Seguridad informática para la seguridad física
Hace un par de años asistí a un diplomado cuyo tema central es la seguridad física. Ahí hice buenas amistades y conocí a gente de otro mundo. Me refiero a otro mundo porque me percaté de lo muy separadas que están la seguridad física y la seguridad informática. Me di cuenta de lo poco que mis colegas de seguridad física sabían del tema de seguridad informática, sistemas y redes de telecomunicaciones. Y también evidencié lo poco que sé del tema de seguridad física comparándome con ellos.
Han de saber que hoy en día los sistemas de seguridad física (protección de incendio, detección de intrusiones, CCTV) se montan sobre infraestructura de las tecnologías de información. Luego entonces para montar un sistema de protección físico será necesario utilizar sistemas computacionales y redes TCP/IP. Y claro, ya sabemos lo que pasa cuando usamos las TI sin tener en cuenta su seguridad informática.
En fin, sigo en contacto con varios de los que tomamos ese diplomado. Uno de ellos me pidió hace un par de semanas datos y referencias para que él pudiera hacer una presentación. Trataría de la necesidad de tener seguridad informática en sistemas de seguridad física. Y de la importancia que la primera tiene sobre la segunda.
Me di a la tarea de armarle un correo electrónico con información, ligas y tips que pensé le podrían ser de utilidad. Esto es lo que le envié:
Casos reales
Le recordé que hace tiempo le había enviado una liga con un historial de los hackeos por mes que existen alrededor del mundo. El sitio se llama HackMageddon. Está muy completo y actualizado. Me gusta porque enlista todos los hackeos por mes. Ideal para extraer ejemplos para una presentación donde se desee demostrar que los ataques informáticos no suceden aisladamente.
Viendo la lista, es natural esperar que existan ataques informáticos a sistemas de seguridad física. Y cada vez habrá más. Le envié una noticia sobre un hackeo a unas CCTV de un casino. Los maleantes lograron robar dinero por medio del abuso de estas cámaras.
Me fui a las ligas mayores. El ataque a las CCTV del casino parecería “interesante pero insignificante”. Apunté a la smart grid en EUA. Le recomendé buscar en StartPage las palabras “insecurity smart grid”; la cantidad de noticias e información que enlista es impresionante (aquí una de las muchas ligas). Les dejo la definición de Wikipedia para smart grid. “La red eléctrica inteligente (smart grid en inglés) es una forma de gestión eficiente de la electricidad. Utiliza la tecnología informática para optimizar la producción y la distribuciónde electricidad. El fin es equilibrar mejor la oferta y la demanda entre productores y consumidores.” ¿Vieron la parte de “tecnología informática” dentro de la definición? Pues bien, ahora saben por qué tiene debilidades.
Otro knockout son las debilidades en los sistemas SCADA. Debería de llamar la atención de los de seguridad física. Otra vez les dejo la definición de Wikipedia. “SCADA, acrónimo de Supervisory Control And Data Acquisition (Supervisión, Control y Adquisición de Datos) es un software para ordenadores que permite controlar y supervisar procesos industriales a distancia”. Estos sistemas los podemos encontrar en plantas de energía nuclear, presas, plantas eléctricas y demás infraestructura crítica. Ahora bien, le recomendé buscar en StartPage las palabras “scada security” o “scada insecurity” para que viera que la información resultante es amplia. Le mandé ligas sobre este tema.
Y para rematar con broche de oro la ejemplificación de la inseguridad informática en seguridad física: StuxNet. Symantec hizo un buen reporte muy completo sobre este malware. La idea de este amiguito es infectar sistemas que controlan plantas nucleares (en específico una que está en Irán) para interferir negativamente en los controles físicos de la planta. Es otro ejemplo en donde se usan sistemas informáticos para controlar sistemas físicos. Y dato curioso. La red informática de esa planta nuclear en Irán estaba aislada. Para evitar este tipo de infecciones. Sin embargo por medio de un USB lograron...bueno, el resto es historia.
Propuestas de solución
Una vez establecida la problemática: propuestas de solución. La primera que le dije es sobre la Convergencia o Seguridad Integral entre seguridad física e informática. La idea es juntar a ambas áreas. Hoy día no estoy ya tan seguro de que esta sea una buena idea. Lo único que comparten ambas áreas es la palabra “seguridad”. Más allá de eso son mundos diferentes. Es difícil hallar a alguien que entienda de ambos. Y más difícil hacer que las personas de ambos grupos colaboren y se entiendan. Luego entonces tal vez lo ideal no es juntarlos jerárquicamente en el organigrama. Sino hacer que colaboren. Así como seguridad informática mete sus objetivos en un proyecto de TI para poner una nueva red inalámbrica y estar revisando que ésta nazca con seguridad. Lo mismo se puede aplicar a seguridad física. Es como otro proyecto de TI en donde hay que insertar aspectos de seguridad informática. Existe colaboración. El proyecto nace con seguridad. Hay una gestión de su seguridad. Pero el área de seguridad informática sigue separada en el organigrama. Sin embargo, le dejé una presentación que toca el tema.
Otra propuesta: pentest a los sistemas de seguridad física.¿Si hacemos pentest a la red, a los sistemas, a las bases de datos, al web, por qué no a los sistemas de seguridad física? Tienen sistemas y se comunican por red. Pienso que es un área tan descuidada desde el punto de vista de seguridad informática que es un campo virgen. El pentest evidenciará los grandes huecos. De hecho, tal vez antes del pentest sea prudente darle una manita de gato a los sistemas de seguridad física. Para que los resultados del pentest sean más benévolos.
Seguir lineamientos informáticos para los sistemas de seguridad física puede resultar beneficioso. Por ejemplo el NIST tiene uno llamado “Guide to Industrial Control Systems (ICS) Security”. La idea es seguir ciertos parámetros de seguridad informática en los sistemas de seguridad física.
Y en conclusión, esto es lo que le comenté a mi colega de seguridad física. Espero que la poca y breve información que le mandé haya servido para su presentación. Por curiosidad le voy a preguntar cómo le fue y qué opinaron sus jefes.
Fuente: SearchDataCenter
Han de saber que hoy en día los sistemas de seguridad física (protección de incendio, detección de intrusiones, CCTV) se montan sobre infraestructura de las tecnologías de información. Luego entonces para montar un sistema de protección físico será necesario utilizar sistemas computacionales y redes TCP/IP. Y claro, ya sabemos lo que pasa cuando usamos las TI sin tener en cuenta su seguridad informática.
En fin, sigo en contacto con varios de los que tomamos ese diplomado. Uno de ellos me pidió hace un par de semanas datos y referencias para que él pudiera hacer una presentación. Trataría de la necesidad de tener seguridad informática en sistemas de seguridad física. Y de la importancia que la primera tiene sobre la segunda.
Me di a la tarea de armarle un correo electrónico con información, ligas y tips que pensé le podrían ser de utilidad. Esto es lo que le envié:
Casos reales
Le recordé que hace tiempo le había enviado una liga con un historial de los hackeos por mes que existen alrededor del mundo. El sitio se llama HackMageddon. Está muy completo y actualizado. Me gusta porque enlista todos los hackeos por mes. Ideal para extraer ejemplos para una presentación donde se desee demostrar que los ataques informáticos no suceden aisladamente.
Viendo la lista, es natural esperar que existan ataques informáticos a sistemas de seguridad física. Y cada vez habrá más. Le envié una noticia sobre un hackeo a unas CCTV de un casino. Los maleantes lograron robar dinero por medio del abuso de estas cámaras.
Me fui a las ligas mayores. El ataque a las CCTV del casino parecería “interesante pero insignificante”. Apunté a la smart grid en EUA. Le recomendé buscar en StartPage las palabras “insecurity smart grid”; la cantidad de noticias e información que enlista es impresionante (aquí una de las muchas ligas). Les dejo la definición de Wikipedia para smart grid. “La red eléctrica inteligente (smart grid en inglés) es una forma de gestión eficiente de la electricidad. Utiliza la tecnología informática para optimizar la producción y la distribuciónde electricidad. El fin es equilibrar mejor la oferta y la demanda entre productores y consumidores.” ¿Vieron la parte de “tecnología informática” dentro de la definición? Pues bien, ahora saben por qué tiene debilidades.
Otro knockout son las debilidades en los sistemas SCADA. Debería de llamar la atención de los de seguridad física. Otra vez les dejo la definición de Wikipedia. “SCADA, acrónimo de Supervisory Control And Data Acquisition (Supervisión, Control y Adquisición de Datos) es un software para ordenadores que permite controlar y supervisar procesos industriales a distancia”. Estos sistemas los podemos encontrar en plantas de energía nuclear, presas, plantas eléctricas y demás infraestructura crítica. Ahora bien, le recomendé buscar en StartPage las palabras “scada security” o “scada insecurity” para que viera que la información resultante es amplia. Le mandé ligas sobre este tema.
Y para rematar con broche de oro la ejemplificación de la inseguridad informática en seguridad física: StuxNet. Symantec hizo un buen reporte muy completo sobre este malware. La idea de este amiguito es infectar sistemas que controlan plantas nucleares (en específico una que está en Irán) para interferir negativamente en los controles físicos de la planta. Es otro ejemplo en donde se usan sistemas informáticos para controlar sistemas físicos. Y dato curioso. La red informática de esa planta nuclear en Irán estaba aislada. Para evitar este tipo de infecciones. Sin embargo por medio de un USB lograron...bueno, el resto es historia.
Propuestas de solución
Una vez establecida la problemática: propuestas de solución. La primera que le dije es sobre la Convergencia o Seguridad Integral entre seguridad física e informática. La idea es juntar a ambas áreas. Hoy día no estoy ya tan seguro de que esta sea una buena idea. Lo único que comparten ambas áreas es la palabra “seguridad”. Más allá de eso son mundos diferentes. Es difícil hallar a alguien que entienda de ambos. Y más difícil hacer que las personas de ambos grupos colaboren y se entiendan. Luego entonces tal vez lo ideal no es juntarlos jerárquicamente en el organigrama. Sino hacer que colaboren. Así como seguridad informática mete sus objetivos en un proyecto de TI para poner una nueva red inalámbrica y estar revisando que ésta nazca con seguridad. Lo mismo se puede aplicar a seguridad física. Es como otro proyecto de TI en donde hay que insertar aspectos de seguridad informática. Existe colaboración. El proyecto nace con seguridad. Hay una gestión de su seguridad. Pero el área de seguridad informática sigue separada en el organigrama. Sin embargo, le dejé una presentación que toca el tema.
Otra propuesta: pentest a los sistemas de seguridad física.¿Si hacemos pentest a la red, a los sistemas, a las bases de datos, al web, por qué no a los sistemas de seguridad física? Tienen sistemas y se comunican por red. Pienso que es un área tan descuidada desde el punto de vista de seguridad informática que es un campo virgen. El pentest evidenciará los grandes huecos. De hecho, tal vez antes del pentest sea prudente darle una manita de gato a los sistemas de seguridad física. Para que los resultados del pentest sean más benévolos.
Seguir lineamientos informáticos para los sistemas de seguridad física puede resultar beneficioso. Por ejemplo el NIST tiene uno llamado “Guide to Industrial Control Systems (ICS) Security”. La idea es seguir ciertos parámetros de seguridad informática en los sistemas de seguridad física.
Y en conclusión, esto es lo que le comenté a mi colega de seguridad física. Espero que la poca y breve información que le mandé haya servido para su presentación. Por curiosidad le voy a preguntar cómo le fue y qué opinaron sus jefes.
Fuente: SearchDataCenter
Comentarios
Publicar un comentario
siempre es bueno, leer tus comentarios