1

Disney, Johnny Depp y la gestión de riesgos cuando se roba propiedad intelectual

Veamos algunas recomendaciones que pueden ayudar a prevenir futuros robos de propiedad intelectual de alto valor para su organización.

Por Stephen Cobb
Senior Security Researcher de ESET

Como investigador de seguridad, no tengo muchas oportunidades de usar nombres de Hollywood como Disney o Johnny Depp.

Sin embargo, los lectores atentos de WeLiveSecurity habrán notado la colisión del cibercrimen con Hollywood en uno de los incidentes del mes pasado: “Cibercriminales roban una película de Disney todavía no estrenada”.

No comenté sobre el caso en ese entonces, porque WannaCryptor todavía se estaba llevando toda la atención y los titulares, pero me gustaría dar algunas recomendaciones que pueden ayudar a prevenir futuros robos de propiedad intelectual de alto valor.

Las películas y programas de televisión multimillonarios son ahora un blanco de los atacantes

Claramente, las películas y programas de televisión multimillonarios, como “Orange is the New Black”, son ahora un blanco de los atacantes digitales. Los hackers de sombrero negro… en otras palabras, los cibercriminales.

Acabamos de enterarnos de otro ejemplo: un joven de 21 años fue detenido por el FBI, acusado de violar el derecho a la propiedad intelectual por haber publicado la película “Deadpool” en su página de Facebook una semana después de su estreno oficial, en febrero de 2016.

Mi teoría es que estos saqueadores de propiedad intelectual están tratando de encontrar el mejor modelo de negocio con el cual monetizar su habilidad para hacerse con copias pre-lanzamiento de grandes producciones.

Por lo tanto, todos los estudios y compañías productoras de programas y películas necesitan pensar en qué pueden hacer para proteger sus activos digitales, no solo en sus oficinas, sino en cualquier otro lugar al que esos activos viajen durante el proceso de producción.

Marco de referencia y proceso

Una buena estrategia de seguridad es atender el problema a través de procesos, personas y tecnología.
En el frente de los procesos, todas las compañías involucradas en la producción de propiedad intelectual deberían – en este punto – adherirse a un marco de referencia probado que comprenda totalmente los riesgos en la cadena de suministro.

Eso incluye asegurarse de que la propiedad intelectual digital está protegida en todo momento, incluso durante la postproducción (o quizá deberíamos decir ESPECIALMENTE durante la postproducción, en vista de los recientes incidentes).

Afortunadamente, hay un marco de referencia listo que las compañías pueden usar sin cargo, gracias al gobierno federal de los Estados Unidos, el cual ha hecho un excelente trabajo en esta área llamado NIST Cybersecurity Framework.

La versión actual es una gran forma de incursionar en la ciberseguridad de su organización y, la próxima versión actualmente en borrador, profundiza aún más en la necesidad de mantener la ciberseguridad a lo largo de la cadena de suministro.

Por esa razón, vale citar al borrador:

“La práctica de comunicar y verificar requerimientos de ciberseguridad entre las partes interesadas es un aspecto de la gestión de riesgos de la cadena de suministro cibernético (cyber supply chain risk management o SCRM). Un objetivo primario de esta práctica es identificar, evaluar y mitigar productos y servicios que puedan contener alguna funcionalidad potencialmente maliciosa, ya sean falsificaciones o vulnerables a raíz de prácticas de manufactura y desarrollo pobres dentro de la cadena de suministro cibernético”.

Entonces, ¿qué implica realmente el SCRM? Volvamos al marco de referencia:

  • Determinar los requisitos de ciberseguridad para proveedores y socios de tecnología de la información (TI) y tecnología operativa (TO).
  • Promulgar los requisitos de ciberseguridad mediante acuerdos formales, por ejemplo, contratos.
  • Comunicar a los proveedores y socios cómo se verificarán y validarán esos requisitos de ciberseguridad.
  • Verificar que los requisitos de ciberseguridad se cumplan a través de una variedad de metodologías de evaluación.
  • Administrar y gestionar las actividades mencionadas.

Para resumir: necesitas verificar que tienes compromisos obligatorios de parte de todas las entidades que tocan tu proyecto de propiedad intelectual digital, atestiguando que tengan un conjunto completo de defensas de ciberseguridad implementadas.

Además, todas las partes deben saber que te reservas el derecho de auditar esos compromisos.

Algunos ejemplos concretos serán de utilidad así que considera estos ítems como una forma estándar de evaluación, usada para analizar a un potencial vendedor o proveedor – como una empresa de postproducción – cuando solicita acceso a tus sistemas para trabajar con su contenido:

  • ¿Tiene este tercero un programa de seguridad de la información apropiado y actualizado, con políticas, estándares y procesos documentados?
  • ¿Emplea este tercero mecanismos de seguridad física para asegurarse de que solo quienes están autorizados tienen acceso a áreas sensibles que contienen activos de información?
  • ¿Recibieron sus empleados capacitación respecto a qué información pueden o no transmitir vía email?
  • ¿Tiene el vendedor políticas que definan el control y administración del acceso?
  • ¿La capacidad del proveedor de otorgar autorizaciones a usuarios le permite a los administradores agruparlos en roles y definir permisos específicos para cada función basándose en el privilegio mínimo?
  • ¿Quién es responsable de otorgar acceso a recursos del sistema de TI?
  • ¿Se les permite a sus trabajadores compartir credenciales de login?
  • ¿Cada cuánto se revisan los privilegios de acceso de usuarios para ver si son apropiados?

Si no tienes la respuesta a esas y otras preguntas parecidas por parte de cada uno de sus proveedores, no está alcanzando el estándar razonable de protección de su propiedad intelectual.

En otras palabras, si algo de su propiedad intelectual desaparece, le criticarán por no haber cumplido los requerimientos mínimos de seguridad.

Las personas y la tecnología

No voy a entrar demasiado en detalles acerca de las partes “personas” y “tecnología” de la triada procesos/personas/tecnología de este artículo.

Es suficiente con decir que la parte de las personas implica asegurarse de que los empleados son dignos de confianza y están bien entrenados en seguridad.

Una de las mayores fallas de las compañías es la falta de preparación para cuando ocurre un incidente.

Es particularmente importante enseñarles cómo evadir ataques de ingeniería social, ya sea aquellos que llegan en correos engañosos como aquellos que aparecen en persona, por ejemplo, alguien que se hace pasar por personal de una compañía de servicios públicos.

Afortunadamente, hay algunos excelentes recursos gratuitos que puedes usar para empezar un plan de educación sobre ciberseguridad.

Así, las empresas pueden usar nuestra guía gratuita del empleado seguro, una gran opción para comprender los riesgos y cómo afrontarlos, de manera tal que todo el personal sepa su rol en la protección de la información corporativa.

También se debe incluir una dosis saludable de cifrado (cifrar todo lo de valor, ya sea que esté en tránsito o no), y autenticación de múltiple factor, lo cual le permite asegurarse de que todos los accesos a los sistemas que procesan propiedad intelectual valiosa están identificados, registrados y monitoreados.

El acceso a activos digitales debería ser revocado de inmediato cuando los empleados renuncian o son despedidos, así como cuando terminan sus contratos.

Asegúrese de que haya protección contra código malicioso en todos los servidores, así como en los puestos de trabajo, laptops y dispositivos móviles.

Los servidores a menudo se descuidan, aunque podrían ser remotamente accesibles. De hecho, actualmente existe un mercado negro que está creciendo en el cual se ofrecen credenciales que se pueden comprar o alquilar para obtener el acceso remoto a un servidor.

También debes asegurarte de que, si se desactiva la protección antimalware, se emita un alerta, ya que esto es precisamente lo primero que intentan hacer los intrusos.

La última línea de defensa contra el robo y la extorsión es contar con copias digitales de todos los activos, las cuales deben estar bien resguardadas en ubicaciones separadas.

Un régimen de backup robusto y revisado a menudo es esencial.

Y este régimen debe abarcar todos los activos. Demasiado seguido escuchamos a compañías decir “sí que teníamos un programa de backup implementado, pero había un conjunto de archivos que no estaba incluido”.

Adivina quiénes están exigiendo el pago de un rescate ahora…

Cuando los escenarios posibles se hacen realidad

Una de las mayores fallas de las compañías de todos los tamaños es la falta de preparación adecuada para cuando ocurre un incidente. Incluso cuando tienes las tecnologías defensivas adecuadas, los procesos documentados y tu personal está capacitado, puede producirse una brecha.

Cuando ocurre, necesita activar tu plan de respuesta a incidentes. Personal previamente asignado deberá contactar de inmediato a las personas del departamento legal y a las autoridades, contactos que también deberán ser previamente asignados.

Si todavía no lo hiciste, hazlo ahora, antes de que haya un (ciber) crimen que reportar. Conozca las autoridades locales, a los organismos gubernamentales encargados de investigación de ciberdelitos y a especialistas en seguridad que puedan ayudarte.

Algunas compañías no reportan cibercrímenes porque creen que “probablemente las autoridades no harán nada”. En mi opinión, eso es un error. Tu reporte podría ser el eslabón que falta en una cadena de crímenes que ya están investigando y de la que tú no sabías nada. Además, la ley no puede hacer más contra el cibercrimen si las personas no le reportan los casos.

Las agencias de aplicación de la ley de hoy en día son sensibles a la confidencialidad de los datos y a las preocupaciones comerciales, así que trabajarán contigo sin interrumpir tu operación.

Lo que no deberías hacer es pagar para recuperar la propiedad intelectual que te quitaron.

Pagar el rescate solo alienta a los criminales a intentarlo de vuelta contigo o con otra compañía.

Si alguien ha clonado un activo digital y quiere dinero para no hacerlo público, manténgase firme.

Si lo publican, eso le dará a las autoridades más pistas para identificar a los atacantes. Si te afectó un ransomware que cifró tus archivos y exigió un rescate, ten en cuenta que pagarlo no es garantía de que los recuperes.

Claramente, la industria del entretenimiento no está exenta de la atención de los cibercriminales, que están explorando formas de explotar su creciente dependencia cibernética.

El momento para chequear tus defensas es ahora, no después.