Cómo proteger los edificios inteligentes de los ciberataques
La llegada de los edificios inteligentes y del Internet de las Cosas hace que aumente el riesgo de ataques cibernéticos en el sector inmobiliario.
La llegada de edificios inteligentes hace que aumente el riesgo de ataques cibernéticos en el sector inmobiliario.
Los casos de cyberataques han llegado a la primera página de la actualidad en los últimos meses, poniendo de manifiesto cómo la seguridad de las empresas se ve comprometida a través de elementos cotidianos como el aire acondicionado o los sistemas de videovigilancia. El Internet de las cosas (IoT) está creando más oportunidades para los hackers.
El Phising, el Vishing, los criptovirus y el ransomware – Todas ellas representan amenazas enormes para la seguridad corporativa si no son atajadas adecuadamente y manejados profesionalmente, asegura Chris Zissis, CIO de JLL en EMEA.
“Creo que el cibercrimen cada vez se centrará más en el IoT. El desafío de seguridad para los dispositivos conectados es el mismo que para cualquier tecnología habilitada para la web, como un teléfono inteligente”, dice Zissis.
“Los propietarios y sus inquilinos deben hacer tres cosas: entender el tipo de datos que genera el IoT a mientras monitorizay protege los edificios, determinar qué datos son de valor y apoyarse en proveedores expertos de seguridad para asegurar esos datos”.
Cuando la seguridad se rompe, el impacto económico suele ser alto. En 2015, un estudio de IBM situó la cifra en una media de 4 millones de dólares. Es probable que esta cuantía aumente si la protección de datos se considera inadecuada. Cuando las carteras de propiedad se distribuyen en varios países, los bienes raíces corporativos (CRE) pueden encontrar que tiene que cumplir con múltiples mandatos.
Luego está la responsabilidad regulatoria. Los hackers pueden robar sólo datos financieros, sino que también pueden hacerse con otros tipos de datos, incluida información personal de clientes. En Estados Unidos, por ejemplo, el robo de información médica significa que el propietario del edificio podría enfrentarse a una violación de la Ley HIPAA (Health Insurance Portability and Accountability Act) si uno de sus inquilinos es una clínica de salud o una aseguradora y ve comprometida su seguridad a través de los sistemas del edificio.
“Las leyes se están volviendo mucho más estrictas sobre cómo las compañías protegen la información de sus clientes“, dice Edward Wagoner, Global Chief Information Officer de JLL en EEUU. “En algunos países, datos como el nombre, correo electrónico, número de teléfono y dirección física son considerados información privada y cualquier liberación no autorizada de estos datos es contraria a la ley”.
Sistemas de gestión de edificios
Al igual que la nube, la web o el móvil, el Internet de las Cosas genera una gran cantidad de datos y muchos accesos. Su uso cotidiano en edificios inteligentes supone una mezcla de seguridad técnica y física.
Por ejemplo, los sistemas de control de aire acondicionado y calefacción, el circuito cerrado de vigilancia o las alarmas de incendio pueden ser vulnerables puntos de acceso a datos e información sensible. Y viceversa, el correo electrónico o los teléfonos móviles pueden infiltrarse en la programación de los sistemas de bloqueo e iluminación de un edificio.
Además, cuando los hackers atacan múltiples sistemas interconectados a través de varias propiedades, pueden obtener acceso a una gran cantidad de ubicaciones y datos.
“El Real Estate Corporativo debe ser consciente de que la seguridad cibernética no es sólo un problema para el departamento de TI“, añade Zissis. “No se trata sólo de salvaguardar el ‘perímetro’, como yo lo llamo. Todo el mundo debe ser responsable de la seguridad cibernética. La forma en que las personas utilizan la tecnología, administran edificios y gestionan carteras de inversión afecta directamente los niveles de riesgo para las empresas“.
Las causas detrás de los riesgos
Las causas de una ciberataque muchas veces tienen que ver con una falta de educación y diligencia. Por ejemplo, los administradores de instalaciones rara vez tienen una formación tecnológica. A menudo, los sistemas han sido diseñados y mantenidos bajo contratos comerciales sin que la ciberseguridad sea una de las principales consideraciones.
Es habitual también que proveedores y productos no sean evaluados desde un punto de vista de riesgo tecnológico. Los propietarios no suelen examinar completamente los contratos de sistemas de gestión de edificios para comprobar quién puede acceder a los datos generados, lo que podría dar lugar a infracciones de datos que contravengan los acuerdos comerciales con los inquilinos. En lugar de ello, la funcionalidad técnica suele considerarse el criterio más importante.
Zissis cree que las compañías inmobiliarias y sus CIO necesitan poner en marcha campañas masivas de educación. “La reacción y la velocidad de reacción a cualquier violación de seguridad es realmente importante. Es necesario ser consciente de antemano”, dice.
“La gente necesita ser capaz de interpretar señales reveladoras de que algo puede estar equivocado e inmediatamente cerrar las vías de entrada. Esto se aplica tanto a teléfonos móviles como a IoT de la misma manera “.
