Post on 29-Jul-2022
1
2
Seguridad del Transporte
Safety & Security
Autor: Manuel Ortega Sánchez
Director Desarrollo de Negocio: Computer Aided Logistics (CALS)
Madrid, España
E-mail: mortega@calsgrc.com
3
CONTENIDO PAG
I. INTRODUCCIÓN 4
II. PANORAMA DE CIBERSEGURIDAD 7
III. LA CIBER-SEGURIDAD EN LAS ORGANIZACIONES 15
IV. MODELO DE NEGOCIO SEGURO 10
V. RESUMEN. 16
4
I. INTRODUCCIÓN
Transporte es el traslado de personas y bienes de un lugar a otro. La historia de los medios de transporte es parte de la historia de la humanidad y de su propia evolución. En la prehistoria y en el periodo del Neolítico se fija la invención de la rueda, permitiendo el desplazamiento de materias pesadas y con ello el inicio del transporte. Inicialmente se transporta por tierra utilizando bestias de carga, evolucionando con el uso del motor de combustión hasta nuestros días.
A continuación se desarrolla el transporte fluvial y marítimo.
5
En el siglo XVIII se construyen ferrocarriles, aprovechando la experiencia de mineros que observan las vagonetas cargadas de materia desplazándose por planchas metálicas.
El último medio de transporte es el aéreo.
El objetivo es siempre el mismo, transportar más carga, a la mayor distancia posible, en el menor tiempo y con el menor coste, incorporándose últimamente la menor contaminación como factor a considerar. Un aspecto a considerar cada vez más importante es la Seguridad, que también ha evolucionado con los propios medios del transporte. La seguridad ha venido asociándose con la protección del bien que se quiere custodiar y transportar, para evitar accidentes, daños y robos, pero la transformación digital de la Sociedad de finales del siglo XX y los años transcurridos del XXI, también afecta al “universo del transporte”. Como en cualquier otro sector de actividad, la información y la conectividad son activos imprescindibles con la consecuencia de la vulnerabilidad que ello implica. En 1968 las empresas de transporte en USA crea el TDCC (Transport Data Coordinator Comitee), creándose un conjunto de transacciones para el tratamiento normalizado de pedidos y facturas. El siguiente avance fue la creación de las normas EDI (Electronic Data Interchange) en 1986 como precursor de EDIFACT (Electronic Data Interchange for Administration Commerce and Transport), evolucionando hasta nuestros días.
6
Con la aparición de Internet y el uso generalizado de la web (la nube), los proveedores de servicios introducen “EDI over the Internet”, que simplifican y abaratan el uso de las comunicaciones precedentes, que obligaba a contratar servicios VAN (Value Added Network) con un proveedor autorizado. Bien sea utilizando un estándar EDI o interconexión directa proveedor-cliente, todos los actores del sector transporte están conectados a Internet a través de su protocolo TCP/IP y la inseguridad inherente que supone dando origen al gran negocio de la Ciber-delincuencia y el Ciber-terrorismo que sacuden a la economía globalizada, característica de la Sociedad de la Información. A estos riesgos hay que añadir los derivados de la conectividad requerida por los nuevos medios de seguimiento y control, optimización de rutas así como los que ya están apareciendo referidos al Internet de las Cosas (IoT).
7
II. PANORAMA DE CIBER-SEGURIDAD
El sector del transporte no es ajeno al efecto de la “Ciber-inseguridad” al que están sometidos todos
los Sectores de Actividad, Gobiernos e Individuos.
Detrás existen motivaciones económicas y políticas afectando ambas también al transporte por su
condición de Infraestructura Crítica.
Revisando datos estadísticos y de evolución de todos los “actores”, podemos intuir al menos la
dirección que debemos tomar para mejor defendernos de los ciber-delincuentes y ciber-terroristas,
si a día de hoy no somos capaces de erradicar esta práctica delictiva ni frenar su crecimiento, al
menos minimizar sus efectos.
El cuadro siguiente muestra algunos ataques que han aparecido en los medios por su repercusión en
millones de usuarios, el último revelado ha sido el ataque a Yahoo con el robo de 500M de registros
de usuario y el uso de esa ingente cantidad de información que aunque ha sido revelado en el verano
de este año, el ataque se produjo en 2014, disponiendo los delincuentes de más de dos años para el
uso fraudulento de todos esos datos de usuarios con el desconocimiento de estos y la necesidad de
cambiar al menos claves de acceso a cuentas personales.
Fuente STATISTA
La variedad de empresas atacadas nos muestra que no hay sectores con mejor nivel de protección
que otros, puesto que en la lista hay empresas del sector financiero, retail, compra-venta por
Internet, sector sanitario, redes sociales, oficinas gubernamentales y el propio ejército USA.
8
Hay que resaltar que la gravedad del tiempo necesario desde el ataque hasta su detección, se estima
en una media de ocho meses y no hay datos estadísticos del tiempo necesario para el bloqueo del
ataque y su remediación.
Se estima que el coste al nivel mundial de la ciberdelincuencia crecerá hasta $6B (trillón
americano) en 2021.
En Reino Unido ya ha superado la ciber-delincuencia a la delincuencia “común” en cifra de
ingresos.
En este año ha crecido de manera notable los ataques tanto a personas como a empresas del llamado
“ransomware” o bloqueo y cifrado de los datos, exigiendo el pago de un rescate a cambio de recibir
una clave que permite desbloquear el ordenador.
Existen diversos malware conocidos en materia de ransomware, como Cryptolocker, Locky, Crisis
Locky o Cryptowall. Este último ha recaudado en 2015 alrededor de $325M.
Según la versión de 2015 del “Transportation Systems Sector-Specific Plan” de IBM, el sector del
transporte es más vulnerable a los ciber-ataques de manera creciente como resultado de la creciente
dependencia de la interconexión a través de redes IP, de los sistemas de control, navegación,
seguimiento, posicionamiento y comunicaciones.
Esto es debido la facilidad con que actores maliciosos pueden acceder a sistemas cibernéticos que
dan servicio al transporte.
Según la revista Forbes, el mercado de la Ciber-Seguridad ha crecido desde los $3,5 Millardos en
2004 hasta los $75 Millardos en 2015 y se prevé que en 2020 alcance los $170 Millardos.
Según Steve Morgan fundador y editor jefe de Cybersecurity Ventures, el gasto estimado en ciber-
seguridad será de $1 Millardo para el periodo de cinco años comprendido entre 2017 y 2021, debido
al crecimiento de la actividad criminal con especial atención a la epidemia de ransomware, la
reorientación del malware de PC hacia smartphones, tabletas y otros dispositivos móviles, el
despliegue de miles de millones de dispositivos IoT (Internet de las cosas) sin protección, las
legiones de los mal llamados hackers de alquiler y los ataques cada vez más sofisticados a negocios,
gobiernos, instituciones educativas, sanitarias y consumidores en general.
Estamos ante un panorama donde el gasto en ciber-seguridad crece de manera continua, el mercado
de la ciber-seguridad también tiene garantizado un crecimiento hasta el 2020 y la ciber-delincuencia
aumenta de manera continua su “cifra de negocio”, en consonancia con las pérdidas que genera.
9
Deberíamos reflexionar sobre esta situación y si consideramos imposible erradicar la ciber-
delincuencia, al menos reducir la brecha entre gasto en seguridad y pérdidas sufridas.
Hace algunos años se decía que en relación con la ciber-delincuencia había dos tipos de empresas,
las que habían sido atacadas y las que aún no se habían enterado, ahora recientemente el Director
del FBI ha dicho que los dos tipos de empresas eran las que habían sido atacadas y las que volverán
a serlo.
10
III. LA CIBER-SEGURIDAD EN LAS ORGANIZACIONES
En 1971 se detectó “oficialmente” en la red ARPANET (precursora de Internet) un virus llamado
Creeper y para su eliminación se desarrolló el programa llamado Reaper, aunque años atrás ya
habían sido desarrollados programas maliciosos, por su propagación en la Red, podemos considerar
estos dos como el primer virus y antivirus, precursores del malware y la industria actual de la ciber-
seguridad.
Este ejemplo sirve en cualquier caso para ilustrar la relación entre los delincuentes y las víctimas, el
ataque y la defensa, que al día de hoy ha alcanzado las proporciones reflejadas en las cifras del
capítulo anterior, pero se mantiene con el mismo concepto, ataque y defensa, acción y reacción.
Queremos poner de manifiesto que las víctimas (Estados, Organizaciones, Individuos, etc.) solo nos
defendemos con medidas reactivas que intentan dar respuesta a los ataques después de que estos se
hayan producido.
Cada día los ataques son más sofisticados y en respuesta las medidas son más costosas, pero
también las estadísticas anuales, como el informe Mandiant, el del Instituto Ponemon, Gartner,
Karsperky, McAfee y tantos otros, nos revelan que virus conocidos y teóricamente bloqueados y
eliminados vuelven a aparecer como Suxnet, Flame, Duqu, etc.
¿Está la guerra perdida?, ¿Tenemos que acostumbrarnos a convivir con esta situación? En este
instante solo podemos decir que estamos perdiendo las batallas una a una y que solo con una buena
defensa no se gana ninguna guerra……………….
En el Sector del Transporte y la Logística el problema no es menor que en otros sectores porque a
los riesgos que podemos considerar comunes de la seguridad de la información, se debe añadir una
tradición de la seguridad basada en la protección del perímetro como continente y de su contenido,
pero en este universo interconectado el perímetro ha desaparecido.
Una organización que invirtió una gran cantidad de dinero en la mejora de la seguridad perimetral
con doble alambrada para que pudieran circular coches de vigilancia, personal mejor entrenado,
otros medios como cámaras de vigilancia, perros adiestrados y un largo etcétera, comprobaron que
tiempo atrás había penetrado en su sistema de gestión de visitas, emitiendo credenciales para
franquear la entrada a personas y vehículos ajenos a las instalaciones.
Por eso ahora se dice que el perímetro es la identidad, es decir .com, .net, .org y tantos otros
dominios.
11
A los riesgos tradicionales de robo, daño o extravío de los bienes en custodia hay que añadir otros
derivados del robo, daño o uso indebido de la información que puede provocar perjuicios propios o
en terceros.
Las redes de transporte están cada vez más digitalizadas, mediante el seguimiento, posicionamiento
y control de los desplazamientos terrestres, planificación en carga y descarga de transporte naval,
gestión de rutas, mantenimiento y coordinación con la organización del cargo aéreo afectan a las
rutas aéreas. Un ciber-ataque a las redes de comunicaciones puede causar una interrupción del
servicio con grandes pérdidas de negocio y especialmente puede causar daños reputacionales que no
siempre se pueden recuperar.
Podemos ser atacados para acceder a terceros, clientes u otros proveedores y las consecuencias
pueden ser nefastas, por lo que hay que evitar ser el eslabón más débil de la cadena.
12
IV. MODELO DE NEGOCIO SEGURO
Al igual que la Sociedad del Siglo XXI divide a los individuos en Nacidos Digitales e Inmigrantes
Digitales, las empresas se dividen en Empresas Digitales y Empresas en Transformación Digital.
Hay definiciones muy variadas de las primeras, una de la más sencilla es que la Empresa Digital es
aquella cuyo modelo de negocio está basado en el Mercado Digital. Ejemplos hay muchos y cada
día más, algunas de las principales son Google, Skype, Amazon, Facebook, PayPal y tantas otras.
El resto está incorporándose en mayor o menor grado a la Transformación Digital.
Una de las características de este siglo es la velocidad del cambio, por lo que las empresas en
Transformación Digital, deben revisar sus modelos de negocio, al tiempo que aumentan su
presencia en la Red.
Esa adaptación del modelo de negocio a la Transformación Digital incluye la incorporación de la
Seguridad al mismo. El coste de la Seguridad en las empresas crece continuamente y no dejará de
hacerlo, las herramientas serán más sofisticadas y más costosas, aumentará el número de
profesionales dedicados a la seguridad y esto es necesario e inevitable, pero ¿es suficiente?, no lo
es. En breve la seguridad será un argumento de venta en línea con el precio y la calidad del servicio,
toda aquella empresa que haya sido atacada a través de una vulnerabilidad de un tercero,
incorporará los niveles de seguridad internos al contrato de suministro y servicios, quedando
excluidas aquellas que no lleguen al nivel exigido.
La Unión Europea aprobó en Abril del presente Año la GDPR (General Data Protection
Regulation), que en 2017 deberá trasponerse a las normativas de los países comunitarios. Entre
otras novedades incorpora la obligación de las empresas a publicar los ataques recibidos y un
Registro actualizado sobre brechas y ataques. Las sanciones por incumplimiento serán graves
alcanzando los €20M o el 4% del volumen de negocio.
Este es otro aspecto a considerar pues empresas que aparezcan con un elevado nivel de brechas y
ataques recibidos, tendrán problemas para competir con otras que no estén siendo atacadas o su
nivel de vulnerabilidad sea menor.
Todas las empresas con mayor o menor intensidad aplican medidas de seguridad y deberán
incrementarlas en la medida de sus posibilidades, pero la inevitable Transformación Digital obligará
a revisar el modelo de negocio de las empresas, incorporando los riesgos y la seguridad a sus
objetivos estratégicos y así participará la Alta Dirección en la Gestión.
13
Son acciones de bajo perfil tecnológico en comparación con la selección, implantación y
seguimiento de las herramientas tecnológicas, pero que estarán bajo la responsabilidad de los
niveles estratégicos de la empresa.
La primera de esas acciones consistirá en la definición del mal llamado “Apetito de Riesgo” (Risk
Appetite), que no debe confundirse con la Aversión al Riesgo.
Si aplicamos una de las múltiples definiciones de Riesgo como “la distancia que separa la
oportunidad del éxito”, estaríamos alineados con la definición del Instituto de Auditores Internos de
España en su documento Definición e Implantación del Apetito de Riesgo:
“Es la cantidad de riesgo que la empresa desea asumir para la consecución de sus objetivos”.
Ello implica que los responsables del Negocio (Cuenta de Resultados) tendrán que cuantificar e
implantar en la empresa, para cada tipo de riesgo el nivel con el que quieren convivir y asumir.
Este nivel de riesgo marcará la diferencia con el riesgo inicial, se podrá seguir y medir el riesgo
residual y marcará el techo de gasto en medidas de control y remediación si se produjera algún
evento de ataque o infiltración a los activos de la organización.
Los riesgos ya no se pueden gestionar en nichos aislados en función de la organización vertical de
la empresa, un ataque puede producirse a través de una brecha en una parte de la organización y
afectar a otras áreas, por ello la gestión debe ser transversal y en función del valor de los activos a
proteger.
Según las estadísticas más del 55% de los ataques tienen su origen en usuarios internos, muy pocas
empresas realizan programas continuos de concienciación de los empleados a todos los niveles para
crear hábitos seguros y reducir este porcentaje a niveles mínimos. Este dato significa que las
empresas aplican prácticamente el 100% de su presupuesto en ciber-seguridad para cubrir el 45%
de los riesgos. Parece lógico que se diseñen e implanten planes continuos de concienciación porque
un hábito se crea con la costumbre.
Algunas empresas dan un curso de gran contenido una vez al año o una vez en la vida de la
empresa, pero eso no es concienciar.
Se está empezando a involucrar al usuario, a la persona en el centro de la seguridad, se está
concluyendo que es más barato y fiable que todos los empleados asuman un rol responsable en sus
hábitos de uso de los medios telemáticos (antigua palabra) y la información.
Gartner Group ha creado una metodología en este sentido que llama PCS (People Centric Security)
y su nombre define el ánimo con el que se ha construido.
14
Los muy tecnólogos están reconociendo que no se pueden construir reglas de uso y acceso a la
información sin tener en cuenta al usuario. Lo llaman User Experience y están trabajando para
evitar que las reglas y normas puedan crear una mala Experiencia de Usuario en su utilización.
De manera similar las empresas están comprendiendo que la información y los datos deben ser
responsabilidad de quien los crea, intercambia y también los destruye cuando sean obsoletos.
En el lustro pasado ante la alarma de las fugas de información se acudió al mercado para implantar
herramientas DLP que definían el uso de la información de manera restrictiva mediante reglas de
carácter técnico sin participación de los propietarios de esa información. El resultado no fue el
esperado y la Experiencia de Usuario fue bastante negativa redundando en su poca eficacia.
Ahora se ha admitido que esas herramientas con sus reglas deben estar coordinadas con las políticas
de clasificación de información que una vez definidas informan al usuario como debe tratar esos
datos que crea, intercambia y destruye, siendo este el responsable de la aplicación de esas políticas a
la información pública, interna, confidencial, comercial o cualquier otro tipo que la organización
defina.
15
A todo ello debemos añadir el aumento del uso de La Nube, tanto para almacenamiento como para
procesos y ello redunda que la seguridad no está bajo el estricto control de nuestra organización, es
el proveedor del servicio quien también proporciona sus medios y herramientas de seguridad.
Para algunos se debilita el nivel de protección y para otros se refuerza porque el despliegue de
medios es mayor.
Teniendo en cuenta que toda Organización es un Sistema Abierto y Complejo, la revisión de su
modelo de Negocio con la seguridad embebida debe ser abordada desde un “Enfoque Sistémico, por
ser transdisciplinario, que engloba la totalidad de los elementos del Sistema, así como sus
interacciones e interdependencias”, como ya se ha comentado en una ponencia anterior.
Se debe abordar la seguridad de manera unificada, evitando las dificultades y errores que conlleva
la actual implantación de medidas de Protección y otras de Prevención, para integrarlas con
posterioridad.
Hay que invertir la actual situación donde se escalan medidas parciales tecnológicas y reactivas,
hacia el negocio (botom up), por un modelo top down desde las decisiones estratégicas de negocio
hacia las soluciones tecnológicas con el compromiso de los niveles ejecutivos (top down).
16
V. RESUMEN.
Las empresas deben revisar su modelo de negocio para incorporarse a la Transformación Digital
que deben abordar.
Según The International Charter la ecuación del riesgo es: Riesgo = Amenaza x Vulnerabilidad x Coste (o Impacto) Motivo por el cual es necesario contar con una herramienta que permita valorar todas las variables
para conocer y gestionar el riesgo
Con esta herramienta de gestión podremos establecer:
𝑹𝒆𝒔𝒑𝒐𝒏𝒔𝒂𝒃𝒊𝒍𝒊𝒅𝒂𝒅 𝑪𝒐𝒓𝒑𝒐𝒓𝒂𝒕𝒊𝒗𝒂 =𝑹𝒊𝒆𝒔𝒈𝒐
𝑪𝒐𝒏𝒕𝒓𝒐𝒍𝒆𝒔+𝑴𝒆𝒅𝒊𝒅𝒂𝒔
La Responsabilidad Corporativa cada día aumenta y está dirigida a la cúpula de la Organización.
Un ciber-ataque ya no es solamente un incidente tecnológico, afecta directamente al negocio mismo
y a los máximos responsables.
La oferta de nuevos servicios en el sector transporte no incluye la ciber-seguridad como elemento a
considerar.
Las herramientas de protección instaladas están orientadas a proteger la información pero no se
considera el efecto del robo o daño de la misma sobre el negocio.
La delincuencia organizada cada día obtiene mayores beneficios y las medidas tecnológicas al
alcance de los técnicos no son capaces de reducir la ventaja de que disponen.
¿Qué se puede hacer?
A día de hoy no hay muchas posibilidades de erradicar la ciber-delincuencia, al menos que cuando
seamos atacados, podamos descubrirlo en el menor tiempo posible, que los planes de contingencia y
resiliencia minimicen los efectos sobre el negocio, evitar daños reputacionales y evitar ser el
eslabón más débil de la cadena.