Para la mayoría de las personas es fácil comprender los riesgos de la seguridad física. Si te dejas la puerta abierta se incrementa significativamente el riesgo de que accedan personas no autorizadas. Los bienes que estén a la vista te los pueden robar fácilmente.

También, nos parece muy sencillo entender que los errores humanos o accidentes pueden causar daños a personas, propiedades y al contenido.

La seguridad física y la ciberseguridad se pueden abordar con el mismo enfoque. Como responsable de seguridad física o ciberseguridad en su organización, deberá aplicar los mismos principios

Qué proteger:

Identificar y clasificar los activos y recursos.

De quién protegerlos:

Identificar las amenazas.

Que probabilidad existe:

Identificar las vulnerabilidades existentes que las amenazas pueden explotar.

Consecuencias:

Identificar el impacto (coste esperado) si suceden cosas malas.

El riesgo se define como la probabilidad de la materialización de una amenaza multiplicada por el resultado nocivo esperado. Una vez determinados los riesgos existentes, debe preguntarse lo que está dispuesto a hacer para evitar un impacto negativo.

Ser consciente de tus bienes y recursos

En lo que respecta a los sistemas de videovigilancia tenemos lo obvio. El recurso que necesita protección es la transmisión de vídeo de las cámaras. El activo son las grabaciones de vídeo en el sistema de gestión de vídeo (VMS) y el acceso se controla mediante los privilegios del usuario.

Otros activos son las cuentas de usuario, contraseñas, configuraciones de sistemas operativos, firmware y software, y los dispositivos con conectividad de red.

¿Qué amenazas debes tener en cuenta?

El primer paso en el camino para protegerse de las ciberamenazas es conocer qué cara tienen. La confidencialidad, integridad y disponibilidad son considerados los elementos clave a proteger en un sistema TI. Echemos una mirada a las amenazas más comunes a la ciberseguridad y las vulnerabilidades que se suelen explotar.

Las tres ciberamenazas más comunes en videovigilancia:

  1. El error humano. Bien por ingenuidad o no intencionado.
  2. Mal uso deliberado del sistema.
  3. Manipulación física y sabotaje.

Error humano

No importa qué tan buena sea la tecnología que despliegue para proteger su red. Si un atacante consigue que uno solo de sus usuarios haga clic en el enlace malicioso de un correo electrónico, ese atacante está dentro. Por tanto, para los ciberdelincuentes este es el medio más fácil y, en definitiva, el preferido. Los tipos de errores humanos que abren la puerta a un ciberataque incluyen:

Ingeniería Social:

Cuando un usuario es engañado mediante manipulación psicológica para cometer errores de seguridad o entregar información confidencial. La suplantación de identidad es un claro ejemplo de esta técnica.

Uso indebido de contraseñas:

Usar contraseñas no seguras o no proteger y actualizar correctamente las mismas.

Uso incorrecto de componentes críticos:

Extravío de recursos que faciliten la entrada al sistema, como tarjetas de acceso, teléfonos, ordenadores portátiles y/o documentación sensible.

Mala gestión del sistema:

No disponer de una política de actualizaciones del sistema y/o parches de seguridad o no ejecutarla adecuadamente.

Reparaciones fallidas:

Un arreglo defectuoso puede resultar en una reducción del rendimiento del sistema y/o en la seguridad de este.

Vulnerabilidades y el error humano

Algunas de las vulnerabilidades más comunes causadas por errores humanos son la falta de concienciación en ciberseguridad y la falta de políticas y procedimientos para gestionar el riesgo. Se presentan a continuación algunas recomendaciones en este sentido:

  • Con el fin de mitigar el error humano, todos deben ser entrenados en las mejores prácticas de ciberseguridad.
  • Limitar el acceso al vídeo restringiendo los permisos críticos al VMS solo a unos pocos usuarios de confianza.

Mal uso deliberado del sistema

Otra de las más comunes ciberamenazas es el mal uso deliberado del sistema de vídeo por personas con acceso legítimo para ello. Entre los malos usos deliberados del sistema se incluyen:

  • Robo de datos.
  • Acceso no autorizado y manipulación de los recursos y servicios del sistema.
  • Dañar deliberadamente el sistema.

Vulnerabilidades y mal uso intencionado

Es muy importante implementar políticas y procedimientos para ayudar a gestionar vulnerabilidades y mitigar la amenaza del mal uso intencionado del sistema. Estas son algunas recomendaciones para prevenir estas situaciones no deseadas:

  • Investigación de las personas con permisos suficientes para acceder a los datos confidenciales.
  • Por supuesto, limitar el número de personas con los permisos anteriores.
  • Todos los dispositivos deben tener cuentas separadas para la administración y la operación diaria.
  • Disponer de una política de contraseñas robusta.

Manipulación física y sabotaje

La protección física de los sistemas de TI es muy importante desde la perspectiva de la ciberseguridad:

  • El equipo expuesto físicamente puede ser manipulado.
  • El equipo expuesto físicamente puede ser robado.
  • Los cables expuestos físicamente se pueden desconectar, redirigir o cortar.

Ser conscientes del impacto negativo

Los sistemas de vídeo no procesan transacciones financieras, ni contienen datos de los clientes. Podría pensarse inicialmente, que un ataque a un sistema de vídeo puede ser difícil de monetizar y, por lo tanto, tener un valor limitado para las organizaciones de ciberdelincuentes. No obstante, un sistema de vídeo comprometido puede convertirse en una amenaza a otros sistemas.

Desafortunadamente, en muchas ocasiones las organizaciones aprenden por las malas. La protección es como la calidad, obtienes lo que pagas. Si compras barato puede acabar costándote mucho a largo plazo.

Vulnerabilidades y amenazas físicas

Las cámaras en sí mismas no solo son susceptibles a la manipulación, también pueden exponer el cableado de red. Otras vulnerabilidades comunes que pueden proporcionar oportunidades para que las amenazas puedan ser explotadas incluyen equipos de red, servidores, switches instalados en áreas accesibles o de fácil acceso sin protección como armarios cerrados o canalizaciones por paredes o conductos.

¿Qué medidas debes implantar?

Llegados a este punto es seguro que debemos implantar medidas de ciberseguridad en nuestros sistemas de vídeo. Presentamos a continuación algunas ideas encaminadas a ayudar sobre por dónde empezar.

Usar contraseñas únicas y robustas:

Suena bastante obvio, pero sigue siendo una de las formas más habituales con las que un cibercriminal obtiene acceso a los sistemas porque utilizan contraseñas débiles o mantienen contraseñas por defecto.

La mayoría de los dispositivos IP son entregados con credenciales y configuraciones por defecto. Es vital, por tanto, que sean cambiadas inmediatamente siguiendo la política IT existente en la organización para este asunto.

Cada dispositivo debe poseer credenciales diferentes para administración y operación, únicas para cada uno, deben ser fuertes con un mínimo de 8 caracteres (preferiblemente más), cambiarse con frecuencia y, por supuesto, no deben compartirse. Por último, las credencias, combinación de usuarios y contraseñas deben guardarse de forma cifrada. Parece una ardua tarea, pero es fácil si dispones de las herramientas adecuadas para hacerlo. Por ejemplo, un gestor de credenciales. Pregúntanos sobre este asunto. Estaremos encantados de ayudarte.

Además, la política de contraseñas existente en la organización debe ser conocida por todos los usuarios de esta, que debe asegurarse de que todos entienden y están capacitados para desarrollar las mejores prácticas en esta materia.

Política para el despliegue e instalación de dispositivos

Nunca se deben dejar habilitados servicios sin utilizar cuando se proceda a instalar un nuevo dispositivo. No hacerlo es la mejor forma de dar facilidades a los ciberdelincuentes para que ataquen o instalen aplicaciones maliciosas.

Deshabilitar los servicios no utilizados e instalar sólo aplicaciones confiables reduce las posibilidades de que un posible atacante pueda aprovechar una vulnerabilidad del sistema.

Por supuesto, también es esencial que los dispositivos sigan una instalación física óptima y que los puertos de red y de tarjetas de memoria nunca queden accesibles al público.

Definir roles claros y adecuados:

Se deben establecer reglas y procedimientos claros para garantizar que los usuarios tienen los derechos correctos de acceso para su área de responsabilidad.

El principio de mínimo privilegio es el más adecuado para controlar que los usuarios no dispongan de mayores capacidades de acceso al sistema que las que precisen para desarrollar su actividad.

Las credenciales y configuraciones predeterminadas no deben utilizarse nunca. Si se utilizan credenciales temporales asegúrese de que se eliminen cuando se complete la tarea. Una simple búsqueda en Internet identifica las configuraciones y credenciales por defecto de cualquier dispositivo por lo que estas credenciales y configuraciones se convierten en una amenaza con elevado riesgo de materializarse. Por tanto, deshabilite todos los servicios no utilizados y habilite los que dotan de protección al dispositivo y sus comunicaciones.

Utilice las últimas versiones de firmware disponible:

Errores o fallos en sistemas y dispositivos dejan a las organizaciones vulnerables a ataques y pueden permitir a los ciberatacantes robar claves privadas o contraseñas de usuario. Es fundamental disponer de un plan de gestión bien documentado para actualizaciones de software/firmware y asegurarse que todos los dispositivos de red están siempre actualizados con la última versión de firmware y actualizaciones de seguridad.

¿Cómo de segura es tu cadena de suministro?

Trabajar la ciberseguridad de forma conjunta con toda tu cadena de suministro puede permitir que conozcas mejor las posibles amenazas, tanto para la red como para los dispositivos conectados.

Los nuevos dispositivos deben cumplir con la política de IT tanto individualmente como integrados en un sistema.

Utilice siempre conexiones encriptadas

Independientemente de la actividad, todos los datos precisan un cifrado seguro. Se deben utilizar también conexiones encriptadas en todas las redes. Los protocolos de autenticación aseguran la información, la cifran antes de su envío a través de la red y reduce efectivamente la posibilidad de un ataque malicioso que esté escuchando las transmisiones sin cifrar.

Protocolos seguros a utilizar

  • HTTPS: Es el más común de los protocolos de encriptación. En él los datos van encriptados utilizando SSL o TLS.
  • SRTP (Secure Real-Time Transport Protocol): Encripta secuencias de vídeo para protección de este. Asegúrese que el vídeo almacenado (VMS o tarjeta SD) también está encriptado.