«Para garantizar la seguridad y conectividad del producto es vital evaluar su ciberseguridad»

DEKRA es una empresa global que ya cuenta con un siglo de historia, puesto que se fundó en 1925 en Berlín, y que ofrece distintos servicios de inspección, certificación y consultoría, así como diversas pruebas. Tiene actividad en sectores como la automoción, la energía, la industria y el transporte, y entre otras cosas es la principal empresa de Inspección técnica de vehículos (ITV) del mundo. Además, también ofrece formación especializada en sectores como el vehículo eléctrico.

Dada la importancia de la seguridad para los sectores con los que trabaja la compañía, los expertos de DEKRA tienen muy presente la necesidad de extremar las precauciones para la protección no solo de los datos de las compañías o de sus sistemas digitales, sino también de su equipamiento industrial y de los sistemas de tecnología que tengan conectados a Internet. Para profundizar en todos estos temas hemos hablado con Antonio David Vizcaíno Gómez, Cybersecurity Technical Sales de DEKRA.

[MCPRO] Actualmente todo tipo de dispositivos están conectados a Internet. No sólo los ordenadores o los smartphones, sino también maquinaria pesada, electrodomésticos e incluso vehículos ¿Qué importancia tiene cuidar su ciberseguridad? ¿Qué consecuencias tendría no hacerlo?

[Antonio David Vizcaíno Gómez] Hay varios factores a tener en cuenta. Cada vez hay más dispositivos conectados, por lo que la probabilidad de que aparezca una vulnerabilidad crítica se incrementa. Por otro lado, hay que considerar el impacto de la ciberseguridad en la seguridad de las personas, principalmente, y de otros dispositivos y sistemas.

Los ejemplos comentados de la maquinaria pesada y los automóviles son buenos ejemplos de ello, pues un fallo en la ciberseguridad podría afectar a la seguridad física de las personas. Finalmente, en muchos casos se trata de dispositivos que no son fácilmente accesibles, o que no tienen actualizaciones de seguridad frecuentes, por lo que cualquier fallo de seguridad puede ser persistente o difícilmente subsanable.

Por eso la introducción de nuevos estándares, certificaciones y regulaciones de seguridad como los requisitos de la directiva de Maquinaria de la UE, o la nueva Cyber resilience Act son tan importantes: ponen el foco no sólo en la seguridad del producto, sino también en cómo se desarrolla y se mantiene la seguridad a lo largo de su ciclo de vida.

[MCPRO] ¿Cómo pueden proteger sus datos las empresas que utilizan todo tipo de sistemas conectados en sus operaciones y procesos?

[Antonio David Vizcaíno Gómez] En este caso estamos hablando de ciberseguridad de organizaciones. La recomendación básica en este caso sería contar con equipos de IT y OT que apliquen las mejores prácticas en cuanto a gestión de riesgos, respuesta a incidentes, protección y copias de seguridad de los datos, etc. Otras acciones recomendadas incluyen la realización de análisis de vulnerabilidad periódicos a sistemas y componentes de red, simulaciones de escenarios de respuesta a incidentes, formación al personal, etc.

Muchas de estas medidas son requisitos de certificaciones de seguridad como ISO 27001, TISAX, Esquema Nacional de Seguridad y otras similares, que en muchos casos son obligatorias para ciertas empresas (como el ENS para empresas del sector público en España), o son requeridas dentro de un cierto ámbito sectorial (como TISAX para automoción).

[MCPRO] La expansión del Big Data ha dotado de gran relevancia al proceso de grandes cantidades de datos en empresas de todo tipo de sectores ¿qué precauciones y medidas deben tomar para proteger su privacidad y seguridad?

[Antonio David Vizcaíno Gómez] Las medidas de seguridad recomendadas para Big Data empiezan por entender qué tipos de datos estamos procesando y desarrollar controles de seguridad asociados a los riesgos, entre los que se pueden incluir: encriptación de datos, tanto en reposo como en tránsito; gestión de accesos y permisos; cumplimiento de regulaciones, como el Reglamento General de Protección de Datos (GDPR) en la EU; monitoreo y auditoría, para detectar y responder rápidamente a cualquier actividad sospechosa o violación de seguridad, así como educación y concienciación de los empleados. 

[MCPRO] ¿Qué papel tienen las pruebas de ciberseguridad de productos, procesos y servicios dentro de las pruebas de seguridad y conectividad que se hacen con ellos?

[Antonio David Vizcaíno Gómez] Las pruebas de ciberseguridad son relativamente una novedad dentro del ámbito de los ensayos de productos, procesos y servicios, aunque están ganando cada vez más importancia por lo que decíamos antes: la proliferación de dispositivos conectados y el impacto que tiene una potencial vulnerabilidad en ellos.

Cada vez más fabricantes y desarrolladores incluyen la ciberseguridad en su estrategia de validación y cumplimiento, sea por requisitos internos o por imposición de un tercero (cliente, ámbito sectorial o regulación). Y en muchos casos las pruebas de ciberseguridad, seguridad y conectividad se complementan debido al impacto cruzado entre todas estas variables. En general, para garantizar la seguridad y conectividad del producto o servicio es vital evaluar la ciberseguridad del mismo.

[MCPRO] ¿Qué supone para una compañía certificar sus procesos, productos y servicios en materia de ciberseguridad? ¿Qué implica el uso de dispositivos ya certificados en este campo para la protección de los datos de las empresas?

[Antonio David Vizcaíno Gómez] Aquí hay que tener en cuenta dos dimensiones: la certificación como organización y la certificación como proveedor, aunque en muchos casos están ligadas. Si la compañía desarrolla productos o servicios, una parte importante de los requisitos de cumplimiento van a estar relacionados con la ciberseguridad.

Para este caso es vital determinar los requisitos del cliente (por ejemplo, disponer de una evaluación de seguridad realizada por un laboratorio externo) y las regulaciones nacionales o regionales que puedan aplicar (por ejemplo, los requisitos de ciberseguridad de la directiva para productos radio de la UE). Teniendo esto en cuenta, la compañía debe desarrollar el producto o servicio teniendo en cuenta esos requisitos y, posteriormente, realizar los ensayos y, en su caso, obtener el certificado que corresponda.

En cuanto a la certificación a nivel organizativo, el uso de productos, servicios y procesos ya certificados proporciona un factor de confianza adicional para garantizar la seguridad de la cadena de suministro. Y para la obtención de certificados asociados a requisitos como la regulación NIS2 en la UE y el Esquema Nacional de Seguridad en España el empleo de productos y servicios certificados va más allá de lo aconsejable para convertirse en obligatorio.

[MCPRO] ¿Cómo es, a grandes rasgos, un proceso de certificación en ciberseguridad de un producto o servicio?¿Qué etapas y pruebas se llevan a cabo para ello?

[Antonio David Vizcaíno Gómez] Aunque depende mucho del tipo de evaluación y certificación de la que estemos hablando, se pueden identificar algunos elementos comunes. Lo primero es tener claro qué requisitos le aplican al producto o servicio y qué estándares de prueba son necesarios. En ocasiones puede ser necesario un análisis previo para identificar posibles desviaciones entre los requisitos de ensayo y la implementación realizada por el desarrollador.

El segundo paso es determinar si es posible o aconsejable hacer una autoevaluación; en caso contrario de debe contactar con un laboratorio que disponga del conocimiento, experiencia y acreditaciones necesarios para la tarea. Una vez comenzados los ensayos, debe haber una comunicación fluida entre el desarrollador y el laboratorio para que cualquier desviación encontrada se resuelva en el producto lo antes posible. Y una vez completadas las pruebas, proporcionar el certificado o informe de ensayos correspondiente.

En cuanto a las pruebas en sí, pueden distinguirse básicamente dos grandes grupos: pruebas funcionales de seguridad, en las que se verifica que el producto cumple con los requisitos correspondientes, y pruebas de análisis de vulnerabilidad o de penetración, en las que el laboratorio identifica potenciales vulnerabilidades en el producto y trata de explotarlas.

Dependiendo de tipo de evaluación que consideremos podemos tener ambos tipos (por ejemplo, en Common Criteria) o sólo uno de ellos (por ejemplo, para el estándar de productos de internet de las cosas ETSI EN 303 645 se realizan normalmente pruebas funcionales, siendo opcional el análisis de vulnerabilidades). Finalmente cabe comentar que determinadas certificaciones avanzadas, como Common Criteria, incluyen otros tipos de prueba como revisión de documentación, análisis de código fuente, auditoría del centro de desarrollo del producto, etc.

[MCPRO] ¿En qué consiste un proceso de certificación de conectividad y tecnologías inalámbricas? ¿Con qué tipo de dispositivos se realiza?

[Antonio David Vizcaíno Gómez] Cada tecnología inalámbrica tiene su certificación de referencia, que a su vez hace uso de diferentes estándares. Por ejemplo, para tecnologías celulares como 5G y LTE tenemos la certificación GCF, que emplea sobre todo los estándares desarrollados por 3GPP y GSMA.

En general tenemos los siguientes tipos de ensayo: conformidad radio, conformidad de protocolo, interoperabilidad, pruebas en campo y desempeño. La certificación GCF incluye conformidad radio y protocolo, así como pruebas en campo y (opcionalmente) de desempeño, mientras que la certificación Wi-Fi consiste esencialmente en pruebas de interoperabilidad.

Casos especiales son las certificaciones regulatorias, que se limitan a ensayos de radio, y las certificaciones para operadores móviles, que pueden incluir pruebas de todos los tipos citados.

En cuanto al equipamiento necesario, las pruebas de conformidad y desempeño se realizan habitualmente con sistemas de ensayo en laboratorio que configuran determinados escenarios para verificar que el dispositivo se comporta conforme a las especificaciones.

Por otro lado, las pruebas de interoperabilidad se realizan con equipamiento real, sea con estaciones base celulares, puntos de acceso inalámbricos o dispositivos de referencia, normalmente en un entorno de laboratorio. Y finalmente, las pruebas en campo se realizan en despliegues reales, por ejemplo desplazando el dispositivo a lo largo de una ruta para validar su comportamiento en distintos escenarios mientras está conectado a una red celular.