Quién es responsable de proteger la seguridad física …


Es una pregunta que continúa generando discussion, ya que la mayoría de los nuevos dispositivos de seguridad física que se instalan ahora están conectados a una crimson. Si bien esto ofrece innumerables beneficios, también plantea la pregunta: ¿Quién es responsable de su ciberseguridad?

En los últimos años, se ha vuelto más obvio que los sistemas de seguridad física dependen de la TI y son vulnerables a los ciberataques.

En 2007, la película Vive libre o muere duro mostró cómo un grupo de delincuentes logró controlar los sistemas de tráfico y paralizar Washington DC y la bolsa de valores. En la película Johnny English ataca de nuevo (2018), todos los trenes del Reino Unido se dirigen a Bristol.

Estas películas están muy basadas en la realidad. En 2016, la BSIA nos advirtió de los riesgos y recomendó que «los usuarios finales de los sistemas de CCTV conectados a IP también deben asegurarse de que cuentan con políticas integrales de seguridad cibernética y seguridad de la información». En 2019, una empresa noruega gastó £ 45 millones para restaurar sus sistemas informáticos, maquinaria industrial y sistemas de construcción después de un ataque de ransomware en sus 170 sitios y más de 35.000 empleados.

Si bien estos eran sistemas de tecnología operativa, la serie de la BBC de 2019 La captura demostró cómo se podía piratear CCTV para convencer a la policía y las investigaciones de los servicios de seguridad de que un sospechoso principal period culpable ajustando el marco de tiempo en el sistema. Una vez más, este &#39drama&#39 televisivo es ahora la lamentable realidad. Los «Informe world de videovigilancia de IFSEC 2020«encontró que el 76% de los encuestados estaban preocupados por la ciberseguridad de los sistemas de vigilancia.

Para aquellos que no han notado este problema, sería prudente hacer un stability. Ahora es probable que se pueda atacar el sistema de seguridad física. Ya en 2014, el CPNI del Reino Unido declaró que period posible. La ciberseguridad ha progresado muy rápidamente desde entonces, por lo tanto, un líder de seguridad física debería comprometerse con el equipo de ciberseguridad para trabajar con ellos, y viceversa.

¿De quién es la responsabilidad?
Pero, ¿quién es el responsable de protegerlos de estos ataques?

¿Es el dueño del sistema? Para algunos, esta es claramente la ventaja de seguridad física. Después de todo, ellos o su predecesor lo compraron o lo recomendaron, ¿no es así?

Pero ahora tienen un problema porque han escuchado que los sistemas no son seguros. ¿Son responsables ante la empresa si un atacante obtiene acceso a través del sistema CCTV al correo electrónico corporativo de TI y convence al director de finanzas para que autorice una factura que cuesta miles de libras?

¿O es el jefe de TI que autorizó el sistema de CCTV y dio la responsabilidad de su gestión diaria al responsable de seguridad física? ¿O quizás es el responsable de ciberseguridad quien es un experto en la materia y ha implementado una serie de controles en la purple para mitigar los ciberataques? ¿Seguro que esta persona es la responsable?

Bien quizás.

Una encuesta que realicé en noviembre con un pequeño grupo de 14 profesionales de la seguridad indicó que el 69% piensa que los sistemas de seguridad física son cibernéticos. Cuando un ataque de rescate se organiza y tiene éxito, ¿de quién está en riesgo el trabajo: el CEO / CIO / CISO o el CSO? La junta puede decidir que se debe despedir a una o más personas.

Cuando quieres pagar un rescate, ¿quién lo hace? Esta es un área gris, pero una vez que estos sistemas sean pirateados, las responsabilidades se aclararán y algunos perderán sus trabajos.

¿Hay respuestas fáciles? ¿Es una persona responsable? O, como dirían algunos, ¿no todos son responsables de la seguridad?

En la gestión de riesgos existen tablas RACI (Responsable, Rendible, Consultado, Informado) que indican que una persona es la responsable de realizar el esfuerzo laboral y la gestión del riesgo. Suele ser el propietario del sistema o de la unidad de negocio. Pero eso puede ser difícil de identificar para algunas personas en organizaciones grandes.

Otras funciones comerciales están destinadas a apoyar a esa persona y ofrecer su experiencia y servicios tecnológicos. Si ocupa alguno de estos roles, entonces es importante asegurarse de que está protegiendo los sistemas contra ataques, ya sea que sea directamente responsable o no. Si ve a una persona que necesita ayuda, es very important trabajar con ella, por su bien y el éxito del negocio.

Quien crea que es el mayor responsable de proteger los sistemas de seguridad física de los ciberataques, en última instancia, debe ser un esfuerzo de equipo multifuncional.


(La columna continúa en la página siguiente consulte el enlace a continuación).

IFSEC World-wide, parte de Informa Network, es un proveedor líder de noticias, artículos, movies y documentos técnicos para la industria de la seguridad y los incendios. IFSEC World wide cubre desarrollos en tecnologías físicas establecidas desde hace mucho tiempo, como videovigilancia, management de acceso, … Ver biografía completa

Lectura recomendada:

Anterior

1 de 2

próximo

Más información





Enlace a la noticia original