La digitalización de todo tipo de servicios y negocios ha traído, a su vez, nuevas formas de amenaza intencionadas para las empresas. La seguridad, en el sentido de security, como tantos otros aspectos de la vida profesional, se ha visto sacudida por una evolución trepidante.

No solo aparecen nuevas amenazas, también, lógicamente, nuevas tecnologías y metodologías de protección.

En el caso de AEINSE, como colectivo de ingenieros de seguridad, nos ha llevado a una intensa actividad de definición de buenas prácticas referidas al diseño e implantación de nuevas tecnologías de seguridad y al desarrollo de cursos internos para nuestros asociados sobre materias tan dispares como drones, PSIMs, Inteligencia Artificial, etc.

Las empresas que sufren estas nuevas amenazas y determinan el uso de nuevas tecnologías de protección afrontan unos retos formidables, tanto económicos como organizativos. Entre estas actuaciones existe una necesidad que no está siendo satisfecha, en términos generales, en un gran número de organizaciones. Se trata de la vulnerabilidad creciente ante ciberataques con una cierta complejidad a los sistemas de seguridad.

En concreto nos referimos, en el caso de las entidades financieras, a dos tipos de activos:

• Los sistemas de seguridad que gestionan los edificios singulares de las entidades (CCTV, control de accesos, sistemas de intrusión, protección contra incendios, interfonía, megafonía, etc.).
• Las CRAs de uso propio o los centros de apoyo a las CRAs externas.

Las consecuencias de esta vulnerabilidad frente a ciberataques son de gran impacto, estos son algunos ejemplos:

• Disponibilidad: No se reciben en el Centro de Control las imágenes de TV o no funciona el control de acceso.
• Confidencialidad: Se accede desde el exterior a las grabaciones de incidentes o a las listas del personal y sus permisos de acceso.
• Autenticidad: Se generan tarjetas de acceso para personal no autorizado, se borran grabaciones de TV, se desconecta el sistema de intrusión en determinada fecha y hora...

¿Cuáles son las causas de estas vulnerabilidades?

• En general, los sistemas de seguridad han sido instalados por empresas de seguridad, atendiendo a pliegos y proyectos en los que no se contempla la autoprotección de dichos sistemas en cuanto a amenazas de ciberseguridad.
• Estos sistemas son asimilables a un “SCADA”. Son estructuras informáticas, basadas en redes IP y con ordenadores que los gestionan, utilizando aplicaciones específicas de seguridad que se instalan sobre sistemas operativos estándar: UNIX, Windows Server..., para los que existen virus, troyanos, vulnerabilidades bien conocidas y utilizadas.
• Los sistemas de seguridad no están aislados, se conectan con redes de la entidad para recibir altas y bajas del personal, se les suministra telemantenimiento desde otras empresas, etc.
• En muchos casos estos sistemas no están considerados por las entidades propietarias como un sistema informático a incluir en la política de ciberseguridad de la empresa, por lo que su administración recae en la empresa mantenedora del sistema o en el propio departamento de seguridad.

Como consecuencia de lo anterior, en muchas ocasiones se encuentran sistemas de seguridad con conexiones no seguras con el exterior, con sistemas operativos sin actualizar (los famosos parches), sin antivirus o antivirus desactualizados, sin políticas de gestión de claves de acceso, sin copias de seguridad del propio software y un largo etcétera.

En AEINSE, muy preocupados por esta situación, y ante la ausencia total de regulación al respecto en la Seguridad Privada, estamos tratándola con la mayor seriedad posible, promoviendo la formación a nuestros asociados y elaborando manuales de buenas prácticas, siendo la primera de ellas la “AEINSE 20/21. Guía de Buenas Prácticas de Ciberseguridad en Proyectos de Seguridad Física”.

Sin duda, muchos de los profesionales con acceso a este Boletín de EFITEC tendrán esta necesidad bajo control, y sus departamentos de ciberseguridad atenderán a estos sistemas de seguridad como atienden otros sistemas esenciales de la entidad.

En los casos en los que no sea así, es fundamental aplicar las mismas políticas y metodologías de ciberseguridad de la entidad que se aplican a los sistemas informáticos que sustentan los procesos relevantes, y aplicarlos en los sistemas ya existentes.

En los sistemas de nueva implantación, habrá que incluir en los pliegos técnicos de petición de ofertas las consideraciones específicas de las medidas adecuadas de seguridad.

Alfonso Bilbao
Presidente de AEINSE