Blog

20/04/2021

Claves de Ciberseguridad para Ambientes IoT

Sensores que recogen datos, actuadores que ejecutan acciones, y puertas de enlace que operan como centros de comunicación y también pueden implementar cierta lógica de automatización, son las tres categorías que define la IoT Security Foundation para clasificar a los dispositivos IoT existentes, mismos que pueden ser independientes o incrustados en un producto más grande, y aún complementarse con una aplicación web o para dispositivos móviles o servicios basados en la nube. 

Estos dispositivos, servicios y software de IoT, así como los canales de comunicación que los conectan, corren el riesgo de ser atacados por diversidad de partes malintencionadas, como piratas informáticos, criminales profesionales o incluso actores estatales, provocando para los consumidores situaciones que van desde inconvenientes, irritación, violación a la privacidad, hasta pérdida de dinero, tiempo, propiedad, salud, relaciones e incluso de la vida. 

Y para los fabricantes, operadores y proveedores, las posibles consecuencias pueden incluir pérdida de confianza, daños a la reputación, propiedad intelectual comprometida, pérdida financiera y posible enjuiciamiento.

En un artículo pasado se comentó acerca del IoT (Internet de las Cosas) y los retos que presenta para los consumidores y organizaciones que aprovechan este modelo de negocio que está impulsando bastante el mundo tanto de las tecnologías de la información como el de las tecnologías operativas, IT y OT. 

Ahora revisaremos cuáles son las áreas de ciberseguridad objetivo que señalan las mejores prácticas de la industria aplicables para proteger entornos de IoT.


Áreas de Ciberseguridad Objetivo y Entornos IoT

Los objetivos de ciberseguridad para los sistemas de TI tradicionales generalmente priorizan la confidencialidad, luego la integridad y, por último, la disponibilidad. 

Los sistemas de IoT atraviesan múltiples sectores, así como los casos de uso dentro de esos sectores y sus objetivos de ciberseguridad se pueden priorizar de manera muy diferente, dependiendo de la aplicación. 

Para algunas aplicaciones de IoT, la disponibilidad o la integridad pueden ser la prioridad más alta.

El NIST en su reporte NISTIR 8200 sobre la Estandarización de la Ciberseguridad para IoT, describe 5 grupos de aplicaciones IoT que pueden tornarse críticas para proteger, tales como vehículos conectados, de consumidor, dispositivos médicos y de salud, edificios inteligentes y la fabricación inteligente. 

Sugiere que los objetivos de seguridad para los Sistemas de Control Industrial (ICS) pueden ser adaptados en general para los Sistemas IoT, basándose en su publicación NIST-SP 800-82r2:

  • Restricción del acceso lógico a la red y a la actividad de la red.
  • Restricción del acceso físico a la red y los componentes de IoT.
  • Proteger los componentes individuales de IoT de la explotación.
  • Prevención de modificaciones no autorizadas de datos.
  • Detección de incidentes y eventos de seguridad.
  • Mantener la funcionalidad en condiciones adversas.
  • Restauración del sistema después de un incidente.

Aunado a lo anterior, el mismo reporte define 12 áreas de ciberseguridad clave con aplicabilidad para IoT e identifica además posibles brechas en cada uno de estos estándares, con lo que se busca tener un panorama amplio para adecuar una estrategia de seguridad de mayor alcance y reducir al mínimo la superficie de exposición:

  • Técnicas Criptográficas: se debe explorar la inclusión de la tecnología blockchain para los mecanismos de seguridad de IoT.
  • Gestión de Incidentes Cibernéticos: se deben explorar las mejores prácticas para la remediación cuando los parches de software no sean factibles.
  • Aseguramiento de Hardware: se deben explorar las mejores prácticas para evitar el malware en el firmware.
  • Gestión de Identidad y Acceso: se deben revisar los estándares existentes para determinar si son suficientes o requieren una revisión para los sistemas de IoT.
  • Sistemas de Gestión de Seguridad de la Información (SGSI): deben considerarse los estándares de sistemas de gestión basados en ISO/IEC 27002 para aplicaciones de IoT basadas en la serie 27000.
  • Evaluación de la Seguridad del Sistema de TI: los estándares existentes no son específicos de IoT y deben revisarse para determinar si son suficientes o requieren una revisión para los sistemas de IoT.
  • Seguridad de la Red: los estándares existentes pueden requerir actualizaciones y/o se necesitarán nuevos estándares para abordar las redes de IoT que tienen el potencial de conexiones espontáneas (debido a la red) sin una vista del sistema.
  • Seguridad Física: los requisitos de seguridad física y la guía para los componentes de IoT y los sistemas de IoT no existen y se deben investigar nuevos estándares.
  • Automatización de Seguridad y Monitoreo Continuo (SACM): dado que el ecosistema de IoT es heterogéneo, los fabricantes de dispositivos y los proveedores de seguridad de IoT pueden necesitar desarrollar agentes e interfaces específicos del dispositivo para el monitoreo hasta que los estándares se adapten a los diversos casos de uso de IoT y se implementen en los productos.
  • Aseguramiento del Software: se deben investigar los estándares para evitar vulnerabilidades en el software (por ejemplo, malware, integración de las mejores prácticas para el desarrollo de software en estándares para disciplinas que contribuyen con IoT).
  • Gestión de Riesgos de la Cadena de Suministro (SCRM): las normas genéricas (por ejemplo, ISO/IEC 27036) no son específicas de IoT y deben revisarse para determinar si son suficientes o requieren una revisión para los sistemas de IoT.
  • Ingeniería de Seguridad de Sistemas: las normas de ingeniería de seguridad del sistema genéricas (por ejemplo, ISO/IEC 15026) deben revisarse para su aplicación a los sistemas IoT.


Consideraciones para minimizar los riesgos en entornos de IoT

Es importante para los fabricantes y proveedores de IoT aplicar esta serie de guías y lineamientos desde la incepción de los dispositivos, servicios y software de IoT, sin embargo, podría tornarse mayormente crítica la parte complementaria que corresponde a la ciberseguridad de los entornos IoT. 

Estadísticas predicen que para el 2020 habrán casi 31 billones de dispositivos conectados en el mundo. 

Las necesidades en el mercado son abrumadoras y las grandes producciones en masa continuarán sucediendo, ocasionando la reducción de los ciclos de fabricación, procesos de QA y seguridad del producto. 

Por ello, es importante para las organizaciones desarrollar una estrategia de seguridad integral que abarque la convergencia entre IT/OT/IoT según aplique, implementando las claves de ciberseguridad que sugieren los expertos de la industria con el apoyo de aliados tecnológicos de confianza que puedan aportar valor y experiencia al negocio.

Yosif Sleman

Director de Pre Venta
Compartir

Suscríbete para recibir más contenido

Blogs relacionados