Sensores que recogen datos, actuadores que ejecutan acciones, y puertas de enlace que operan como centros de comunicación y también pueden implementar cierta lógica de automatización, son las tres categorías que define la IoT Security Foundation para clasificar a los dispositivos IoT existentes, mismos que pueden ser independientes o incrustados en un producto más grande, y aún complementarse con una aplicación web o para dispositivos móviles o servicios basados en la nube.
Estos dispositivos, servicios y software de IoT, así como los canales de comunicación que los conectan, corren el riesgo de ser atacados por diversidad de partes malintencionadas, como piratas informáticos, criminales profesionales o incluso actores estatales, provocando para los consumidores situaciones que van desde inconvenientes, irritación, violación a la privacidad, hasta pérdida de dinero, tiempo, propiedad, salud, relaciones e incluso de la vida.
Y para los fabricantes, operadores y proveedores, las posibles consecuencias pueden incluir pérdida de confianza, daños a la reputación, propiedad intelectual comprometida, pérdida financiera y posible enjuiciamiento.
En un artículo pasado se comentó acerca del IoT (Internet de las Cosas) y los retos que presenta para los consumidores y organizaciones que aprovechan este modelo de negocio que está impulsando bastante el mundo tanto de las tecnologías de la información como el de las tecnologías operativas, IT y OT.
Ahora revisaremos cuáles son las áreas de ciberseguridad objetivo que señalan las mejores prácticas de la industria aplicables para proteger entornos de IoT.
Los objetivos de ciberseguridad para los sistemas de TI tradicionales generalmente priorizan la confidencialidad, luego la integridad y, por último, la disponibilidad.
Los sistemas de IoT atraviesan múltiples sectores, así como los casos de uso dentro de esos sectores y sus objetivos de ciberseguridad se pueden priorizar de manera muy diferente, dependiendo de la aplicación.
Para algunas aplicaciones de IoT, la disponibilidad o la integridad pueden ser la prioridad más alta.
El NIST en su reporte NISTIR 8200 sobre la Estandarización de la Ciberseguridad para IoT, describe 5 grupos de aplicaciones IoT que pueden tornarse críticas para proteger, tales como vehículos conectados, de consumidor, dispositivos médicos y de salud, edificios inteligentes y la fabricación inteligente.
Sugiere que los objetivos de seguridad para los Sistemas de Control Industrial (ICS) pueden ser adaptados en general para los Sistemas IoT, basándose en su publicación NIST-SP 800-82r2:
Aunado a lo anterior, el mismo reporte define 12 áreas de ciberseguridad clave con aplicabilidad para IoT e identifica además posibles brechas en cada uno de estos estándares, con lo que se busca tener un panorama amplio para adecuar una estrategia de seguridad de mayor alcance y reducir al mínimo la superficie de exposición:
Es importante para los fabricantes y proveedores de IoT aplicar esta serie de guías y lineamientos desde la incepción de los dispositivos, servicios y software de IoT, sin embargo, podría tornarse mayormente crítica la parte complementaria que corresponde a la ciberseguridad de los entornos IoT.
Estadísticas predicen que para el 2020 habrán casi 31 billones de dispositivos conectados en el mundo.
Las necesidades en el mercado son abrumadoras y las grandes producciones en masa continuarán sucediendo, ocasionando la reducción de los ciclos de fabricación, procesos de QA y seguridad del producto.
Por ello, es importante para las organizaciones desarrollar una estrategia de seguridad integral que abarque la convergencia entre IT/OT/IoT según aplique, implementando las claves de ciberseguridad que sugieren los expertos de la industria con el apoyo de aliados tecnológicos de confianza que puedan aportar valor y experiencia al negocio.
