LOS EXPERTOS OPINAN: `Seguridad old-fashioned frente a IoT´ - JUAN MANUEL ZARZUELO

Publicado el 20-10-2017      Notícia sobre: Artículos
 

 

   

Juan Manuel Zarzuelo

Gerente de Risk Advisory

EY

Si partimos de la definición formal de IoT como el conjunto de dispositivos, software y redes de comunicaciones, que posibilitan el almacenaje, intercambio, análisis y optimización de la información, y añadimos a las personas que interactúan con esa tecnología, resulta visible que la clave del éxito reside en las relaciones entre cada uno de los componentes de dicho conjunto.

 

El uso de una Smart-TV es un buen ejemplo de inter-relación. La televisión posee una relación con con las personas receptoras de contenido, pero a su vez, esta se conecta a un hub o controlador que ofrece servicios a un número determinado de televisiones. Algunas de las mejoras de una Smart-TV frente a un televisor tradicional son la capacidad de estar conectado, ofrecer contenido, y más aún, que dicho contenido esté adaptado a los gustos e inquietudes de las personas. En cierto modo, la televisión está accediendo a un contenido en representación de una persona.

Basándonos en este ejemplo, nos damos cuenta que para que el contenido dirigido o adaptado sea el adecuado, la relación (pareado) entre el televisor y la persona debe estar securizada. Es decir, que la persona debe realizar un proceso de autenticación (quién soy) y autorización (a qué tengo acceso) para verificar su identidad.

Además del ámbito de consumo, IoT tiene una gran presencia en el área industrial de la Tecnología Operacional u OT (por sus siglas en inglés Operational Technology). Habitualmente los dispositivos que encontramos en este ámbito son de menor capacidad de computación, utilizados como sensores o dispositivos de monitorización. Tomemos como ejemplo una red de canalización de agua, donde existen multitud de sensores conectados a un proveedor de servicio (hub) para controlar los niveles de los distintos componentes en el caudal. Al añadir un nuevo sensor, se debe asegurar el proceso de on-boarding al hub, evitando lo que en seguridad se conoce como rogue device (dispositivo intruso). De igual modo sucede cuando debemos dar de baja algún dispositivo. Estos dos procesos se pueden controlar mediante mecanismos de aprovisionamiento/deprovisionamiento, además de la correspondiente gestión de credenciales, certificados e información.

Una vez identificados cada uno de los integrantes de IoT y asegurada la relación 1..1 entre cada uno de ellos, es necesario proteger los canales de comunicación a través de técnicas de cifrado.

Como se ha comentado anteriormente, la capacidad de computación de los dispositivos en el ámbito industrial es muy limitada, pues están diseñados para tener un consumo mínimo y una larga duración, por lo que el procesamiento criptográfico suele ser complejo. En este caso, se puede segregar y minimizar la información, de tal modo, que el valor añadido se genere cuando se componga con el resto de información a través de la analítica de datos (big-data).

IoT se enfrenta a multitud de amenazas, tanto lógicas como de carácter físico, pero no debemos renunciar a utilizar métodos bien conocidos en dominios de seguridad como la gestión de identidades, la gestión de accesos, la gestión de cuentas privilegiadas o la criptografía para reducir los riesgos existentes.

 

Global Gold Sponsor