¿Su red es segura? Las prácticas de seguridad informática recomendadas para implementar los sistemas de gestión de video IP de Milestone

posted in: Articles, Milestone | 0

Juan Carlos George, Gerente de Ventas de Milestone Systems para América LatinaYa puede descargar la guía para el reforzamiento de la seguridad de la red del VMS de Milestone

Por Juan Carlos George, Gerente de Ventas de Milestone Systems para América Latina

Decir que que las redes IP han revolucionado la especificación, instalación o gestión de los sistemas de seguridad y vigilancia a través de video es quedarse corto. Con el fin de preservar el buen estado de una organización en el entorno altamente conectado de la actualidad, es fundamental comprender las vulnerabilidades de seguridad de las redes que pueden dejarlo a usted o a sus clientes expuestos a serios riesgos.

 

Con frecuencia, las filtraciones de información de gran notoriedad han sido noticia durante los últimos años. Si bien la seguridad de los sistemas de gestión de video en red no ha llegado a los titulares, esto puede cambiar pronto, ya que cada vez es más común que la vigilancia migre a entornos de redes de datos empresariales.

Cada uno de los miembros de una organización debe entender al menos los conceptos básicos sobre seguridad de redes y de software. Los intentos de vulnerar las infraestructuras informáticas de alta prioridad son cada vez más frecuentes, por lo que todo el mundo debe tomar en serio la seguridad física y el reforzamiento de la seguridad informática. La guía de reforzamiento de la seguridad de XProtect de Milestone Systems (Milestone Systems XProtect Hardening Guide), publicada recientemente, contiene información básica y avanzada para los usuarios finales, integradores de sistemas, consultores y fabricantes de componentes de Milestone.

La guía describe las medidas de seguridad, así como las prácticas recomendadas que pueden ayudar a proteger las redes del software de gestión de video de  XProtect Expert y XProtect Corporate contra ataques cibernéticos. Entre otras, consideraciones sobre la seguridad del hardware y el software de los servidores, los clientes y componentes de dispositivos de red del sistema de videovigilancia.

La guía de reforzamiento de la seguridad toma los controles convencionales de seguridad y privacidad y los adapta a cada una de las recomendaciones. El documento constituye un valioso recurso para el cumplimiento de la normatividad en los diferentes sectores de la industria y para cumplir tanto con los requisitos de seguridad gubernamentales como con los requisitos de seguridad de la red.

¿En qué consiste el “reforzamiento”?

El acceso no autorizado a una red de videovigilancia puede comprometer la confidencialidad, integridad y disponibilidad del sistema. Las fallas de seguridad en los dispositivos que están conectados a una red informática podrían brindar una plataforma desde la cual podrían lanzarse ataques a otros sistemas informáticos. Es necesario reconocer que todos los sistemas contienen vulnerabilidades y que hay atacantes externos e internos que están buscando formas de explotarlas.

El proceso de desarrollo e implementación de medidas de seguridad y prácticas recomendadas se conoce como “reforzamiento”. Se trata de un proceso continuo de identificación y comprensión de los riesgos de seguridad, así como de aplicación de medidas adecuadas para contrarrestarlos. El proceso es dinámico ya que las amenazas, así como los sistemas a los que estas van dirigidas, están en constante evolución.

La mayor parte de la información contenida en la Guía de reforzamiento gira en torno a los ajustes y las técnicas informáticas. No obstante, es importante recordar que la seguridad física es también una parte vital del reforzamiento de la seguridad. Por ejemplo, es importante utilizar barreras físicas que impidan el acceso a los equipos servidores y los equipos cliente y asegurarse de que objetos como las carcasas de las cámaras, las cerraduras, las alarmas de manipulación y los controles de acceso sean seguros. En la guía se describen los siguientes pasos prácticos para reforzar la seguridad de un VMS:

  1. Determinar qué componentes deben protegerse
  2. Reforzar la seguridad de los componentes del sistema de vigilancia, entre otros, los servidores físicos y virtuales, los equipos y dispositivos cliente, la red y las cámaras
  3. Documentar y mantener las configuraciones de seguridad para cada sistema
  4. Capacitar e invertir en las personas y habilidades adecuadas, incluida la cadena de suministro

 

Riesgos y ataques informáticos

Hay muchas fuentes de amenazas para un VMS, entre las que se cuentan ataques o fallas comerciales, tecnológicas,  humanas o relacionadas con los procesos. La amenaza tiene lugar a lo largo de un ciclo de vida. La noción del ciclo de vida de la amenaza, a veces llamado “cyber kill” o “cadena de amenazas cibernéticas”, fue desarrollada para describir las etapas de las amenazas cibernéticas avanzadas. Cada etapa del ciclo de vida de la amenaza transcurre en un determinado período de tiempo. La cantidad de tiempo de cada etapa es específica para cada amenaza, o combinación de amenazas, sus actores y objetivos.

Entender el ciclo de vida de la amenaza es importante para la evaluación de riesgos porque muestra dónde se pueden mitigar las amenazas. El objetivo es reducir el número de vulnerabilidades y corregirlas lo antes posible. Por ejemplo, ahuyentar a un atacante que está explorando las vulnerabilidades de un sistema puede eliminar una amenaza.

El proceso de reforzamiento de la seguridad pone en marcha acciones que mitigan amenazas en cada fase de su ciclo de vida. Por ejemplo, durante la fase de reconocimiento, un atacante realiza una exploración para tratar de encontrar puertos abiertos y determinar el estado de los servicios asociados a la red y al VMS. Para mitigar esto, lo recomendable para reforzar la seguridad es cerrar los puertos innecesarios del sistema en las configuraciones XProtect Advanced VMS y Windows.

Marco de gestión de riesgos informáticos

El proceso general de evaluación de riesgos y amenazas, así como la implementación de controles de seguridad, se denomina marco de gestión de riesgos. El proceso es interactivo, y las respuestas y sus resultados son iterativos. Las amenazas, los riesgos, las respuestas y los resultados en materia de seguridad son dinámicos y se adaptan y, por lo tanto, también debe serlo el plan de seguridad.

Los controles de seguridad y privacidad son acciones y recomendaciones específicas que se deben implementar como parte de un proceso de gestión de riesgos. Es importante que el proceso incluya la evaluación de la organización, los requisitos específicos de una determinada instalación y la consolidación de estas actividades en un plan de seguridad.

Al reforzar la seguridad de un sistema, los profesionales informáticos y aquellos encargados de la seguridad deben equilibrar el impacto en la productividad comercial y la facilidad de uso, en beneficio de la seguridad, y viceversa, en el contexto de los servicios que se ofrecen. Las pautas de seguridad no están aislada de otras actividades comerciales e informáticas.

Por ejemplo, cuando un usuario ingresa incorrectamente su contraseña en tres intentos consecutivos, la contraseña se bloquea y no puede acceder al sistema. El sistema está protegido contra ataques de fuerza bruta, pero el usuario desafortunado no puede utilizar el dispositivo para realizar su trabajo. Una política de contraseñas robustas que requiera contraseñas de 30 caracteres y el cambio de contraseñas cada 30 días es una práctica recomendada, pero también es difícil de implementar.

Reforzamiento de los componentes del sistema

Para reforzar la seguridad de los componentes del sistema, los técnicos cambian las configuraciones para reducir el riesgo de que prospere un ataque. Los atacantes buscan una manera de entrar, buscan vulnerabilidades en las partes expuestas del sistema. Los sistemas de vigilancia pueden tener cientos, o incluso miles, de componentes: el hecho de no proteger alguno de esos componentes puede poner en riesgo el sistema.

A veces se pasa por alto la necesidad de conservar la información de configuración. XProtect Advanced VMS ofrece funciones para gestionar las configuraciones, sin embargo, para llevar a cabo esta tarea con éxito se requiere el compromiso de las organizaciones, las cuales deben implementar las políticas y los procesos correspondientes.

Pensando en que la aplicación de la información sea tan universal como sea posible, la Guía de reforzamiento de la seguridad del VMS de Milestone aprovecha los estándares y especificaciones nacionales, internacionales e industriales. En particular, se refiere a la publicación especial 800-53 (Revisión 4) del Instituto Nacional de Estándares y Tecnología del Departamento de Comercio de los Estados Unidos: “Controles de seguridad y privacidad para los sistemas de información federales y las organizaciones”. Además, los fabricantes de cámaras brindan orientación para sus dispositivos de hardware.

Es importante incluir los dispositivos de hardware en todas las iniciativas de reforzamiento de la seguridad de una instalación de VMS. Por ejemplo, las cámaras suelen tener contraseñas predeterminadas. Algunos fabricantes publican estas contraseñas en línea para que los clientes las encuentran fácilmente. Desafortunadamente, eso significa que las contraseñas también están disponibles para los atacantes.

Además del software, los componentes de una instalación XProtect Advanced VMS suelen incluir dispositivos de hardware, como:

— Cámaras

— Codificadores

— Productos de conexión en red

— Sistemas de almacenamiento

— Computadores servidores y clientes (máquinas físicas o virtuales)

— Dispositivos móviles, como teléfonos inteligentes y tabletas

Manténgase al día

Para estar protegido contra ataques y fortalecer los puntos vulnerables es fundamental mantenerse informado. Los directores informáticos y de seguridad deben estar al tanto de los problemas que afectan al software y al hardware, incluyendo los sistemas operativos, los dispositivos móviles, las cámaras, los dispositivos de almacenamiento y en red. Debe establecerse un punto de contacto confiable para todos los componentes del sistema, con procedimientos de notificación para rastrear errores y vulnerabilidades en el sistema. Es importante mantenerse actualizado sobre las vulnerabilidades y exposiciones comunes y mantener una continua comunicación con los fabricantes.

Le recomendamos a la comunidad de XProtect  consultar con frecuencia los artículos que aparecen en la base de conocimientos de Milestone (Milestone Knowledge Base) y revisar periódicamente los registros de actividades para detectar signos de alguna actividad sospechosa.

Obviamente, un excelente primer paso en el proceso de protección del VMS es descargar y revisar la Guía de reforzamiento de la seguridad de Milestone

# # #

Copyright © 2015. All rights reserved.

Acerca de Milestone Systems

Milestone Systems es un proveedor líder de software de gestión de video de plataforma abierta, tecnología que ayuda al mundo a visualizar formas de garantizar la seguridad, proteger los activos y aumentar la eficiencia comercial. Milestone hace posible la existencia de una comunidad de plataforma abierta que fomenta la colaboración e innovación en el desarrollo y uso de la tecnología de video en red, con soluciones confiables y escalables, probadas en más de 150.000 sitios en todo el mundo. Milestone, fundada en 1998, es una compañía independiente dentro del Grupo Canon. Si desea obtener más información, visite: www.milestonesys.com y The Milestone Post en http://news.milestonesys.com

Uso de marcas registradas

Milestone Systems y el logotipo de Milestone son marcas registradas o marcas comerciales registradas de Milestone Systems en los Estados Unidos y otros países. Consulte el listado de marcas registradas de Milestone en news.milestonesys.com/trademark-information. Todas las demás marcas registradas y patentes son propiedad de sus respectivos dueños.


Contacto con los medios

Courtney Dillon Pedersen
Gerente de Relaciones Públicas y Comunicaciones
Milestone Systems, Inc.
Tel. +1 (503) 719-3439

Julián Arcila
Signalis Group
Tel: +1 980 309 2166
info@signalisgroup.com

Contacto para Latinoamérica

Juan Carlos George
Gerente de Ventas para Latinoamérica.
Milestone Systems, Inc.
Tel: +52 55 5208 2854


Leave a Reply

Your email address will not be published. Required fields are marked *