Cómo proteger tu productora de cine y televisión. Consejos de seguridad.

No es ningún secreto que los ciberataques han aumentado tanto en frecuencia como en gravedad en un gran número de sectores. El informe de IBM sobre el coste de vulneración de datos para 2022 indica que más del 80% de las empresas sufrirán una vulneración de datos.

¿El coste medio de una vulneración de datos para una empresa estadounidense según ese mismo informe? 9,44 millones de dólares.

Y la industria de los medios de comunicación no es una excepción. Primero fue el hackeo de Sony Pictures en 2014. Luego, Netflix y HBO se vieron afectados en 2017. Cox Media Group, que trabaja con las principales cadenas de televisión estadounidenses, como NBC y CBS, y el desarrollador de videojuegos CD Projekt Red sufrieron ataques de ransomware el año pasado.

Cualquier organización que aloje contenido de preestreno y otros activos de valor es un objetivo potencial para las vulneraciones de datos, la filtración de datos, el ransomware y otros ciberataques. Y el coste para la reputación de una productora en caso de que se produzca una vulneración puede ser devastador.

En esta guía te damos algunos consejos y directrices de seguridad para la producción de cine y televisión a tener en cuenta en tu próxima producción.

Seguridad de la producción física

La seguridad de la producción cinematográfica debe incluir elementos de seguridad física comunes en otras instalaciones que albergan propiedad intelectual (PI) valiosa. Suelen ser instalaciones seguras que requieren llaves o tarjetas de identificación para el acceso, cámaras de CCTV y normas estrictas sobre la entrada de hardware externo o dispositivos móviles.

Según la CDSA, los elementos específicos de seguridad de la producción física incluyen:

1. Perímetros seguros

Tu perímetro de seguridad debe tener varios niveles de protección, como cámaras de circuito cerrado de televisión (CCTV), control de acceso automatizado y llaveros/permisos, y procedimientos de visita bien definidos.

En función del nivel de riesgo, puede resultar útil contar con guardias de seguridad, pero éstos deben cumplir los requisitos de seguridad para terceros. Un sistema de detección de intrusiones en el perímetro (PIDS) puede detectar las brechas en el perímetro.

2. Funciones y responsabilidades bien definidas

Aunque todos los empleados deben comprender los procedimientos de seguridad pertinentes a su trabajo mediante la formación de concienciación sobre la seguridad, las instalaciones de producción deben designar un equipo de confianza con las habilidades y conocimientos pertinentes para la seguridad general del contenido.

Cada departamento también debería contar con una persona responsable de la política y los procedimientos de seguridad. Alguien que documente sus funciones y responsabilidades (y las de los demás).

3. Confía, pero verifica (a tus empleados y contratistas)

Comprueba los antecedentes de todos los empleados y contratistas, incluyendo pruebas de identidad, referencias laborales y personales y cualificaciones profesionales.

Las empresas externas también deberían ofrecer garantías contractuales sobre su nivel de formación y sus políticas de seguridad. Asegúrate de subrayar los requisitos de seguridad en los contratos de empleados y terceros.

4. Asegurar las áreas internas

Todas las zonas internas con acceso al entorno de producción y al almacenamiento IP deben estar protegidas físicamente mediante la supervisión y la restricción de acceso. Todos los activos de la oficina de producción, como los guiones, las unidades de disco y las tarjetas de las cámaras, deben estar almacenados de forma segura e, idealmente, vigilados mediante CCTV.

Mantén registros de acceso detallados sobre quién ha accedido a qué medios y cuándo.

5. Dispositivos seguros

Todos los dispositivos personales y móviles (desde teléfonos móviles hasta ordenadores portátiles) deben estar protegidos con contraseñas seguras y software de seguimiento remoto, y guardados bajo llave en una cámara acorazada, caja fuerte o archivador.

Seguridad de la producción en la gestión de activos (quién tiene acceso a qué y cuándo)

La Arquitectura de Seguridad de Datos Comunes (CDSA) enumera las directrices de seguridad de la producción cinematográfica y televisiva relacionadas con los bienes, que se basan en las anteriores para la seguridad de la producción cinematográfica. Entre ellas figuran:

1. Sistemas de gestión de activos

Las instalaciones de producción deben implementar un proceso transparente de gestión de activos que incluya una cadena de custodia de contenidos verificable, junto con un registro para documentar la creación/registro de soportes, su ubicación, movimientos y destrucción.

Toda la destrucción de contenidos y el reciclaje de activos debe documentarse, incluyendo un certificado de destrucción si lo hace un tercero, y debe seguir las prácticas de saneamiento de medios recomendadas del Instituto Nacional de Estándares y Tecnología (NIST) (SP 800-88).

2. Acuerdos de no divulgación (NDA)

Todo el personal de producción y los contratistas deben firmar acuerdos de confidencialidad (NDA) y acuerdos adicionales (si fuera necesario) para no compartir información interna y confidencial con otros. Los acuerdos de confidencialidad deben explicar las consecuencias de compartir información confidencial sin autorización.

Los acuerdos de confidencialidad pueden presentarse al personal y los contratistas potenciales durante la comprobación de sus antecedentes y pueden incorporarse directamente a los contratos de trabajo.

3. Acceso a los medios de comunicación

Todo acceso a cajas fuertes, bóvedas, almacenes y otras áreas de almacenamiento que contengan información sensible (incluyendo servidores en local o almacenamiento en la nube) o el equipo deben estar limitados únicamente al personal autorizado. Además, el personal autorizado debería tener códigos de acceso individuales.

Los códigos deberían cambiarse a medida que las personas cambian de proyecto u organización.

4. Envío de medios

El envío de medios en un disco duro puede ser arriesgado. Nuestra recomendación para propietarios de contenidos es enviar archivos grandes utilizando soluciones seguras para compartir archivos grandes basadas en la nube. Pero si los medios tienen que enviarse físicamente, almacena todo el contenido en unidades encriptadas y protegidas con contraseña dentro de cajas cerradas y embalajes a prueba de manipulaciones.

No pongas la información del proyecto ni los títulos en la etiqueta, y los asegúrate de que los transportistas no pueden acceder a la información.

Los transportistas deberían tener un seguro adecuado y lugares de recogida y entrega bien definidos y controlados.

Seguridad en la producción de datos virtuales (transferencia de archivos, encriptación, almacenamiento en la nube, etc.)

Aunque estas medidas de seguridad física son vitales, la realidad de los flujos de trabajo de medios basados en la nube significa que ahora la seguridad a distancia es tan importante como la seguridad física de tus instalaciones.

Pero conseguir la misma seguridad que consiguen las instalaciones seguras, especialmente cuando se trabaja con empleados, socios o clientes remotos repartidos por todo el mundo y que utilizan diversas aplicaciones y redes Wi-Fi, puede ser difícil.

Para garantizar la seguridad de los flujos de trabajo de producción, se necesitan nuevos enfoques, muchos de los cuales ya se estaban desarrollando antes de la revolución del trabajo a distancia en la industria cinematográfica.

MovieLabs, una organización sin ánimo de lucro fundada por grandes estudios como Disney, Paramount y Warner Bros., identificó seis principios de seguridad para la producción de vídeo moderna dentro de su iniciativa "Visión 2030", incluyendo el concepto de seguridad por diseño.

Los pasos concretos que pueden dar las organizaciones para cumplir estas y otras buenas prácticas de seguridad son:

1. Asegurar los puntos finales y de conexión remotos

Es importante bloquear cualquier punto de acceso remoto a tu sistema, incluso aquellos de los que no seas consciente (todavía). Como editor de películas Jonny Elwyn dice,

"No tiene sentido poner tres cerrojos a todas las puertas si dejas la ventana abierta".

Esto significa garantizar la seguridad de la red Wi-Fi de cada socio o colaborador y utilizar aplicaciones seguras con encriptación, como la tecnología PC sobre IP (PCoIP) de Teradici para la seguridad escritorios virtuales. Las organizaciones también pueden utilizar redes privadas virtuales (VPN) para establecer una conexión segura, aunque hay que tener en cuenta que las VPN tienen varios problemas bien documentados de fallos de seguridad.

Asegurar tus conexiones remotas también significa garantizar que los empleados y colaboradores sean sensibles siempre con lo que comparten en aplicaciones de colaboración remota como Slack o Google Meet.

Cualquier archivo que se comparte mediante métodos basados en IP debe utilizar una solución segura para compartir archivos.

El hardware remoto también debe estar protegido, sobre todo en la era del "trae tu propio dispositivo" (BYOD) y la proliferación de dispositivos personales utilizados para el trabajo a distancia. Puedes mitigar este riesgo mediante una formación en seguridad y asegurándote de que tus colaboradores tienen un software de protección de puntos finales actualizado, o utilizando una infraestructura de escritorio virtual segura.

2. Implementar un marco de seguridad de confianza cero

Los marcos de seguridad de confianza cero evitan los modelos tradicionales de seguridad informática basados en el perímetro, que por defecto confían en todos los usuarios una vez que han entrado en el perímetro. Este enfoque permite a los usuarios acceder sólo a los recursos, aplicaciones o datos que necesitan, y nada más.

Esto significa que, aunque penetren en la primera línea de defensa de un sistema, los atacantes no tienen libertad para deambular y se ven constantemente desafiados (incluso cuando están dentro de tu sistema) si intentan acceder a recursos adicionales.

Las arquitecturas de confianza cero suelen incluir la monitorización automatizada de la red para las alertas de seguridad en tiempo real. También cuentan con autenticación multifactor (MFA) y otros controles de identificación y gestión de acceso, como la autenticación de dispositivos y la verificación constante de todos los sujetos de acceso (ya sea una persona, un dispositivo o una aplicación).

3. Marca de agua, encriptación y seguimiento de tus medios

La marca de agua visible e invisible de cada soporte no es un concepto de seguridad nuevo ni mucho menos, pero sigue siendo útil.

Una marca de agua o huella digital de los archivos puede ser muy útil si alguien roba o filtra tus medios o si necesitas realizar un análisis forense.

También deberías hacer un seguimiento del movimiento de cada activo a través de tus sistemas y los de otros mediante un software de cadena de custodia, que hace un seguimiento de la ubicación de un elemento, de todas las demás ubicaciones en las que ha estado desde su creación/recogida y de cualquier cambio que se le haya hecho por el camino.

Sin una cadena de custodia sólida, es mucho más difícil averiguar qué ha pasado si tus activos se extravían o si personas no autorizadas acceden a ellos.

Por último, asegúrate de que encriptas tus medios tanto en vuelo como en reposo, preferiblemente con un cifrado fuerte, como el Estándar de cifrado avanzado (AES) 256 o la Seguridad de la capa de transporte (TLS).

4. Lleva a cabo una formación regular y continua de concienciación sobre seguridad

Todos los expertos en seguridad informática le dirán que las personas suelen ser el eslabón más débil de la cadena de seguridad informática. Aunque a todos nos guste pensar que no es así, las personas suelen ser susceptibles de sufrir ataques de ingeniería social, como phishing, spear phishing, baiting y scareware.

Por eso, la formación periódica de concienciación sobre la seguridad para conocer las mejores prácticas y educar a los usuarios sobre las amenazas emergentes es una necesidad para cualquier organización. Pero tampoco suele bastar con una sesión de una hora al año. Intenta elegir una solución de concienciación sobre seguridad que incluya formación y pruebas periódicas para colaboradores a lo largo del año.

5. Realizar evaluaciones periódicas y continuas de amenazas

Las evaluaciones de amenazas son una práctica de seguridad informática antigua que nunca ha pasado de moda. Esto se debe a que hacer una evaluación de amenazas ayuda a identificar las brechas en tu seguridad actual antes de que lo hagan otros.

La ejecución periódica y continua de análisis de vulnerabilidades y TA ayuda a garantizar la eficacia de las medidas actuales y a tomar decisiones más informadas en materia de seguridad, gasto y rendimiento.

Los profesionales de los medios de comunicación y el entretenimiento pueden solicitar una evaluación de amenazas de terceros a través de la Asociación Cinematográfica Red de Socios de Confianza (TPN) - MASV lo hizo el año pasado y recibió el estatus Gold Shield, que evalúa su sistema para garantizar que está al día en las mejores prácticas y requisitos de ciberseguridad.

Consideraciones de seguridad para las diferentes etapas de producción (previa, principal y posterior)

Ahora que ya tienes una idea más clara de las diferentes formas de seguridad para la producción de películas, aquí tienes una resumen rápido de cómo se aplica a las diferentes etapas de la producción:

Preproducción

• Evalúa los riesgos asociados a los lugares de rodaje. Por ejemplo, ¿vas a rodar en un espacio público grande? ¿Pueden los transeúntes grabar tu producción?
• Comprueba los antecedentes del personal y busca proveedores con las medidas de seguridad y/o certificaciones adecuadas.
• Utiliza herramientas seguras y encriptadas en la nube cuando compartas/revises activos (guiones gráficos, material de previsión, etc.)
• Gestiona los permisos y el seguimiento de los activos compartidos con frecuencia, como los guiones, y añade marcas de agua para crear una cadena de custodia.

Producción

• Contrata a personal de seguridad para que dirija el flujo de tráfico entre las personas que están en el plató, instala circuitos cerrados de televisión y fobs para controlar la actividad.
• Define funciones y responsabilidades específicas para todos los miembros de la plantilla. Asegúrate que sólo tienen acceso a los activos/ubicaciones clave los que lo necesitan.
• Exige que todos los que están en el plató reciban formación en materia de seguridad para reducir la probabilidad de riesgo.
• Implementa una red Wi-Fi cerrada y crea espacios cerrados para que el personal pueda asegurar sus dispositivos.
• No dejes desatendido el hardware de producción, como el almacenamiento RAID in situ o las tarjetas de las cámaras, equipos DIT, o monitores de reproducción.
• Si envías activos desde el rodaje, asegúrate de que es con una empresa de transporte de confianza, contrata un seguro de pérdida/daño y lleva un registro detallado de la información de envío (conocimiento de embarque, lugar de entrega, fecha de entrega, etc.)
• Utiliza una solución para compartir archivos segura y encriptada cuando compartas archivos (con los equipos de postproducción, para su revisión y aprobación, etc.).
• Utiliza una solución para compartir archivos capaz de enviar archivos grandes para evitar la división de archivos (reducir la cantidad de archivos que flotan por ahí).

Postproducción

• Asegúrate de que todos los miembros del personal han recibido formación en materia de seguridad.
• Lleva un registro del número de personas en plantilla y de sus dispositivos y designa una sala/dispositivo específico para su uso en un proyecto concreto (por ejemplo, una sala única para la gradación del color, con acceso limitado a la sala).
• Asegura el acceso a las instalaciones de postproducción y a las zonas clave (por ejemplo, la sala de servidores, etc.).
• Si los empleados son remotos, ten en cuenta su situación de seguridad física (cuántas personas comparten su espacio, si los dispositivos protegidos por contraseña, etc.).
• Establece normas sobre lo que se puede y no se puede discutir en las reuniones virtuales.
• Limita el uso de software remoto, como una VPN o escritorios virtuales.
• Usa herramientas en la nube con certificaciones de seguridad como la ISO 27001. Busca herramientas con acreditaciones de sectores especializados, como la evaluación de la Red de Socios de Confianza para medios de comunicación y entretenimiento.
• Utiliza una solución para compartir archivos segura, con encriptación en vuelo y en reposo, cuando compartas archivos.
• Utiliza una solución para compartir archivos que tenga controles de seguridad como permisos de usuario, límites de descarga de archivos y fechas de caducidad de los mismos.
• Utiliza una solución para compartir archivos capaz de enviar archivos grandes para evitar la división de archivos (reducir la cantidad de archivos que flotan por ahí).
• Si envías activos, asegúrate de que lo hace una empresa de confianza, contrata un seguro y lleva un registro detallado de la información de envío (conocimiento de embarque, lugar de entrega, fecha de entrega, etc.).

¿Qué hacer si algo va mal?

Incluso las organizaciones que toman todas las precauciones de seguridad posibles tienen que enfrentarse a lo impensable: una vulneración de datos está a un solo error de distancia. Por eso es importante que las organizaciones cuenten con planes de seguridad para limitar el daño de cualquier filtración, incluyendo lo siguiente:

• Revisión de incidentes: Revisa todos los incidentes para identificar posibles puntos débiles del perímetro o de los procedimientos, y actualiza las medidas de seguridad y la formación en función de lo ocurrido. Examina los detalles de la infracción (incluidas las Cinco W) para determinar qué debe corregirse.
• Revisión del registro: Las revisiones periódicas de los registros de acceso a las áreas restringidas o al almacenamiento pueden ayudar a identificar comportamientos anormales cuando se producen. Las revisiones de los registros son imprescindibles en caso de infracción, pero revisiones regulares y continuas también pueden reducir los daños al detectar antes los incidentes.
• Informes anónimos: El personal y los contratistas deberían tener acceso a un vehículo (número de teléfono, correo electrónico, etc.) para informar de forma anónima sobre posibles vulneraciones de seguridad.
• Respuesta a incidentes: Sigue un procedimiento bien coreografiado si los activos se ven comprometidos, incluyendo alertar a las partes interesadas y a las autoridades (si fuera necesario).
• Seguro: Espera lo mejor pero prepárate para lo peor, como dice el refrán. Consigue un buen seguro de producción (que podrías necesitar de todos modos incluso para conseguir contratos con algunos estudios) por si acaso.

Cómo MASV ayuda a proteger la producción cinematográfica (empezando por tus transferencias de archivos)

Aunque MASV no puede asegurar todo tu flujo de trabajo de producción, es una herramienta increíble para garantizar la seguridad de tus archivos cuando los compartes.

Y es que MASV es un servicio para compartir archivos grandes con certificación ISO 27001 y verificación TPN para empresas, diseñado para profesionales de la postproducción y del vídeo.

Y es que MASV es un servicio para compartir archivos grandes con certificación ISO 27001 y verificación TPN para empresas, diseñado para profesionales de la postproducción y del vídeo.

El amplio despliegue de ciberseguridad de MASV incluye:

• Cifrado en vuelo y en reposo de todos los medios mediante TLS 1.2 y AES-256.
• Escaneo automático de malware y virus de cada subida de medios.
• Protección con contraseña en las subidas y descargas.
• Autenticación multifactor (AMF)que ofrece una mayor protección al solicitar credenciales adicionales (no sólo un nombre de usuario y una contraseña). Para una seguridad y comodidad aún mayores, puede combinar MFA con el inicio de sesión único (SSO) basado en SAML.
• Alertas de equipo cada vez que un administrador interno intenta iniciar sesión en el sistema MASV. Todos los intentos de inicio de sesión del administrador requieren MFA, claves criptográficas o autenticación basada en tokens para mantener un control de acceso adecuado.
• Escaneo regular y continuo de la vulnerabilidad y evaluación de las amenazas.
• Seguimiento preciso de la entrega de archivos según los requisitos de la cadena de custodia.
• Controles de acceso estrictos, como establecer límites de descarga y fechas de caducidad de archivos.

Además, como MASV se basa en la plataforma en la nube de AWS, también se apoya en los protocolos de seguridad en la nube y en las instalaciones de AWS.

¿Listo para empezar? Regístrate hoy mismo y transfiere utilizando MASV. Te daremos 20 GB gratis para que te pongas en marcha.