10 aspectos de la seguridad física a tener en cuenta por los CISO

Aunque los CISO rara vez tienen la tarea de abordar toda la gama de la seguridad humano sobre la que deben actuar los equipos de instalaciones u otros directivos, estos todavía tienen un papel importante que desempeñar en las estrategias de protección física y corporativa, como sistemas que se conectan a las TI para acceder físicamente a estos activos.

 

¿Qué es la seguridad física?

La seguridad física es la protección de personas, propiedades y activos físicos de acciones y eventos que podrían causar daño o pérdidas. Aunque a menudo se pasa por alto en favor de la ciberseguridad, la seguridad física es igualmente importante. Se estima que su mercado ha movido en 2023 entre 110.00 y 123.000 millones de dólares.

 

¿Por qué es importante?

La mayoría de los sistemas y controles de seguridad física modernos están indisolublemente ligados a los sistemas de TI, lo que exige supervisión de ciberseguridad por parte del equipo del CISO para garantizar que estén adecuadamente reforzados. Esto se aplica a todo, desde credenciales e insignias físicas hasta sistemas de videovigilancia. Pero lo más importante es que el acceso físico a los activos de TI puede desencadenar una serie de incidentes y violaciones cibernéticas. Como tal, el CISO tiene un interés creado y muchas regulaciones y estándares lo exigen para garantizar que se tomen medidas de seguridad física para proteger el acceso a estos activos.

“Por necesidad, existe espacio para los CISO en el mundo físico”, dice Mike Pedrick, vicepresidente de consultoría de ciberseguridad de Nuspire. "El cargo del director de seguridad de la información es proteger la información en todas sus formas, incluidos los medios físicos y los mecanismos mediante los cuales se puede acceder a la información digital".

Ahora bien, esto no quiere decir que los CISO deban estar a cargo de todas las tareas de seguridad física. Si bien algunas organizaciones más pequeñas pueden fusionar la posición de CISO y CSO o simplemente colocar la seguridad física en el grupo de CISO, en muchas organizaciones grandes esto simplemente no funciona bien. "Si existen requisitos regulatorios o si se trata de una corporación más grande, puede que no tenga sentido combinar los dos equipos, ya que las responsabilidades de los equipos de seguridad física pueden ser mayores de lo que la ciberseguridad puede gestionar, como una fuerza de guardias de seguridad, protección ejecutiva , etc.”, dice Max Shier, CISO de Optiv.

 

Los CISO deben colaborar con los equipos de seguridad física

Cuando fusionar funciones no es la respuesta, la comunicación y la coordinación con los equipos de seguridad física se vuelven cruciales para que los CISO logren sus objetivos, dice Howard Taylor, CISO de Radware. Esto debería resultar familiar para muchos veteranos de la ciberseguridad que han sido llamados a navegar relaciones de línea de puntos con todos, desde la gestión de productos hasta los equipos de desarrollo, para lograr objetivos en otras áreas de su programa cibernético. Aquí no es diferente. “Los CISO deben colaborar con expertos en seguridad física en sus procesos de planificación para la continuidad del negocio, la recuperación ante desastres y el diseño e implementación de instalaciones. Esto incluye asegurar el acceso físico, los activos de redes y centros de datos y la energía, así como la prevención y el monitoreo de incendios”, dice Taylor. “Además, los expertos en seguridad deben trabajar con el CISO para asegurar la implementación y operación de los controles de acceso y monitoreo. Esto incluye garantizar que las cámaras y las imágenes de vigilancia no violen las reglas y regulaciones de privacidad”.

Independientemente de la estructura organizacional, los CISO deberán trabajar con las instalaciones, los CSO y cualquier otra persona a cargo de la seguridad física para planificar medidas que tengan en cuenta las siguientes consideraciones cruciales de seguridad física.

 

Las 10 principales consideraciones de seguridad física

Reforzar las instalaciones de TI y los centros de datos

Los centros de datos, las instalaciones de TI sensibles y las salas de computación en oficinas de usos múltiples son algunas de las áreas más obvias en las que los CISO deberán centrar sus esfuerzos para inculcar control sobre el acceso físico a los sistemas sensibles.

“Un CISO debería exigir que el acceso a todas las salas de informática se limite únicamente a las personas que necesiten acceso y exigir que los contratistas sean acompañados y nunca se les deje solos en las salas de informática. El acceso a las salas de ordenadores debe registrarse y revisarse diariamente”, afirma David Ortiz, CISO de Church & Dwight.

Las medidas tomadas deben variar según las instalaciones, aumentando o disminuyendo según el riesgo, le dice a CSO Justin Fier, vicepresidente senior de operaciones del equipo rojo en Darktrace. “Las instalaciones que albergan información crítica, como oficinas con servidores sensibles, deberían tener controles de seguridad más estrictos que las instalaciones con activos menos sensibles. Los CISO deben comprender qué datos y recursos se almacenan en qué instalaciones, evaluar el riesgo que estas instalaciones representan si se violan y reforzar las protecciones físicas en consecuencia”.

 

Preocupaciones diarias sobre las instalaciones de la oficina

Al mismo tiempo, incluso las configuraciones de oficina más aburridas pueden ser el objetivo de un atacante astuto que busca afianzarse en la red corporativa. "Cualquier conector de red en una instalación puede ser un punto de entrada potencial al entorno de TI", afirma Will Bass, vicepresidente de ciberseguridad de Flexential. "Un CISO debe estar muy involucrado en la arquitectura y los estándares de seguridad física de todas las instalaciones, sensibles o no, para garantizar que se implementen las medidas de defensa en profundidad adecuadas para evitar el acceso físico no autorizado al entorno de TI".

Shier, de Optiv, añade que aunque el trabajo remoto e híbrido ha cambiado la forma en que los trabajadores perciben la oficina y puede haber reducido el tráfico peatonal en muchas instalaciones, los CISO deberían supervisar algunos conceptos básicos de higiene de la seguridad física. "Aún necesitamos asegurarnos de tener controles adecuados en la oficina para la seguridad física", dice Shier a CSO. "La seguridad de los puertos, la seguridad de los puntos de acceso inalámbrico, los controles de acceso con credenciales y las cámaras siguen siendo relevantes hoy en día y no deben pasarse por alto".

 

Bloquear el movimiento lateral en espacios físicos

A medida que los CISO revisan los controles de seguridad física en las instalaciones de su organización, deben tener en cuenta la facilidad con la que el atacante puede moverse lateralmente a través de espacios físicos y a través de diferentes zonas restringidas. Según Alethe Denis, consultora senior de seguridad del equipo rojo de Bishop Fox, una vez que un atacante logra colarse en un edificio, almacén o patio de servicio, a menudo se queda en casa a menos que se tomen las medidas adecuadas.

"Una vez que un adversario ha obtenido acceso inicial a áreas restringidas, la probabilidad de que sea desafiado una vez dentro disminuye drásticamente, ya que la mayoría de las personas asumirían que se les ha concedido acceso adecuadamente antes de que se les permitiera ingresar a áreas sensibles o restringidas", le dice Denis a CSO. .

Así como una organización utiliza la segmentación y la autenticación de confianza cero para proteger los activos lógicos a través de una red, debería desafiar el acceso de las personas mientras se mueven a través de diferentes espacios físicos dentro de los edificios, con medidas más estrictas a medida que se acercan a las áreas o habitaciones más sensibles. “Idealmente, las escaleras de acceso con credenciales, las áreas de ascensores con acceso a credenciales y los botones de selección de pisos de ascensores, junto con empleados muy observadores que no permitan el seguimiento cercano, evitarían el movimiento lateral y limitarían el daño que un atacante podría causar después del acceso inicial más allá de un vestíbulo público o un área de entrega. ”, dice Denis.

 

Protección de activos en instalaciones compartidas y en la nube

La supervisión del CISO sobre la seguridad física tampoco debería limitarse a las instalaciones propiedad de la organización. Shier explica que los CISO también deben considerar cómo protegerán los activos en instalaciones o centros de datos ubicados conjuntamente. "Estar en una instalación con activos de otras empresas requiere que los bastidores individuales estén asegurados y puedan ser controlados y auditados a través de lectores de credenciales u otros medios", dice Shier. "También será extremadamente importante garantizar que el centro de datos tenga cámaras, guardias y otros controles".

Además, incluso cuando el manejo físico de los sistemas está completamente abstraído de la organización (como es el caso de la nube pública y los recursos SaaS), los CISO aún deben tener en cuenta cómo se controlan físicamente los sistemas que los albergan”, afirma Pedrick de Nuspire. “Esto no los exime de responsabilidad. En todo caso, ejerce presión sobre los CISO para que comprendan la importancia de los contratos y los acuerdos de nivel de servicio, y el valor de la certificación de auditoría de terceros”.

 

Conexiones físico-cibernéticas en entornos OT

Además de preocuparse por cómo las acciones físicas pueden afectar el entorno cibernético, los CISO que trabajan en organizaciones que gestionan infraestructura crítica también deben poder cambiar esa ecuación. En otras palabras, tendrán que considerar cómo la actividad cibernética podría potencialmente afectar negativamente a los entornos físicos, ya sea una línea de montaje, una planta de energía o una operación minera.

"Los ciberataques en entornos industriales pueden suponer una amenaza importante para la seguridad física", afirma Almog Apirion, cofundador de Cyolo, que se centra en la gestión remota del acceso privilegiado en entornos de tecnología operativa (OT). "Los actores maliciosos pueden infiltrarse en dispositivos y alterar infraestructuras críticas como plantas de tratamiento de agua o redes eléctricas, causando daños generalizados a las comunidades".

Con los entornos de TI y OT tan convergentes hoy en día, los CISO deben tener en cuenta las conexiones físicas y cibernéticas en sus instalaciones, incluso si no necesariamente operan en un negocio industrial. Los activos físicos básicos de la planta podrían estar en juego para un CISO si pueden controlarse o gestionarse de forma remota. “El acceso no autorizado a maquinaria industrial, como calderas o altos hornos, puede provocar averías que lesionen gravemente a los trabajadores”, explica Apirion.

 

Los dispositivos IoT en lugares remotos necesitan una consideración especial

Hablando de conexiones físico-cibernéticas, una de las otras consideraciones de seguridad física que el CISO moderno debe tener en cuenta es la protección de los dispositivos IoT que se encuentran repartidos por todas partes.

"Los dispositivos IoT suelen estar expuestos en un área no segura, como una cámara de seguridad en el exterior de un edificio", dice Bass de Flexential. "El acceso físico a un dispositivo es un punto de entrada potencial, y evitar que un dispositivo de IoT se utilice como entrada a un entorno de TI puede ser un desafío y requerir medidas de defensa únicas".

Además, al igual que los sistemas OT, los dispositivos IoT a menudo pueden controlar funciones esenciales en el ámbito físico. "Los sistemas IoT proporcionan un puente entre la información y la acción, lo que los convierte en un objetivo atractivo para los ataques físicos", señala Taylor de Radware. Los sistemas de IoT controlan automóviles, barcos, aviones, fábricas, ascensores, etc. Estos dispositivos deben tener capacidades de monitoreo interno para detectar y prevenir acciones maliciosas, como cambios de software no autorizados o infecciones de virus. En caso de que alguien destruya el dispositivo IoT con un bate de béisbol, debe existir un plan de recuperación ante desastres.

 

Bloquear dispositivos en un mundo remoto o híbrido

El 'borde' tradicional de la red ha cambiado, por lo que el CISO debe considerar los modelos de amenazas y las medidas de control que tengan sentido para el negocio, su contexto específico y lo que se considera un nivel de riesgo aceptable. Las partes interesadas en la seguridad deben trabajar en estrecha colaboración con los socios de la cadena de suministro para garantizar la integridad del hardware y educar a los empleados sobre las mejores prácticas de seguridad física, personal y operativa, ya que cada una tiene un impacto en la seguridad cibernética y viceversa.

Aunque muchos trabajadores están volviendo a la oficina, las realidades del mundo laboral pospandemia han amplificado el problema de los dispositivos muy distribuidos. Esto significa que los CISO deben ampliar su alcance de supervisión de la seguridad física de los dispositivos remotos.

"La popularidad del trabajo remoto e híbrido ha hecho que proteger los activos físicos de TI sea un desafío cada vez mayor para los CISO", explica Fier. “A medida que los empleados se trasladan cada vez más de un lugar a otro con sus dispositivos, existe un mayor riesgo de pérdida y uso indebido de los dispositivos y mayores oportunidades para los actores de amenazas. Además, dado que los empleados trabajan cada vez más desde casa, los CISO deben abordar la cuestión de proteger los dispositivos domésticos, como los enrutadores”.

Fier dice que los malos se están dando cuenta, haciendo referencia a la reciente campaña Volt Typhoon contra enrutadores de oficinas pequeñas y domésticas como ejemplo de ello. Sugiere enviar dispositivos reforzados a personas objetivo prioritarias, como ejecutivos de alto nivel y administradores privilegiados.

 

El control de acceso integrado es ideal

Si bien los equipos de instalaciones son responsables de la administración diaria del control de acceso físico y la protección de los edificios, idealmente los CISO deberían participar lo suficiente en el diseño para, como mínimo, comprender el estado de los puntos de entrada en cada instalación.

"Un CISO debe colaborar con los equipos de seguridad física para comprender la postura de riesgo de un control de acceso físico", explica Ortiz de Church & Dwight. “Esto incluye saber si la entrada a una instalación está monitoreada por un área de recepción o tiene acceso con tarjeta, si los puntos de entrada a una instalación se registran mediante circuito cerrado de televisión (CCTV), si el acceso con tarjeta y CCTV se registran y revisan para detectar actividades sospechosas, y si los armarios de redes de computadoras, las áreas del centro de datos tienen requisitos de acceso adicionales”.

Los CISO también deberían contribuir al diseño de estos controles de acceso y encontrar formas de integrarlos en el acceso lógico, afirma Taylor. Esta coordinación puede ser de gran ayuda en las investigaciones, así como en la salida fluida de empleados. "El acceso físico y los controles de acceso lógico deben funcionar juntos, especialmente cuando se pierden las credenciales o cuando se despide a un empleado", afirma.

 

Proteger los sistemas de vigilancia y sus datos

Al igual que con el control de acceso físico, los aspectos prácticos de los sistemas de vigilancia y monitoreo probablemente quedarán fuera del ámbito del CISO, pero generalmente tendrán un interés personal en ayudar a diseñar y fortalecer estos sistemas. Los CISO suelen ser expertos en cuestiones de privacidad y regulación en una organización, por lo que ayudarán a asesorar sobre lo que se puede y no se puede filmar y cómo se almacenan los datos.

“Dadas las diversas preocupaciones sobre la privacidad, las responsabilidades regulatorias y otras sensibilidades que conlleva la videovigilancia, es fundamental que los CISO desempeñen un papel importante en su gestión. Es esencial que colaboren estrechamente con otros equipos relevantes, como su equipo legal, para garantizar que su organización conozca y cumpla las leyes y regulaciones en torno a la videovigilancia, que pueden variar de una región a otra”, afirma Fier.

Además, la videovigilancia moderna también forma parte del entorno de TI, lo que significa que estos sistemas son otra superficie de ciberataque de la que debe preocuparse el CISO. "Es común encontrar las cámaras CCTV de una oficina conectadas a la red corporativa principal, lo que las hace vulnerables a ser observadas por otros usuarios de la red pero también por actores de amenazas", Jonathan Sword, director de Agility Cyber, explica que esta es la razón por la que los CISO Es necesario tener aportaciones a la arquitectura de estos sistemas.

 

Acceso rápido a los datos de vigilancia para la investigación

Finalmente, tener fácil acceso a los resultados de esos sistemas de vigilancia también es una consideración importante para los CISO y sus equipos de respuesta a incidentes. Debido a que algunas infracciones graves pueden ser el resultado de una infracción inicial de las instalaciones físicas, los socorristas deberán poder vincular fácilmente las actividades en espacios físicos con acciones en sistemas lógicos. Las imágenes de la cámara pueden ayudar a cerrar esa brecha.

“Si hay un incidente activo durante el cual los datos podrían estar en riesgo, y las imágenes de la cámara pueden ser críticas para determinar el estado actual del incidente, entonces el equipo de seguridad de la información debe tener la capacidad de revisarlo si el equipo físico no está disponible para hacerlo. Así es”, dice Denis, del obispo Fox.

 

Las consideraciones presupuestarias sustentarán todas las decisiones

A menudo, los grandes factores limitantes para que los CISO aborden adecuadamente todas estas consideraciones de seguridad física son el presupuesto y una clara responsabilidad. Denis dice que los CISO pueden ayudar a ganar credibilidad y estima al adoptar un enfoque con sentido común y presupuesto inteligente en sus recomendaciones. Esto se puede lograr mejor cuando trabajan en estrecha colaboración con el CSO y/o el equipo de instalaciones; esta coordinación también puede ayudar a delinear quién es responsable de qué para que nadie se moleste entre sí.

"Una puerta acorazada hecha de paneles de yeso para proteger una habitación sería un mal uso del presupuesto, por ejemplo", explica. "Para determinar el mejor camino a seguir, el CSO y el CISO deberían crear una lista de objetivos y luego sus deseos de controles de seguridad física que logren el equilibrio entre lo sensato y lo asequible".