El número relativamente bajo de estaciones de carga «violadas» en todo el mundo hasta la fecha no debe disminuir la atención sobre el tema de la ciberseguridad de estos dispositivos. Al igual que cualquier otro dispositivo conectado a la red, la estación de carga también puede ser una puerta de acceso para posibles ataques y amenazas. En riesgo no solo está el usuario final, sino también todos los actores potenciales involucrados en el proceso, como el fabricante de la estación de carga y el fabricante de vehículos eléctricos. La mitigación de estos riesgos es uno de los principales objetivos del diseño de Dazebox y la colaboración entre Daze y Graftholders.
Este proceso de diseño se basa en los principales estándares y marcos de ciberseguridad como ISA IEC 62443, ISO 27001 y SP 800-53 publicado por el NIST (Instituto Nacional de Normas y Tecnología) junto con el Marco de Ciberseguridad y las directrices NISTIR 8228 que abordan la seguridad para dispositivos IoT.
Estos marcos, además de dominar la tecnología, requieren un enfoque sistemático y estructurado centrado en la gestión del riesgo desde el principio del diseño (seguridad por diseño), que simplifica y optimiza actividades posteriores como la gestión de vulnerabilidades, la gestión de accesos, la protección de datos y la detección de incidentes. Además, la seguridad por diseño permite abordar los desafíos de seguridad en un contexto menos intensivo en recursos gracias a la optimización de los procesos de desarrollo del producto. Con el objetivo de desarrollar un producto seguro, se desarrolla un producto que se adhiere mejor a las expectativas y necesidades del cliente.
Para aplicar eficazmente estos estándares complejos, Daze también cuenta con un socio calificado, Graftholders, cuya misión es el desarrollo de sistemas integrados/IoT seguros.
¿Cómo surgió la colaboración entre Daze y Graftholders?
Federico: Hace aproximadamente dos años y medio, Daze era una pequeña startup que comenzaba a crecer y, en particular, necesitaba expandir su equipo técnico. Como jefe del departamento, tuve que empezar a evaluar colaboraciones que nos permitieran aumentar nuestra velocidad de desarrollo y diseño. Graftholders vino a nosotros precisamente con este propósito: para apoyarnos en actividades de desarrollo de software. Tuvimos el placer de conocer a Vincenzo y comenzar a colaborar con ellos. En ese momento, solo uno de sus recursos era suficiente para nuestra colaboración, pero hoy, los miembros del equipo de Graftholders que trabajan con nosotros a diario han aumentado a 5. Además del desarrollo de software, Graftholders nos está ayudando especialmente con la ciberseguridad, un tema que se vuelve cada vez más importante en Daze a medida que crecen el horizonte y la ambición de nuestros proyectos y colaboraciones con grandes empresas. En este caso, no solo estamos hablando de protocolos de seguridad para nuestro software, sino también, y sobre todo, de las mejores prácticas que deben adoptarse principalmente por nuestro departamento técnico y luego por toda la empresa.
¿Cuáles son los principales desafíos a enfrentar/abordados?
Federico: Sin duda, el desafío más importante que se perfila en el horizonte para Daze es internalizar e implementar todas las mejores prácticas de seguridad no solo en el equipo técnico, sino en todas las áreas y procesos de la empresa, incluidas las relaciones con terceros. Sobre todo, es importante que estos procesos se implementen sin ralentizar nuestra velocidad de desarrollo y diseño, una operación muy delicada.
Vincenzo: Confirmo, trabajar en ciberseguridad es un compromiso constante. Creo que la perfección es enemiga del bien, se debe aprovechar al máximo los recursos disponibles para hacer que los procesos sean livianos y no pesados. La ciberseguridad, abordada por una startup o una multinacional, es diferente. Al cambiar la escala del equipo, la superficie de ataque de los sistemas involucrados y la disponibilidad de recursos económicos y humanos, la estrategia adoptada también debe ser personalizada.
¿Hay proyectos para el futuro?
Federico: Sin duda seguiremos colaborando en el desarrollo de software. Luego, se planean numerosos cursos de ciberseguridad para el equipo de desarrollo y, en general, para todo el equipo de Daze, como mencionamos anteriormente.
Vincenzo: Nos comprometemos a prestar especial atención a la formación de la dirección de la empresa, enfatizando la importancia de que los procesos fundamentales para la ciberseguridad sean adoptados por la dirección antes que por el personal operativo. La ciberseguridad es un proceso de mejora continua, destinado a mantener a la organización siempre un paso adelante de los atacantes. Así como para estar por delante de los competidores es esencial tener tanto técnicos calificados como una dirección competente, lo mismo se aplica para estar por delante de los atacantes. El «shift left» representa la anticipación de la seguridad, colocándola como una prioridad en las etapas iniciales de cada proceso. Al igual que un producto exitoso se concibe para satisfacer las necesidades del cliente desde su concepción, un producto seguro está diseñado directamente para contrarrestar a los atacantes. Este es el concepto de «seguridad por diseño».
¿Por qué es importante educar a todos sobre la ciberseguridad?
Vincenzo: Educar a cada individuo dentro de una organización sobre ciberseguridad es fundamental para proteger todo el sistema de posibles amenazas. Este principio se basa en la conciencia de que, al igual que una cadena se rompe en su eslabón más débil, la seguridad de una organización puede verse comprometida por un solo error o distracción.
Se dice que un vampiro no puede cruzar una puerta a menos que sea invitado, así que los ataques de phishing aprovechan un principio similar en el mundo digital: no pueden infiltrarse en nuestros sistemas sin una acción, por ingenua que sea, de nuestra parte. Esto puede ocurrir cuando, engañados por mensajes fraudulentos, proporcionamos inadvertidamente nuestras credenciales, permitiendo así que los atacantes accedan.
El Informe de Investigaciones de Violaciones de Datos de Verizon (DBIR) de 2023 revela que el 74% de las violaciones involucran el elemento humano, destacando la importancia de la formación en seguridad para todos los niveles de la organización, desde ejecutivos hasta personal de limpieza. Esta formación tiene como objetivo fortalecer cada eslabón de la cadena, enseñando a reconocer y rechazar los intentos de intrusión de los «atacantes vampiros» que intentan aprovechar nuestra hospitalidad digital involuntaria.
Este compromiso colectivo con la educación y la adopción de prácticas de seguridad eficaces construye una defensa sólida contra las amenazas externas, transformando la organización en una fortaleza impenetrable contra los asaltos de los depredadores digitales.
¿Cuál es el error más común cometido en el trabajo en términos de ciberseguridad?
Vincenzo: El error más común cometido en términos de ciberseguridad no es tanto técnico como estratégico: consiste en no comprender, a nivel directivo, que las habilidades desarrolladas en el ámbito de la ciberseguridad pueden ser una ventaja transversal para la organización. Esta habilidad, a menudo atribuida erróneamente solo a la gestión de amenazas cibernéticas, en realidad se refiere a la capacidad de la empresa para responder rápidamente a estímulos externos, ya sean amenazas de seguridad u oportunidades de mercado.
La implementación correcta de las prácticas de ciberseguridad contribuye a desarrollar una organización más ágil y reactiva. La capacidad para identificar rápidamente problemas e implementar soluciones en poco tiempo es una habilidad fundamental que va más allá de la mera protección contra ataques cibernéticos. Este enfoque proactivo y dinámico para la gestión de riesgos y oportunidades no solo mejora la seguridad, sino también la competitividad y la eficiencia operativa de la empresa.
Por lo tanto, el principal error es subestimar el impacto que una cultura de seguridad bien integrada puede tener en toda la organización, limitando la percepción de la ciberseguridad a una función de soporte en lugar de verla como un componente estratégico esencial que permite a la empresa navegar con éxito en un entorno cada vez más complejo e interconectado.