Gamers ahora disponen en Latam de SSD mĆ”s frĆaĀ
Veamos algunas recomendaciones que pueden ayudar a prevenir futuros robos de propiedad intelectual de alto valor para su organizaciĆ³n.
Por Stephen Cobb
Senior Security Researcher de ESET
Como investigador de seguridad, no tengo muchas oportunidades de usar nombres de Hollywood como Disney o Johnny Depp.
Sin embargo, los lectores atentos de WeLiveSecurity habrĆ”n notado la colisiĆ³n del cibercrimen con Hollywood en uno de los incidentes del mes pasado: āCibercriminales roban una pelĆcula de Disney todavĆa no estrenadaā.
No comentĆ© sobre el caso en ese entonces, porque WannaCryptor todavĆa se estaba llevando toda la atenciĆ³n y los titulares, pero me gustarĆa dar algunas recomendaciones que pueden ayudar a prevenir futuros robos de propiedad intelectual de alto valor.
Las pelĆculas y programas de televisiĆ³n multimillonarios son ahora un blanco de los atacantes
Claramente, las pelĆculas y programas de televisiĆ³n multimillonarios, como “Orange is the New Black”, son ahora un blanco de los atacantes digitales. Los hackers de sombrero negro… en otras palabras, los cibercriminales.
Acabamos de enterarnos de otro ejemplo: un joven de 21 aƱos fue detenido por el FBI, acusado de violar el derecho a la propiedad intelectual por haber publicado la pelĆculaĀ āDeadpoolā en su pĆ”gina de Facebook una semana despuĆ©s de su estreno oficial, en febrero de 2016.
Mi teorĆa es que estos saqueadores de propiedad intelectual estĆ”n tratando de encontrar el mejor modelo de negocio con el cual monetizar su habilidad para hacerse con copias pre-lanzamiento de grandes producciones.
Por lo tanto, todos los estudios y compaƱĆas productoras de programas y pelĆculas necesitan pensar en quĆ© pueden hacer para proteger sus activos digitales, no solo en sus oficinas, sino en cualquier otro lugar al que esos activos viajen durante el proceso de producciĆ³n.
Marco de referencia y proceso
Una buena estrategia de seguridad es atender el problema a travĆ©s de procesos, personas y tecnologĆa.
En el frente de los procesos, todas las compaƱĆas involucradas en la producciĆ³n de propiedad intelectual deberĆan – en este punto – adherirse a un marco de referencia probado que comprenda totalmente los riesgos en la cadena de suministro.
Eso incluye asegurarse de que la propiedad intelectual digital estĆ” protegida en todo momento, incluso durante la postproducciĆ³n (o quizĆ” deberĆamos decir ESPECIALMENTE durante la postproducciĆ³n, en vista de los recientes incidentes).
Afortunadamente, hay un marco de referencia listo que las compaƱĆas pueden usar sin cargo, gracias al gobierno federal de los Estados Unidos, el cual ha hecho un excelente trabajo en esta Ć”rea llamado NIST Cybersecurity Framework.
La versiĆ³n actual es una gran forma de incursionar en la ciberseguridad de su organizaciĆ³n y, la prĆ³xima versiĆ³n actualmente en borrador, profundiza aĆŗn mĆ”s en la necesidad de mantener la ciberseguridad a lo largo de la cadena de suministro.
Por esa razĆ³n, vale citar al borrador:
āLa prĆ”ctica de comunicar y verificar requerimientos de ciberseguridad entre las partes interesadas es un aspecto de la gestiĆ³n de riesgos de la cadena de suministro cibernĆ©tico (cyber supply chain risk management o SCRM). Un objetivo primario de esta prĆ”ctica es identificar, evaluar y mitigar productos y servicios que puedan contener alguna funcionalidad potencialmente maliciosa, ya sean falsificaciones o vulnerables a raĆz de prĆ”cticas de manufactura y desarrollo pobres dentro de la cadena de suministro cibernĆ©ticoā.
Entonces, ĀæquĆ© implica realmente el SCRM? Volvamos al marco de referencia:
- Determinar los requisitos de ciberseguridad para proveedores y socios de tecnologĆa de la informaciĆ³n (TI) y tecnologĆa operativa (TO).
- Promulgar los requisitos de ciberseguridad mediante acuerdos formales, por ejemplo, contratos.
- Comunicar a los proveedores y socios cĆ³mo se verificarĆ”n y validarĆ”n esos requisitos de ciberseguridad.
- Verificar que los requisitos de ciberseguridad se cumplan a travĆ©s de una variedad de metodologĆas de evaluaciĆ³n.
- Administrar y gestionar las actividades mencionadas.
Para resumir: necesitas verificar que tienes compromisos obligatorios de parte de todas las entidades que tocan tu proyecto de propiedad intelectual digital, atestiguando que tengan un conjunto completo de defensas de ciberseguridad implementadas.
AdemƔs, todas las partes deben saber que te reservas el derecho de auditar esos compromisos.
Algunos ejemplos concretos serĆ”n de utilidad asĆ que considera estos Ćtems como una forma estĆ”ndar de evaluaciĆ³n, usada para analizar a un potencial vendedor o proveedor – como una empresa de postproducciĆ³n – cuando solicita acceso a tus sistemas para trabajar con su contenido:
- ĀæTiene este tercero un programa de seguridad de la informaciĆ³n apropiado y actualizado, con polĆticas, estĆ”ndares y procesos documentados?
- ĀæEmplea este tercero mecanismos de seguridad fĆsica para asegurarse de que solo quienes estĆ”n autorizados tienen acceso a Ć”reas sensibles que contienen activos de informaciĆ³n?
- ĀæRecibieron sus empleados capacitaciĆ³n respecto a quĆ© informaciĆ³n pueden o no transmitir vĆa email?
- ĀæTiene el vendedor polĆticas que definan el control y administraciĆ³n del acceso?
- ĀæLa capacidad del proveedor de otorgar autorizaciones a usuarios le permite a los administradores agruparlos en roles y definir permisos especĆficos para cada funciĆ³n basĆ”ndose en el privilegio mĆnimo?
- ĀæQuiĆ©n es responsable de otorgar acceso a recursos del sistema de TI?
- ĀæSe les permite a sus trabajadores compartir credenciales de login?
- ĀæCada cuĆ”nto se revisan los privilegios de acceso de usuarios para ver si son apropiados?
Si no tienes la respuesta a esas y otras preguntas parecidas por parte de cada uno de sus proveedores, no estĆ” alcanzando el estĆ”ndar razonable de protecciĆ³n de su propiedad intelectual.
En otras palabras, si algo de su propiedad intelectual desaparece, le criticarĆ”n por no haber cumplido los requerimientos mĆnimos de seguridad.
Las personas y la tecnologĆa
No voy a entrar demasiado en detalles acerca de las partes āpersonasā y ātecnologĆaā de la triada procesos/personas/tecnologĆa de este artĆculo.
Es suficiente con decir que la parte de las personas implica asegurarse de que los empleados son dignos de confianza y estƔn bien entrenados en seguridad.
Una de las mayores fallas de las compaƱĆas es la falta de preparaciĆ³n para cuando ocurre un incidente.
Es particularmente importante enseƱarles cĆ³mo evadir ataques de ingenierĆa social, ya sea aquellos que llegan en correos engaƱosos como aquellos que aparecen en persona, por ejemplo, alguien que se hace pasar por personal de una compaƱĆa de servicios pĆŗblicos.
Afortunadamente, hay algunos excelentes recursos gratuitos que puedes usar para empezar un plan de educaciĆ³n sobre ciberseguridad.
AsĆ, las empresas pueden usar nuestra guĆa gratuita del empleado seguro, una gran opciĆ³n para comprender los riesgos y cĆ³mo afrontarlos, de manera tal que todo el personal sepa su rol en la protecciĆ³n de la informaciĆ³n corporativa.
TambiĆ©n se debe incluir una dosis saludable de cifrado (cifrar todo lo de valor, ya sea que estĆ© en trĆ”nsito o no), y autenticaciĆ³n de mĆŗltiple factor, lo cual le permite asegurarse de que todos los accesos a los sistemas que procesan propiedad intelectual valiosa estĆ”n identificados, registrados y monitoreados.
El acceso a activos digitales deberĆa ser revocado de inmediato cuando los empleados renuncian o son despedidos, asĆ como cuando terminan sus contratos.
AsegĆŗrese de que haya protecciĆ³n contra cĆ³digo malicioso en todos los servidores, asĆ como en los puestos de trabajo, laptops y dispositivos mĆ³viles.
Los servidores a menudo se descuidan, aunque podrĆan ser remotamente accesibles. De hecho, actualmente existe un mercado negro que estĆ” creciendo en el cual se ofrecen credenciales que se pueden comprar o alquilar para obtener el acceso remoto a un servidor.
TambiĆ©n debes asegurarte de que, si se desactiva la protecciĆ³n antimalware, se emita un alerta, ya que esto es precisamente lo primero que intentan hacer los intrusos.
La Ćŗltima lĆnea de defensa contra el robo y la extorsiĆ³n es contar con copias digitales de todos los activos, las cuales deben estar bien resguardadas en ubicaciones separadas.
Un rƩgimen de backup robusto y revisado a menudo es esencial.
Y este rĆ©gimen debe abarcar todos los activos. Demasiado seguido escuchamos a compaƱĆas decir āsĆ que tenĆamos un programa de backup implementado, pero habĆa un conjunto de archivos que no estaba incluidoā.
Adivina quiĆ©nes estĆ”n exigiendo el pago de un rescate ahoraā¦
Cuando los escenarios posibles se hacen realidad
Una de las mayores fallas de las compaƱĆas de todos los tamaƱos es la falta de preparaciĆ³n adecuada para cuando ocurre un incidente. Incluso cuando tienes las tecnologĆas defensivas adecuadas, los procesos documentados y tu personal estĆ” capacitado, puede producirse una brecha.
Cuando ocurre, necesita activar tu plan de respuesta a incidentes. Personal previamente asignado deberƔ contactar de inmediato a las personas del departamento legal y a las autoridades, contactos que tambiƩn deberƔn ser previamente asignados.
Si todavĆa no lo hiciste, hazlo ahora, antes de que haya un (ciber) crimen que reportar. Conozca las autoridades locales, a los organismos gubernamentales encargados de investigaciĆ³n de ciberdelitos y a especialistas en seguridad que puedan ayudarte.
Algunas compaƱĆas no reportan cibercrĆmenes porque creen que āprobablemente las autoridades no harĆ”n nadaā. En mi opiniĆ³n, eso es un error. Tu reporte podrĆa ser el eslabĆ³n que falta en una cadena de crĆmenes que ya estĆ”n investigando y de la que tĆŗ no sabĆas nada. AdemĆ”s, la ley no puede hacer mĆ”s contra el cibercrimen si las personas no le reportan los casos.
Las agencias de aplicaciĆ³n de la ley de hoy en dĆa son sensibles a la confidencialidad de los datos y a las preocupaciones comerciales, asĆ que trabajarĆ”n contigo sin interrumpir tu operaciĆ³n.
Lo que no deberĆas hacer es pagar para recuperar la propiedad intelectual que te quitaron.
Pagar el rescate solo alienta a los criminales a intentarlo de vuelta contigo o con otra compaƱĆa.
Si alguien ha clonado un activo digital y quiere dinero para no hacerlo pĆŗblico, mantĆ©ngase firme.
Si lo publican, eso le darĆ” a las autoridades mĆ”s pistas para identificar a los atacantes. Si te afectĆ³ un ransomware que cifrĆ³ tus archivos y exigiĆ³ un rescate, ten en cuenta que pagarlo no es garantĆa de que los recuperes.
Claramente, la industria del entretenimiento no estĆ” exenta de la atenciĆ³n de los cibercriminales, que estĆ”n explorando formas de explotar su creciente dependencia cibernĆ©tica.
El momento para chequear tus defensas es ahora, no despuƩs.
