A medida que surgen nuevas capacidades y análisis en los sistemas de video, su popularidad sigue en aumento, pero también lo hace su atractivo para actores maliciosos.
A lo largo de los años, la videovigilancia ha pasado de ser una solución de seguridad a convertirse en una herramienta de inteligencia a nivel organizacional, proporcionando datos que mejoran la eficiencia operativa, la planificación de ventas y marketing, las operaciones comerciales, entre otros.
Por lo tanto, la ciberseguridad debe estar en el centro de todas las estrategias de implementación y mantenimiento de sistemas de video.
Enfoque centrado en la ciber-resiliencia
Los instaladores y usuarios finales que trabajen con fabricantes responsables y de confianza estarán mejor preparados contra los riesgos cibernéticos, y les será más fácil cumplir con la legislación actual y futura.
Las regulaciones globales, como la Ley de Autorización de Defensa Nacional (NDAA) en Estados Unidos y el Reglamento de Ciberresiliencia (CRA) y la Directiva sobre Sistemas de Redes y de Información (NIS2) de la UE, están impulsando a las organizaciones a reforzar sus prácticas de ciberseguridad para dispositivos conectados, incluidos los sistemas de video.
Existe una brecha significativa
Sin embargo, a medida que las regulaciones se endurecen, muchas organizaciones están sobreestimando su resiliencia cibernética.
La investigación de Hanwha Vision Europe ha descubierto una brecha significativa entre cómo creen las organizaciones que están protegidos sus sistemas de video y su verdadera preparación.
Más de 1.150 directores y responsables de IT y seguridad de organizaciones con más de 50 empleados en el Reino Unido, Francia, Alemania, Italia y España fueron encuestados sobre su ciber-resiliencia y su conocimiento de amenazas y legislación.
Los participantes representaron sectores clave, como centros de datos y telecomunicaciones, servicios financieros, industria (energía, minería, servicios públicos), manufactura, comercio, transporte y administración pública.
La confianza de los líderes en su resiliencia cibernética varía según factores como el tamaño de la organización, la ubicación y el sector. Por ejemplo, los niveles de confianza llegan hasta un 97% en Italia, con un promedio del 92% de los directores de IT y seguridad que creen que sus sistemas de video están altamente protegidos contra ciberdelitos.
Las instituciones financieras muestran una confianza casi absoluta (99%), mientras que sectores como los centros de datos son algo más conservadores, rondando el 80%.
Desinformados y poco familiarizados
Lo que resulta preocupante es la falta de conocimiento sobre las regulaciones clave de ciberseguridad y cumplimiento. Muchos líderes no están familiarizados con marcos regulatorios fundamentales, como el CRA y el NIS2, que impactan directamente en la ciberseguridad de sus sistemas de video.
Por ejemplo, solo el 47% de los encuestados está al tanto del NIS2. Aún menos (23%) conocen el CRA, una directiva destinada a fortalecer la ciberseguridad de los dispositivos conectados, incluidos los sistemas de video.
Esta brecha de conocimiento significa que los equipos de IT y seguridad pueden no estar al tanto de los requisitos específicos necesarios para mantener seguros sus sistemas de video, lo que lleva a protecciones inadecuadas que podrían ser explotadas. Los expertos de la industria del video, incluidos instaladores y fabricantes, pueden liderar el camino para educar a los líderes empresariales sobre cómo reforzar la ciber-resiliencia en los sistemas de video.
Las mejores prácticas están siendo insuficientes
La investigación destaca la falta de prácticas básicas de ciberseguridad en muchas organizaciones.
Asegurarse de que los empleados sigan los protocolos de ciberseguridad y fomentar la conciencia son acciones esenciales para una buena ciber-resiliencia. Sin embargo, menos de un tercio (31%) de las organizaciones promueven medidas básicas de ciberseguridad, como las actualizaciones de firmware de los dispositivos.
Estas mejores prácticas incluyen:
- Mantenerse al día con las actualizaciones y el firmware de los dispositivos.
- Reconocer los intentos de phishing y saber cómo reportarlos.
- Recordar al personal los riesgos asociados con la adición de hardware a la red.
- Realizar evaluaciones regulares de riesgos en edificios, redes y dispositivos.
- Autenticación de múltiples factores.
- Realizar simulacros de ciberataques para evaluar la resiliencia del sistema.
- Uso de contraseñas fuertes.
Las prácticas básicas de ciberseguridad, como asegurar el acceso físico a los dispositivos de red, implementar control de acceso basado en certificados 802.1x y crear cuentas de usuario, también son deficientes, según revela la investigación. En consecuencia, muchas empresas enfrentan mayores riesgos derivados de problemas prevenibles, como errores humanos o dispositivos mal configurados.
Por lo tanto, es importante asociarse con un fabricante que actualice regularmente sus sistemas contra nuevas amenazas, ya que esto reduce el riesgo de que se descubran vulnerabilidades en el sistema.
Igualmente, un fabricante que cuente con recursos dedicados a la ciberseguridad, comprenda la naturaleza crítica de la ciber-resiliencia para el negocio y esté comprometido a garantizar que sus productos estén lo mejor protegidos posible.
El equipo interno de respuesta a emergencias de seguridad (S-CERT) de Hanwha Vision se enfoca en abordar cualquier posible vulnerabilidad de seguridad en los productos, asegurando que los clientes cuenten con las contramedidas más recientes para mitigar amenazas emergentes y nuevas técnicas de hacking.
Es necesario actuar de inmediato
A medida que las amenazas cibernéticas a los sistemas de video aumentan en frecuencia y sofisticación, queda claro que es necesario actuar de inmediato. Todos los líderes deben reevaluar la ciber-resiliencia de sus sistemas de video actuales, alinearse con los marcos regulatorios y adoptar las mejores prácticas de ciberseguridad para proteger tanto sus sistemas como a los usuarios.
Los instaladores y fabricantes pueden ofrecer orientación para asegurar que el sector, en su conjunto, esté lo mejor protegido posible frente a los actores maliciosos.