necesitan ser auditados para asegurar que se cumplen como se deben.

Tras el apoyo del Consejo Europeo el 22 de marzo de 2019 para un enfoque concertado de la seguridad de las redes 5G, la Comisión Europea adoptó su recomendación sobre la ciberseguridad de las redes 5G el 26 de marzo de 2019. Esta recomendación pedía a los Estados miembros que completaran evaluaciones de riesgos y revisaran las medidas nacionales, trabajando juntos a nivel de la UE con el objetivo de concretar una evaluación de riesgos coordinada y preparar una “caja de herramientas” de posibles medidas de mitigación.
Cada Estado miembro completó su propia evaluación de riesgos de sus infraestructuras de red 5G y transmitió los resultados a la Comisión y a ENISA. Gracias a esto se desarrolló una “caja de herramientas” de la UE para la mitigación de riesgos en cuanto a redes 5G [2].

Este documento comienza enumerando 9 riesgos fundamentales a tener en cuenta:

  1. Mala configuración de redes.
  2. Falta de controles de acceso.
  3. Baja calidad del producto.
  4. Dependencia de un solo proveedor dentro de redes individuales o falta de diversidad a nivel nacional.
  5. Interferencia estatal a través de la cadena de suministro 5G.
  6. Explotación de redes 5G por parte del crimen organizado dirigido a usuarios finales.
  7. Interrupción significativa de infraestructuras o servicios críticos.
  8. Fallo masivo de las redes debido a la interrupción del suministro eléctrico u otros sistemas de apoyo.
  9. Explotación del IoT, teléfonos o dispositivos inteligentes.

Estos riesgos se pueden agrupar en diferentes escenarios. El primer y segundo riesgo hacen referencia a un escenario relacionado con una insuficiencia de medidas de seguridad. El tercero y cuarto están relacionados con la cadena de suministro. El quinto y sexto surgen de acciones negativas por parte de terceros actores. El séptimo y octavo riesgo surgen por el fallo de un sistema unido a la red 5G y por último, el noveno está relacionado con dispositivos para el usuario final. Tal vez este último riesgo sea uno de los que más se diferencia respecto a los riesgos que pudieran haber tenido y que siguen teniendo redes móviles de anteriores generaciones como el 4G y el 3G.

En el mismo documento también se plantean medidas que permiten mitigar los riesgos comentados anteriormente. A partir de estas medidas se pueden sacar los controles que aseguren la calidad de la red 5G. He realizado la siguiente tabla teniendo en cuenta el documento, seleccionando, resumiendo y adaptando el contenido:

En conclusión, los controles parecen estar muy dirigidos a los operadores de red móvil, esto puede expresar una clara preocupación por parte de estas empresas. Al final, dentro de un sistema compuesto por muchos agentes, el nivel de seguridad suele ser el del eslabón más débil y es donde hay que poner el foco. En mi opinión, estas medidas no serán suficientes para evitar que se materialicen ciertas amenazas ya que todo no se puede prever. Además, esta tecnología que posibilita que otras cojan fuerza, hace que ciertos problemas solo salgan a la vista una vez que esté completamente implantada. Creo que todavía hay mucho trabajo por delante en cuanto al 5G.

Bibliografía

[1] <<Diferencias entre ataque, amenaza y vulnerabilidad en Ciberseguridad>>, EALDE, consultado el 12/11/2020,
https://www.ealde.es/ataque-amenaza-vulnerabilidad-ciberseguridad/#:~:text=El%20concepto%20de%20vulnerabilidad%20en%20Ciberseguridad&text=Esta%20puede%20considerarse%20como%20la,de%20un%20sistema%20de%20informaci%C3%B3n.&text=Las%20amenazas%20representan%20un%20potencial,que%20se%20materialice%20ese%20da%C3%B1o

[2] <<EU Toolbox of risk mitigating measures>>, European Union, consultado el 12/11/2020, https://ec.europa.eu/digital-single-market/en/news/cybersecurity-5g-networks-eu-toolbox-risk-mitigating-measures




Propiedad intelectual, Riesgos

Riesgos, riesgos, riesgos, … De eso va la auditoría, no?

Hemos visto durante los primeros artículos la enorme importancia que tienen las propiedades intelectuales. Cómo son la base sobre la cual las empresas se apoyan, las distingue y las hace competitivas frente al resto. Es lo que marca la diferencia entre los mejores y el resto.

Como todo lo que es valioso, a las empresas les interesa protegerlo y cuidarlo. Las empresas u organizaciones al estar compuestas por personas los riesgos de los que se debe proteger a las propiedades intelectuales se pueden distribuir en dos categorías básicas: Que no la roben y que no se pierda.

Un riesgo muy habitual en organizaciones de cualquier tamaño es la infrautilización de alguna PI. Es común encontrarse que se está pagando un servicio al que no se le está dando uso; perder documentos al marcharse la gente del equipo; olvidar donde se encuentran ciertos documentos; olvidar que se tiene un dominio web porque no se le da uso; no hacer uso de las herramientas legales para proteger las PI; o, directamente, no saber que se tiene alguna PI.

Estos son riesgos internos de la organización. Son cuestiones que normalmente perjudican a la organización por no aprovechar bien sus recursos, pero el impacto suele ser pequeño en comparación con los riesgos externos.

Los riesgos externos de la PI es que sea robada. Hablamos de casos en los que la competencia logra información delicada o consigue cierta tecnología eliminando la ventaja competitiva con la que contaba la primera empresa. Cuando se trata de información delicada en vez de tecnología esta puede ser usada para adelantarse y perjudicar las estrategia de la primera empresa.

La mayoría de los robos no se suelen dar mediante planes muy sofisticados, basta con que haya algún empleado descontento con acceso a los documentos de interés.

Cuanto más puntera y más grande sea una empresa más cuidado tiene que tener una empresa. A estos niveles la competencia y los participantes en estas artimañas empiezan a tener escala internacional, países que para mejorar su competitividad usan recursos del país para robar tecnología y otros datos a grandes organizaciones para potenciar empresas del país.

Aunque parezca de película no es tan raro encontrarse noticias como la siguiente [1] en la que grupos de hackers organizados por un gobierno se dedican a robar información y tecnología a empresas para tener esa tecnología en el país sin tener que adherirse a las leyes internacionales y de esa manera poder competir con potencias extranjeras.

Las cuestiones que dificultan el buen estado de las PI dentro de una organización son principalmente el tamaño de esta. Empresas grandes, internacionales, se encuentran con una complejidad enorme a la hora de gestionar sus PIs y las PIs de las que hacen uso. Cada país tiene leyes ligeramente distintas en cuanto a las PIs, y mantener el control y gestionar las interacciones de todas estas leyes se puede volver infernal.

Lo más habitual es que cuanto mayor es la organización, mayor sea el número de propiedades intelectuales que maneja. Además de tener más PIs, disponer de una plantilla mucho mayor aumenta la superficie de ataque considerablemente. Sinceramente la mayor fuente de riesgos en las organizaciones son las personas.

Por ejemplo, pensemos en una empresa que se dedica a la producción de software. El equipo de desarrollo tendrá seguramente todo el código y conocimientos en un repositorio privado al que solo unas pocas personas tengan acceso. De esta manera controlar quien puede y no puede acceder a esa información es sencillo.

Sin embargo, si la PI de una empresa son los procesos, contenido creativo, planos, o documentación que no está en un lugar controlado, sino que la información está a la vista o en los portátiles personales de los empleados, que no están gestionados por la empresa, cuanto más difuso sea qué constituye una PI más complicado es gestionar y protegerla.

A esto hay que añadir que cuanta más gente tenga acceso a la información más difícil es protegerla. La probabilidad de empleados descontentos o poco concienciados aumenta. Y las personas son fácilmente influenciables, basta con un poco de ingeniería social para robar información privilegiada, no hace falta ni que el ataque sea especialmente sofisticado. El sistema es tan seguro como el eslabón más débil.

La explosión combinatoria del número de empleados, gente con acceso a la PI y la dificultad para definir y limitar el acceso a las PI hace que la superficie de ataque y consecuentemente el riesgo que corren las PI sea enorme.

Referencias

[1] <<An Unfair Advantage: Confronting Organized Intellectual Property Theft>>, ASIS, consultado el 01/11/2020
https://www.asisonline.org/security-management-magazine/articles/2020/07/an-unfair-advantage-confronting-organized-intellectual-property-theft/

[2] <<Intellectual Property Protection High Tech’s Crown Jewels>>, ISACA, vol 3 (2018): 39-44

[3] <<Intellectual Property Theft/Piracy>>, FBI, consultado el 02/11/2020
https://www.fbi.gov/investigate/white-collar-crime/piracy-ip-theft 

[4] <<Five insights on cyberattacks and intellectual property>>, Deloitte, consultado el 02/11/2020
https://www2.deloitte.com/us/en/pages/advisory/articles/five-insights-on-cyberattacks-and-intellectual-property.html




Riesgos de las amenazas internas

Ya hemos hablado sobre qué son las amenazas internas en el primer post y en el segundo hemos comentado la importancia que tienen hoy en día. En este tercer post vamos a ver qué riesgos acarrean las amenazas internas. En el segundo se comento el tema monetario ya que salir de una de estas amenazas cuando se producen es muy caro, pero también trae consigo otros problemas más allá del dinero y que pueden ser a largo plazo.

Las amenazas internas están muy ligadas a los datos y a la ciberseguridad. Puede que el propio interno robe los datos y los saques de la empresa para venderlos, sacarlos a la luz o algún otro tipo de acto criminal. También puede crear una puerta de acceso a un cibercriminal, el cual si nos descuidamos puede llegar a hacerse con el control de la empresa de forma silenciosa y cuando nos demos cuenta ya no podremos echarle. Si el atacante externo consigue meterse en la empresa a través del interno pueden surgir infinidad de problemas muy serios.

Aunque la gran mayoría de riesgos sean muy peligrosos también los hay con menos importancia, todo depende que haga el atacante interno. Un riesgo de bajo nivel por ejemplo sería que el atacante robara los correos electrónicos de clientes, trabajadores e incluso de terceros y los vendiera a una empresa que los meta en su lista para enviarles spam. En este caso la probabilidad de que suceda podría ser alta ya que el spam es algo que se practica mucho y es sencillo hacerte con los correos electrónicos, pero, aunque sea probable el daño no sería muy grave ya que se trataría de simple spam algo que puede regularse y evitarse con filtros antispam de forma sencilla. Otro riesgo a tener en cuenta serían las filtraciones de información al ámbito público, con esto me refiero a filtrar información sobre productos sin anunciar o por ejemplo planos. Depende de la situación de la empresa puede ser de mayor o menor impacto, el ámbito que yo manejo son los videojuegos y en ese caso a finales del producto ni te expone a que una empresa copie tu producto. Pero si hablamos en casos como Intel, el hecho de que se filtre información sobre cómo funciona internamente tu nuevo modelo de procesador puede llegar a ser un gran golpe. Este mismo año hemos visto una filtración de más de 20GB de información de Intel y en videojuegos es el pan de cada día [1]. Podría decirse que el impacto es variable pero la probabilidad de que ocurra es muy alta.

Gran parte de los riesgos que surgen de estos atacantes pueden tener un impacto devastador en la empresa. Para empezar porque como ya hemos visto en los datos del post anterior pueden salirles caro monetariamente a la empresa. Microsoft menciona seis puntos clave sobre esto en el manual de Microsoft 360 [2].

  • Fugas de datos confidenciales y derrame de datos: Es un riesgo con impacto elevado y con una probabilidad muy alta. Buscando información sobre este tipo de amenazas es el riesgo más comentado. Al hablar sobre amenazas internas la fuga de datos es el problema número uno de la lista.
  • Violaciones de confidencialidad: Va un poco ligado al anterior, aunque no tiene porque haber una fuga, un interno podría simplemente acceder a información confidencial para su propio beneficio o el de terceros. Aquí también entraría el hecho de que el imponer medidas para evitar estas amenazas que puedan capar la privacidad del interno.
  • Robo de propiedad intelectual (PI): Ya lo he comentado al hablar sobre las filtraciones, puede ser devastador para una empresa perder o que su propiedad intelectual se haga pública.
  • Uso de información privilegiada: El acceso de los trabajadores y personas vinculadas a la empresa tendrían que estar capados según su nivel dentro de la misma. Un empleado con más acceso del necesario podría hacer uso de esta información privilegiada para realizar alguna de las anteriores acciones o incluso comer fraude.

Es fácil imaginarse el daño que puede crear un empleado a su propia empresa. Pensad que un empleado descontento podría incluso llegar a dañar el hardware de la propia empresa o los servidores y hacer que pierdan su infraestructura y con eso sus datos. Con la información a la que puede acceder si no se toman medidas de acceso adecuadas podría llegar a cometer fraude y robar millones a la empresa. Incluso podría utilizar los recursos de esta para actos criminales. Un simple empleado enfadado o descuidado puede causar muchos problemas a la empresa.

En conclusión, existen muchos riesgos asociados a las amenazas internas ya que los internos pueden ser capaces de realizar muchos tipos de actividades ilegales o no permitidas dentro de la empresa y causar un gran impacto dentro de la misma. En mi opinión diría que existen muchos riesgos de impacto muy alto asociados a este tipo de amenazas por lo que tenerlas bajo control es fundamental, los controles a aplicar será algo del próximo post.

Referencias

[1]<< Una filtración en Intel revela 20
GB de documentos internos confidenciales de la empresa>> , Xataka, acceso
el 3 de noviembre de 2020, https://www.xataka.com/seguridad/filtracion-intel-revela-20-gb-documentos-internos-confidenciales-empresa

[2]<< Insider risk management in
Microsoft 365>>, Microsoft, acceso el 3 de noviembre de 2020, https://docs.microsoft.com/en-us/microsoft-365/compliance/insider-risk-management?view=o365-worldwide