Todavía hoy seguimos escuchando de la convergencia AV y TI como un fenómeno nuevo, aunque reflexionando un poco, tiene al menos 9 años que me tocó realizar un proyecto residencial completamente IP (Audio, automatización, y telefonía), y es hace 12 años que AVIXA (en ese entonces InfoComm International) comenzó a desarrollar un curso precisamente con ese tema, en una clase de 3 días de duración.
Eso tiene más de una década, y en ese entonces AVIXA buscaba preparar a la industria para hablar con profesionales de TI sobre sus sistemas, de temas como estimación de anchos de banda, la relevancia de entender el modelo Open Systems Interconnection (OSI) y sus capas, protocolos IP, y como diseñar e integrar sistemas en esta convergencia, así como aprovechar las bondades y oportunidades que acompañan a los sistemas en red.
Viendo la figura de arriba, una de las láminas de ese curso que describe (en inglés) algunas de las cosas que mantenían despiertos a los profesionales de IT en las noches. Desde ese entonces la seguridad de la red era ya un tema detectado como relevante.
Los puntos relevantes para TI:
- Evitar servicios caídos
- No perder información
- Operar con seguridad
Los sistemas audiovisuales están en la red desde hace tiempo. La integración y la convergencia están sucediendo -corrijo, ya sucedieron. Tenemos una responsabilidad con las empresas donde nuestros sistemas AV ya operan en sus redes, y es el asegurarnos de que no estamos permitiendo ninguna posibilidad de intrusión. Asegurarnos que hicimos todo lo posible para entender cuáles son los riesgos y que tomamos todas las acciones para mitigar esos riesgos en esas empresas, ese gran reto es más complicado día a día.
Existen muchas normas y prácticas que aparecieron para cerrar las vulnerabilidades que los hackers o invasores podrían explotar y para prevenir brechas de seguridad, muchas empresas de ciberseguridad brindan servicios de detección de intrusión 24×7. Eso es excelente, pero la mayoría de los estándares y lineamientos hablan de la red en sí, y no de los sistemas implementados sobre esas redes.
Tú puedes reunir información de todos los estándares que TI ha estado usando por años, pero la información nunca es específica para sistemas de Audio y Video. Puedes recopilar información muy relevante, pero termina habiendo brechas y mucha información no está relacionada a lo que nuestros sistemas necesitan.
Una nueva publicación de AVIXA dentro de sus normas, Recommended Practices for Security in Networked AV Systems (Prácticas Recomendadas de Seguridad en Redes para Sistemas AV), proporciona ayuda a las empresas de integración, gerentes de tecnología y cualquier otro interesado, una guía para mejorar la seguridad de sistemas de audio y video en red, en la cual AVIXA colaboró con expertos para definir las prácticas recomendadas a seguir, independientemente del tamaño de organización donde se realice la implementación.
Los consejos son realmente fáciles de entender y muy prácticos. La lista de Prácticas Recomendadas te plantean iniciar con la identificación de riesgos y brechas en la seguridad, y brindan posteriormente una serie de acciones tangibles para ayudar a proteger mejor los sistemas AV contra amenazas o vulnerabilidades. ¿Sabías que se calcula que el 50% de las contraseñas usadas hoy son la palabra “password”? Suena difícil de creer e incluso un tanto absurdo, pero es una grave realidad. La protección con contraseñas sigue siendo un problema común, por lo que cambiarlas es una buena práctica que no debemos ignorar.
El documento muestra más de 20 acciones concretas que un profesional AV puede implementar, algunos pasos adicionales, y casos de uso para aplicaciones de Conferencia y colaboración, Edificios inteligentes e IoT y Streaming, para ayudar a ilustrar mejor las consideraciones específicas de cada aplicación.
Los requerimientos de seguridad pueden variar de acuerdo con el propósito del sistema. Es por eso por lo que las Prácticas Recomendadas pueden adaptarse para conformar una base sólida al mantener la seguridad de la red.
La amenaza es real y creciente, según lo indica el estudio Global Security Report publicado por Trustwave en 2013, se estimaba que el 63 % de las intrusiones dentro de redes, fueron ocasionadas por terceros (proveedores o contratistas), tal es el caso de las tiendas Target y su desafortunado caso hace algunos años que se tradujo en la filtración de datos de aproximadamente 40 millones de tarjetas de crédito y débito y los datos personales de 70 millones de usuarios, que ocasionó pérdidas económicas y legales millonarias para la empresa, estimadas en 420 millones de dólares, de la mano de la confianza de muchos de sus clientes.
Se determinó que la empresa brindando servicios de aire acondicionado fue hackeada, y usando credenciales robadas, los hackers ingresaron a la red corporativa de la tienda y a sus sistemas de administración.
Aunque una red segura no es infalible, es mucho mejor que ser una invitación para intrusos, sin embargo, esto requiere un esfuerzo continuo, pero todos seríamos prudentes al aprender una lección de las invasiones y filtraciones masivas y escandalosas que podrían haberse evitado.
¿No sería genial para nuestra industria dar un ejemplo sobre cómo mantener un sistema seguro? Si realmente desea impresionar al mundo de TI, coméntales cuando hables con ellos que siguen las Prácticas Recomendadas de tu industria para la seguridad de la red. No esperes a que te comuniquen sus políticas de seguridad, compárteles las tuyas.
Sin embargo, volvemos al mismo punto que los propios expertos en TI podrán confirmarte. Ningún ambiente es lo suficientemente seguro, nadie está 100% seguro, sin embargo, disminuir vulnerabilidades ahuyenta a quienes no deseen invertir mucho tiempo en ello.
Si hicieras este análisis de brechas de seguridad el día de hoy, ¿que encontrarías? ¿Puedes demostrar a tus clientes que cuidas sus intereses y que tomaste los pasos necesarios para mitigar el riesgo de una intrusión?
Si eres miembro de AVIXA, descarga el documento en www.avixa.org/standards y comienza a ponerlo en marcha. ¿Aún no eres miembro? No te quedes fuera, escribe a sgaitan@avixa.org y afíliate ya.
¡Nos vemos pronto!