1

2

Seguridad del Transporte

Safety & Security

Autor: Manuel Ortega Sánchez

Director Desarrollo de Negocio: Computer Aided Logistics (CALS)

Madrid, España

E-mail: mortega@calsgrc.com

3

CONTENIDO PAG

I. INTRODUCCIÓN 4

II. PANORAMA DE CIBERSEGURIDAD 7

III. LA CIBER-SEGURIDAD EN LAS ORGANIZACIONES 15

IV. MODELO DE NEGOCIO SEGURO 10

V. RESUMEN. 16

4

I. INTRODUCCIÓN

Transporte es el traslado de personas y bienes de un lugar a otro. La historia de los medios de transporte es parte de la historia de la humanidad y de su propia evolución. En la prehistoria y en el periodo del Neolítico se fija la invención de la rueda, permitiendo el desplazamiento de materias pesadas y con ello el inicio del transporte. Inicialmente se transporta por tierra utilizando bestias de carga, evolucionando con el uso del motor de combustión hasta nuestros días.

A continuación se desarrolla el transporte fluvial y marítimo.

5

En el siglo XVIII se construyen ferrocarriles, aprovechando la experiencia de mineros que observan las vagonetas cargadas de materia desplazándose por planchas metálicas.

El último medio de transporte es el aéreo.

El objetivo es siempre el mismo, transportar más carga, a la mayor distancia posible, en el menor tiempo y con el menor coste, incorporándose últimamente la menor contaminación como factor a considerar. Un aspecto a considerar cada vez más importante es la Seguridad, que también ha evolucionado con los propios medios del transporte. La seguridad ha venido asociándose con la protección del bien que se quiere custodiar y transportar, para evitar accidentes, daños y robos, pero la transformación digital de la Sociedad de finales del siglo XX y los años transcurridos del XXI, también afecta al “universo del transporte”. Como en cualquier otro sector de actividad, la información y la conectividad son activos imprescindibles con la consecuencia de la vulnerabilidad que ello implica. En 1968 las empresas de transporte en USA crea el TDCC (Transport Data Coordinator Comitee), creándose un conjunto de transacciones para el tratamiento normalizado de pedidos y facturas. El siguiente avance fue la creación de las normas EDI (Electronic Data Interchange) en 1986 como precursor de EDIFACT (Electronic Data Interchange for Administration Commerce and Transport), evolucionando hasta nuestros días.

6

Con la aparición de Internet y el uso generalizado de la web (la nube), los proveedores de servicios introducen “EDI over the Internet”, que simplifican y abaratan el uso de las comunicaciones precedentes, que obligaba a contratar servicios VAN (Value Added Network) con un proveedor autorizado. Bien sea utilizando un estándar EDI o interconexión directa proveedor-cliente, todos los actores del sector transporte están conectados a Internet a través de su protocolo TCP/IP y la inseguridad inherente que supone dando origen al gran negocio de la Ciber-delincuencia y el Ciber-terrorismo que sacuden a la economía globalizada, característica de la Sociedad de la Información. A estos riesgos hay que añadir los derivados de la conectividad requerida por los nuevos medios de seguimiento y control, optimización de rutas así como los que ya están apareciendo referidos al Internet de las Cosas (IoT).

7

II. PANORAMA DE CIBER-SEGURIDAD

El sector del transporte no es ajeno al efecto de la “Ciber-inseguridad” al que están sometidos todos

los Sectores de Actividad, Gobiernos e Individuos.

Detrás existen motivaciones económicas y políticas afectando ambas también al transporte por su

condición de Infraestructura Crítica.

Revisando datos estadísticos y de evolución de todos los “actores”, podemos intuir al menos la

dirección que debemos tomar para mejor defendernos de los ciber-delincuentes y ciber-terroristas,

si a día de hoy no somos capaces de erradicar esta práctica delictiva ni frenar su crecimiento, al

menos minimizar sus efectos.

El cuadro siguiente muestra algunos ataques que han aparecido en los medios por su repercusión en

millones de usuarios, el último revelado ha sido el ataque a Yahoo con el robo de 500M de registros

de usuario y el uso de esa ingente cantidad de información que aunque ha sido revelado en el verano

de este año, el ataque se produjo en 2014, disponiendo los delincuentes de más de dos años para el

uso fraudulento de todos esos datos de usuarios con el desconocimiento de estos y la necesidad de

cambiar al menos claves de acceso a cuentas personales.

Fuente STATISTA

La variedad de empresas atacadas nos muestra que no hay sectores con mejor nivel de protección

que otros, puesto que en la lista hay empresas del sector financiero, retail, compra-venta por

Internet, sector sanitario, redes sociales, oficinas gubernamentales y el propio ejército USA.

8

Hay que resaltar que la gravedad del tiempo necesario desde el ataque hasta su detección, se estima

en una media de ocho meses y no hay datos estadísticos del tiempo necesario para el bloqueo del

ataque y su remediación.

Se estima que el coste al nivel mundial de la ciberdelincuencia crecerá hasta $6B (trillón

americano) en 2021.

En Reino Unido ya ha superado la ciber-delincuencia a la delincuencia “común” en cifra de

ingresos.

En este año ha crecido de manera notable los ataques tanto a personas como a empresas del llamado

“ransomware” o bloqueo y cifrado de los datos, exigiendo el pago de un rescate a cambio de recibir

una clave que permite desbloquear el ordenador.

Existen diversos malware conocidos en materia de ransomware, como Cryptolocker, Locky, Crisis

Locky o Cryptowall. Este último ha recaudado en 2015 alrededor de $325M.

Según la versión de 2015 del “Transportation Systems Sector-Specific Plan” de IBM, el sector del

transporte es más vulnerable a los ciber-ataques de manera creciente como resultado de la creciente

dependencia de la interconexión a través de redes IP, de los sistemas de control, navegación,

seguimiento, posicionamiento y comunicaciones.

Esto es debido la facilidad con que actores maliciosos pueden acceder a sistemas cibernéticos que

dan servicio al transporte.

Según la revista Forbes, el mercado de la Ciber-Seguridad ha crecido desde los $3,5 Millardos en

2004 hasta los $75 Millardos en 2015 y se prevé que en 2020 alcance los $170 Millardos.

Según Steve Morgan fundador y editor jefe de Cybersecurity Ventures, el gasto estimado en ciber-

seguridad será de $1 Millardo para el periodo de cinco años comprendido entre 2017 y 2021, debido

al crecimiento de la actividad criminal con especial atención a la epidemia de ransomware, la

reorientación del malware de PC hacia smartphones, tabletas y otros dispositivos móviles, el

despliegue de miles de millones de dispositivos IoT (Internet de las cosas) sin protección, las

legiones de los mal llamados hackers de alquiler y los ataques cada vez más sofisticados a negocios,

gobiernos, instituciones educativas, sanitarias y consumidores en general.

Estamos ante un panorama donde el gasto en ciber-seguridad crece de manera continua, el mercado

de la ciber-seguridad también tiene garantizado un crecimiento hasta el 2020 y la ciber-delincuencia

aumenta de manera continua su “cifra de negocio”, en consonancia con las pérdidas que genera.

9

Deberíamos reflexionar sobre esta situación y si consideramos imposible erradicar la ciber-

delincuencia, al menos reducir la brecha entre gasto en seguridad y pérdidas sufridas.

Hace algunos años se decía que en relación con la ciber-delincuencia había dos tipos de empresas,

las que habían sido atacadas y las que aún no se habían enterado, ahora recientemente el Director

del FBI ha dicho que los dos tipos de empresas eran las que habían sido atacadas y las que volverán

a serlo.

10

III. LA CIBER-SEGURIDAD EN LAS ORGANIZACIONES

En 1971 se detectó “oficialmente” en la red ARPANET (precursora de Internet) un virus llamado

Creeper y para su eliminación se desarrolló el programa llamado Reaper, aunque años atrás ya

habían sido desarrollados programas maliciosos, por su propagación en la Red, podemos considerar

estos dos como el primer virus y antivirus, precursores del malware y la industria actual de la ciber-

seguridad.

Este ejemplo sirve en cualquier caso para ilustrar la relación entre los delincuentes y las víctimas, el

ataque y la defensa, que al día de hoy ha alcanzado las proporciones reflejadas en las cifras del

capítulo anterior, pero se mantiene con el mismo concepto, ataque y defensa, acción y reacción.

Queremos poner de manifiesto que las víctimas (Estados, Organizaciones, Individuos, etc.) solo nos

defendemos con medidas reactivas que intentan dar respuesta a los ataques después de que estos se

hayan producido.

Cada día los ataques son más sofisticados y en respuesta las medidas son más costosas, pero

también las estadísticas anuales, como el informe Mandiant, el del Instituto Ponemon, Gartner,

Karsperky, McAfee y tantos otros, nos revelan que virus conocidos y teóricamente bloqueados y

eliminados vuelven a aparecer como Suxnet, Flame, Duqu, etc.

¿Está la guerra perdida?, ¿Tenemos que acostumbrarnos a convivir con esta situación? En este

instante solo podemos decir que estamos perdiendo las batallas una a una y que solo con una buena

defensa no se gana ninguna guerra……………….

En el Sector del Transporte y la Logística el problema no es menor que en otros sectores porque a

los riesgos que podemos considerar comunes de la seguridad de la información, se debe añadir una

tradición de la seguridad basada en la protección del perímetro como continente y de su contenido,

pero en este universo interconectado el perímetro ha desaparecido.

Una organización que invirtió una gran cantidad de dinero en la mejora de la seguridad perimetral

con doble alambrada para que pudieran circular coches de vigilancia, personal mejor entrenado,

otros medios como cámaras de vigilancia, perros adiestrados y un largo etcétera, comprobaron que

tiempo atrás había penetrado en su sistema de gestión de visitas, emitiendo credenciales para

franquear la entrada a personas y vehículos ajenos a las instalaciones.

Por eso ahora se dice que el perímetro es la identidad, es decir .com, .net, .org y tantos otros

dominios.

11

A los riesgos tradicionales de robo, daño o extravío de los bienes en custodia hay que añadir otros

derivados del robo, daño o uso indebido de la información que puede provocar perjuicios propios o

en terceros.

Las redes de transporte están cada vez más digitalizadas, mediante el seguimiento, posicionamiento

y control de los desplazamientos terrestres, planificación en carga y descarga de transporte naval,

gestión de rutas, mantenimiento y coordinación con la organización del cargo aéreo afectan a las

rutas aéreas. Un ciber-ataque a las redes de comunicaciones puede causar una interrupción del

servicio con grandes pérdidas de negocio y especialmente puede causar daños reputacionales que no

siempre se pueden recuperar.

Podemos ser atacados para acceder a terceros, clientes u otros proveedores y las consecuencias

pueden ser nefastas, por lo que hay que evitar ser el eslabón más débil de la cadena.

12

IV. MODELO DE NEGOCIO SEGURO

Al igual que la Sociedad del Siglo XXI divide a los individuos en Nacidos Digitales e Inmigrantes

Digitales, las empresas se dividen en Empresas Digitales y Empresas en Transformación Digital.

Hay definiciones muy variadas de las primeras, una de la más sencilla es que la Empresa Digital es

aquella cuyo modelo de negocio está basado en el Mercado Digital. Ejemplos hay muchos y cada

día más, algunas de las principales son Google, Skype, Amazon, Facebook, PayPal y tantas otras.

El resto está incorporándose en mayor o menor grado a la Transformación Digital.

Una de las características de este siglo es la velocidad del cambio, por lo que las empresas en

Transformación Digital, deben revisar sus modelos de negocio, al tiempo que aumentan su

presencia en la Red.

Esa adaptación del modelo de negocio a la Transformación Digital incluye la incorporación de la

Seguridad al mismo. El coste de la Seguridad en las empresas crece continuamente y no dejará de

hacerlo, las herramientas serán más sofisticadas y más costosas, aumentará el número de

profesionales dedicados a la seguridad y esto es necesario e inevitable, pero ¿es suficiente?, no lo

es. En breve la seguridad será un argumento de venta en línea con el precio y la calidad del servicio,

toda aquella empresa que haya sido atacada a través de una vulnerabilidad de un tercero,

incorporará los niveles de seguridad internos al contrato de suministro y servicios, quedando

excluidas aquellas que no lleguen al nivel exigido.

La Unión Europea aprobó en Abril del presente Año la GDPR (General Data Protection

Regulation), que en 2017 deberá trasponerse a las normativas de los países comunitarios. Entre

otras novedades incorpora la obligación de las empresas a publicar los ataques recibidos y un

Registro actualizado sobre brechas y ataques. Las sanciones por incumplimiento serán graves

alcanzando los €20M o el 4% del volumen de negocio.

Este es otro aspecto a considerar pues empresas que aparezcan con un elevado nivel de brechas y

ataques recibidos, tendrán problemas para competir con otras que no estén siendo atacadas o su

nivel de vulnerabilidad sea menor.

Todas las empresas con mayor o menor intensidad aplican medidas de seguridad y deberán

incrementarlas en la medida de sus posibilidades, pero la inevitable Transformación Digital obligará

a revisar el modelo de negocio de las empresas, incorporando los riesgos y la seguridad a sus

objetivos estratégicos y así participará la Alta Dirección en la Gestión.

13

Son acciones de bajo perfil tecnológico en comparación con la selección, implantación y

seguimiento de las herramientas tecnológicas, pero que estarán bajo la responsabilidad de los

niveles estratégicos de la empresa.

La primera de esas acciones consistirá en la definición del mal llamado “Apetito de Riesgo” (Risk

Appetite), que no debe confundirse con la Aversión al Riesgo.

Si aplicamos una de las múltiples definiciones de Riesgo como “la distancia que separa la

oportunidad del éxito”, estaríamos alineados con la definición del Instituto de Auditores Internos de

España en su documento Definición e Implantación del Apetito de Riesgo:

“Es la cantidad de riesgo que la empresa desea asumir para la consecución de sus objetivos”.

Ello implica que los responsables del Negocio (Cuenta de Resultados) tendrán que cuantificar e

implantar en la empresa, para cada tipo de riesgo el nivel con el que quieren convivir y asumir.

Este nivel de riesgo marcará la diferencia con el riesgo inicial, se podrá seguir y medir el riesgo

residual y marcará el techo de gasto en medidas de control y remediación si se produjera algún

evento de ataque o infiltración a los activos de la organización.

Los riesgos ya no se pueden gestionar en nichos aislados en función de la organización vertical de

la empresa, un ataque puede producirse a través de una brecha en una parte de la organización y

afectar a otras áreas, por ello la gestión debe ser transversal y en función del valor de los activos a

proteger.

Según las estadísticas más del 55% de los ataques tienen su origen en usuarios internos, muy pocas

empresas realizan programas continuos de concienciación de los empleados a todos los niveles para

crear hábitos seguros y reducir este porcentaje a niveles mínimos. Este dato significa que las

empresas aplican prácticamente el 100% de su presupuesto en ciber-seguridad para cubrir el 45%

de los riesgos. Parece lógico que se diseñen e implanten planes continuos de concienciación porque

un hábito se crea con la costumbre.

Algunas empresas dan un curso de gran contenido una vez al año o una vez en la vida de la

empresa, pero eso no es concienciar.

Se está empezando a involucrar al usuario, a la persona en el centro de la seguridad, se está

concluyendo que es más barato y fiable que todos los empleados asuman un rol responsable en sus

hábitos de uso de los medios telemáticos (antigua palabra) y la información.

Gartner Group ha creado una metodología en este sentido que llama PCS (People Centric Security)

y su nombre define el ánimo con el que se ha construido.

14

Los muy tecnólogos están reconociendo que no se pueden construir reglas de uso y acceso a la

información sin tener en cuenta al usuario. Lo llaman User Experience y están trabajando para

evitar que las reglas y normas puedan crear una mala Experiencia de Usuario en su utilización.

De manera similar las empresas están comprendiendo que la información y los datos deben ser

responsabilidad de quien los crea, intercambia y también los destruye cuando sean obsoletos.

En el lustro pasado ante la alarma de las fugas de información se acudió al mercado para implantar

herramientas DLP que definían el uso de la información de manera restrictiva mediante reglas de

carácter técnico sin participación de los propietarios de esa información. El resultado no fue el

esperado y la Experiencia de Usuario fue bastante negativa redundando en su poca eficacia.

Ahora se ha admitido que esas herramientas con sus reglas deben estar coordinadas con las políticas

de clasificación de información que una vez definidas informan al usuario como debe tratar esos

datos que crea, intercambia y destruye, siendo este el responsable de la aplicación de esas políticas a

la información pública, interna, confidencial, comercial o cualquier otro tipo que la organización

defina.

15

A todo ello debemos añadir el aumento del uso de La Nube, tanto para almacenamiento como para

procesos y ello redunda que la seguridad no está bajo el estricto control de nuestra organización, es

el proveedor del servicio quien también proporciona sus medios y herramientas de seguridad.

Para algunos se debilita el nivel de protección y para otros se refuerza porque el despliegue de

medios es mayor.

Teniendo en cuenta que toda Organización es un Sistema Abierto y Complejo, la revisión de su

modelo de Negocio con la seguridad embebida debe ser abordada desde un “Enfoque Sistémico, por

ser transdisciplinario, que engloba la totalidad de los elementos del Sistema, así como sus

interacciones e interdependencias”, como ya se ha comentado en una ponencia anterior.

Se debe abordar la seguridad de manera unificada, evitando las dificultades y errores que conlleva

la actual implantación de medidas de Protección y otras de Prevención, para integrarlas con

posterioridad.

Hay que invertir la actual situación donde se escalan medidas parciales tecnológicas y reactivas,

hacia el negocio (botom up), por un modelo top down desde las decisiones estratégicas de negocio

hacia las soluciones tecnológicas con el compromiso de los niveles ejecutivos (top down).

16

V. RESUMEN.

Las empresas deben revisar su modelo de negocio para incorporarse a la Transformación Digital

que deben abordar.

Según The International Charter la ecuación del riesgo es: Riesgo = Amenaza x Vulnerabilidad x Coste (o Impacto) Motivo por el cual es necesario contar con una herramienta que permita valorar todas las variables

para conocer y gestionar el riesgo

Con esta herramienta de gestión podremos establecer:

𝑹𝒆𝒔𝒑𝒐𝒏𝒔𝒂𝒃𝒊𝒍𝒊𝒅𝒂𝒅  𝑪𝒐𝒓𝒑𝒐𝒓𝒂𝒕𝒊𝒗𝒂 =𝑹𝒊𝒆𝒔𝒈𝒐

𝑪𝒐𝒏𝒕𝒓𝒐𝒍𝒆𝒔+𝑴𝒆𝒅𝒊𝒅𝒂𝒔

La Responsabilidad Corporativa cada día aumenta y está dirigida a la cúpula de la Organización.

Un ciber-ataque ya no es solamente un incidente tecnológico, afecta directamente al negocio mismo

y a los máximos responsables.

La oferta de nuevos servicios en el sector transporte no incluye la ciber-seguridad como elemento a

considerar.

Las herramientas de protección instaladas están orientadas a proteger la información pero no se

considera el efecto del robo o daño de la misma sobre el negocio.

La delincuencia organizada cada día obtiene mayores beneficios y las medidas tecnológicas al

alcance de los técnicos no son capaces de reducir la ventaja de que disponen.

¿Qué se puede hacer?

A día de hoy no hay muchas posibilidades de erradicar la ciber-delincuencia, al menos que cuando

seamos atacados, podamos descubrirlo en el menor tiempo posible, que los planes de contingencia y

resiliencia minimicen los efectos sobre el negocio, evitar daños reputacionales y evitar ser el

eslabón más débil de la cadena.