A medida que muchas empresas de diversos sectores introducen dispositivos IoT y los conectan a internet, aumenta el riesgo de que estos se conviertan en blanco de ciberataques. La seguridad de la información cobra cada vez más importancia, pero existe una diferencia de conocimiento sobre este tema entre Japón y el resto del mundo. Sato Shunsuke, de la División de Innovación de la Información de Dai Nippon Printing Co., Ltd. (DNP), es un consultor de seguridad que trabaja desde la perspectiva del sector manufacturero y busca reducir esta brecha.
Ganarse la confianza de las compañías internacionales de tarjetas de crédito
Sato, quien está a cargo de la planificación y el desarrollo en la División de Información y Comunicaciones y es el líder del equipo de consultoría de seguridad, cree que el establecimiento por parte del Grupo DNP de un sistema para responder continuamente a las estrictas auditorías de fábrica de las marcas internacionales de tarjetas de crédito ha elevado el sistema de seguridad de la "fábrica de tarjetas" a un nivel de clase mundial.
DNP comenzó a desarrollar tarjetas IC en la década de 1980 y, desde entonces, ha alcanzado la mayor cuota de mercado en Japón en la fabricación y emisión de tarjetas IC, que requieren un alto nivel de seguridad para el manejo de información personal. Como parte de este negocio, la empresa debe someterse a auditorías anuales de certificación por parte de compañías internacionales de tarjetas de crédito. Esto exige un estricto cumplimiento no solo de los aspectos físicos de los sistemas de fábrica, como la instalación de cámaras de seguridad y restricciones de acceso, sino también de los aspectos lógicos, como las medidas de protección contra ciberataques.
Activo como consultor de seguridad en una variedad de industrias.
Sato ha servido de puente entre el personal de fábrica y la transmisión de estrictos requisitos, traduciendo al japonés las especificaciones de seguridad establecidas por compañías internacionales de tarjetas de crédito y actuando como intérprete durante las auditorías. Las múltiples plantas de fabricación de tarjetas de crédito de DNP cuentan con áreas de alta seguridad bajo estrictas medidas de seguridad a las que solo puede acceder un selecto personal. Sato cuenta con una amplia experiencia laboral respondiendo a auditorías realizadas por compañías de tarjetas en estas áreas. Gracias a esta valiosa experiencia, se convirtió en el primer japonés en obtener la certificación de Asesor de Seguridad Interna (ISA) del Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago (PCI SSC). Actualmente trabaja como consultor de seguridad para diversos sectores, incluyendo el automotriz y el financiero.
"A medida que los dispositivos IoT se introducen en diversas industrias y se conectan a Internet, los ciberataques dirigidos a estos dispositivos evolucionan y aumentan cada día, pero la realidad es que muchas empresas japonesas se están quedando atrás en su respuesta", afirma Sato, quien afirma que la conciencia de la seguridad de la información en Japón es insuficiente y está ampliando el alcance de sus propias actividades.
Entre la teoría del bien y del mal en la naturaleza humana
En 2008, las compañías internacionales de tarjetas de crédito reforzaron significativamente los requisitos lógicos para las medidas contra ciberataques en las fábricas que producen y emiten tarjetas. Las medidas de seguridad en Occidente se basan en la idea de "confianza cero", que sostiene que no se puede confiar en nada, una especie de teoría maligna. El DNP ya contaba con un sistema de seguridad de alto nivel, pero se exigían estándares aún más altos.
Además de las normas implementadas actualmente por muchas empresas, como las pruebas de penetración periódicas y las evaluaciones de vulnerabilidad, las nuevas regulaciones también incluían otras condiciones como "sobrescribir y borrar memorias USB varias veces después de su uso" y "eliminar software en dispositivos Windows que no sea necesario para el trabajo". Muchas de las normas también presuponen una actitud negativa hacia los empleados, como "desactivar o eliminar los permisos otorgados a los empleados antes de su fecha de jubilación" y "revisar periódicamente las redes inalámbricas, incluso si los dispositivos inalámbricos no están en uso". Al ser una empresa japonesa que opera bajo el principio de la "bondad de la naturaleza humana", hubo cierta resistencia en el entorno laboral, con la pregunta: "¿De verdad tenemos que llegar tan lejos?".
La fotografía es sólo para fines ilustrativos.
Capacidades de respuesta en el sitio del DNP
Sin embargo, la capacidad de respuesta in situ de DNP es alta. Cuando los auditores de las compañías de tarjetas explican las razones de los estándares en las especificaciones, el personal in situ a veces diseña medidas de seguridad más económicas que, aun así, cumplen los objetivos, impresionando a los auditores. "También logramos cambiar significativamente la concienciación de los empleados que trabajan en las fábricas, y las medidas de seguridad de DNP ahora alcanzan estándares mundiales", afirma Sato.
Como medida económica, por ejemplo, en la planta de DNP Ushiku, en la prefectura de Ibaraki, los empleados saludan intencionadamente a los visitantes externos, lo que garantiza que muchos empleados sepan dónde se encuentran los forasteros dentro de la planta. "Es una medida de seguridad eficaz y no causa ninguna molestia a los visitantes", afirma el Sr.
"Al adoptar rápidamente las últimas ideas de seguridad del extranjero, el DNP pudo fortalecer aún más su sistema de seguridad", afirma Sato, pero no fue hasta 2014 que se convenció de que este conocimiento también podía aplicarse a la consultoría.
Siguiendo con la industria financiera, difundiremos este conocimiento a otras industrias.
En abril de 2014, Sato elaboró un informe analítico sobre un incidente de fuga de información ocurrido en un importante minorista estadounidense a finales de 2013. Creía que ya se habían preparado informes similares, pero cuando explicó los resultados de su análisis a un ejecutivo de una compañía de tarjetas de crédito, recibió elogios por su "análisis oportuno e innovador", lo que impulsó al DNP a realizar un diagnóstico de vulnerabilidades de seguridad para la empresa.
Al año siguiente, en 2015, comenzó a trabajar en proyectos en sectores ajenos al financiero, participando como observador en un proyecto para un importante fabricante de componentes automotrices. En aquel entonces, la industria automotriz se enfrentaba a la llegada de la era del IoT, y el fortalecimiento de los sistemas de seguridad, en particular la gestión de llaves electrónicas (llaves digitales) para ordenadores de a bordo, se estaba convirtiendo en un problema. DNP cuenta con una amplia experiencia en gestión de llaves, adquirida durante muchos años en la fabricación y emisión de tarjetas de crédito. «Pudimos desarrollar proyectos para importantes empresas globales no solo porque combinamos nuestras fortalezas como equipo de proyecto, sino también porque, como empresa del mismo sector manufacturero, DNP conocía a fondo las circunstancias de la planta de fabricación, incluyendo las limitaciones de la gestión de una fábrica y la forma en que los empleados abordan su trabajo».
La brecha entre Japón y el resto del mundo en seguridad de la información
Hasta ahora, no creo que haya habido mucha concienciación sobre la seguridad de la información en la industria manufacturera japonesa. Sin embargo, con el avance del IoT y CASE*1, y la introducción de la robótica en las fábricas, la industria manufacturera no tiene más opción que conectar sus dispositivos a internet, lo que ha generado la necesidad de reforzar las medidas de ciberseguridad. Sin embargo, a diferencia del sector financiero, que requiere niveles de seguridad extremadamente altos como actividad principal, Sato afirma que es difícil para la industria manufacturera implementar de inmediato un sistema de seguridad similar. "Si propusiéramos la introducción inmediata del máximo nivel de medidas de seguridad a sectores distintos del financiero, sufrirían el 'mal de altura', con falta de aire y sus actividades se paralizarían. Debemos proponer la introducción de medidas de seguridad por etapas, sin excedernos, teniendo en cuenta los métodos operativos y los costes óptimos".
Comunicar medidas de seguridad avanzadas de todo el mundo
Comunicar ejemplos innovadores de medidas de seguridad de todo el mundo también es una función importante de un consultor. Cuando imparte conferencias en seminarios, recibe muchas preguntas sobre ciberataques a nivel mundial. Para responder a estas preguntas, es fundamental contar siempre con la información más reciente. Sato tiene guardados en su smartphone decenas de sitios web de información sobre seguridad de todo el mundo y se dedica a recopilar información en su tiempo libre, como durante su viaje al trabajo.
- CASE: Acrónimo de Conectado, Autónomo/Automatizado, Compartido y Eléctrico, que se refiere a la innovación tecnológica en la industria automotriz.
Demanda creciente debido al incremento y sofisticación de los ciberataques
A medida que los ciberataques se vuelven más sofisticados y aumenta su número, se prevé que la demanda de los servicios de consultoría de seguridad que ofrecen Sato y otras empresas seguirá creciendo. «DNP fue una de las primeras empresas en adoptar la idea de confianza cero, y creemos que su sólido conocimiento será un activo valioso para las empresas japonesas».
Áreas en las que será necesario reforzar la seguridad en Japón en el futuro
Sato cree que, en el futuro, Japón necesitará reforzar la seguridad no solo en los sectores financiero y automotriz, sino también en el médico en particular. Esto se debe a que, aunque no son tan evidentes en Japón, las brechas de seguridad en el sector médico son frecuentes en el extranjero. Sato planea centrarse en la capacitación de la próxima generación de empleados dentro de la empresa, a la vez que aborda el creciente campo de la atención médica.
Como sus días están llenos de trabajo, le gusta relajarse jugando Pokémon GO con su familia los fines de semana. Camina por su casa, busca Pokémon y los reta a combates. Además, es un buen ejercicio que lo ayuda a mantenerse sano.
- Fecha de lanzamiento: 10 de junio de 2020
- Tenga en cuenta que los detalles como los nombres de los departamentos y las especificaciones del producto son precisos en el momento de la entrevista y pueden estar sujetos a cambios sin previo aviso.
10 de junio de 2020 por el Departamento Editorial de Discover DNP
Lecturas relacionadas
Información sobre este artículo
Artículos del sitio
-
Comunicado de prensa: Japan Card Network y EMV 3-D Secure, un servicio de autenticación de identidad que mejora la seguridad de los pagos con tarjeta de crédito en línea, comienzan a ofrecerse a gran escala a las compañías de tarjetas.
-
Comunicado de prensa: Dai Nippon Printing, Mitsubishi UFJ NICOS, JCB y EPOS Card comienzan a usar conjuntamente la información de los dispositivos mediante la autenticación basada en riesgos para prevenir pagos fraudulentos con tarjetas de crédito.
-
Columna de Negocios: Considerando los riesgos de las nuevas formas de trabajar con y después de la COVID-19, Parte 1: "Las conexiones remotas están en la mira"
