Buenas prácticas y Marca de Confianza de Ciberseguridad en IoT.

 

En la actualidad, no se dispone en el mercado de mecanismos que garanticen a los usuarios que se han tenido en cuenta los riesgos de seguridad en los sistemas IoT. Por este motivo, desde el Centro de Estudios de la Movilidad y el IoT (CEM) del ISMS Forum Spain se ha desarrollado un manual de buenas prácticas orientado a la certificación de los dispositivos IoT. Adicionalmente se ha desarrollado un Reglamento de uso de Marca de Garantía que define la normativa que deben cumplir los fabricantes para la obtención del Sello de Confianza IoT.

 

Las buenas prácticas se han distribuido en seis dominios:

 

- Gobierno y ciclo de vida comercial.

- Hardware/Firmware.

- Diseño.

- Comunicaciones.

- Sistemas.

- Seguridad jurídica.

 

Para cada dominio se establecen una serie de directrices y como anexo se incluye un checklist con todos los controles del manual.

 

Conclusiones

 

Un aspecto importante de IoT ha sido la evolución de los componentes, tanto en la extensión de su potencial uso, como en capacidades y coste. Los avances han generado un hardware de mejor calidad, tamaño reducido y un precio muy asequible, que pone al alcance de todos los usuarios la tecnología, y por tanto, la posibilidad de realizar proyectos de manera autónoma.

 

En el diseño de IoT, es especialmente importante que la seguridad no sea considerada sólo en las fases finales de puesta en producción, si no como una parte esencial a considerar en una fase temprana de la concepción y diseño del producto.

 

En IoT existen múltiples elementos de recogida, tratamiento y comunicación de información. En todos ellos, y cuando hablemos de sistemas y las diferentes comunicaciones entre las partes, tendremos siempre en cuenta la triada clásica en seguridad de la información: (Confidencialidad, Integridad y Disponibilidad).

 

El Gobierno de la Seguridad en el Ciclo de Vida Comercial es un elemento fundamental para una estrategia de seguridad robusta y a largo plazo ya que muestra la implicación del fabricante con el comprador / usuario /sociedad , y debe estar presente durante todo el ciclo de vida del producto como una parte en constante evolución en el ecosistema IoT, por lo que el establecimiento de buenas prácticas resulta indispensable.

 

Además de los aspectos anteriores, las buenas prácticas no estarían completas sin hacer una referencia a los aspectos jurídicos, deben ser parte del diseño y la consideración de los fabricantes a la hora de producir un producto IoT.

 

Es por todo lo expresado hasta ahora, que  la sociedad y las empresas pueden o bien  esperar a que las diferentes administraciones y organismos decidan comiencen a regular o bien la sociedad a través de sus compras responsables se interesen por saber qué seguridad (o inseguridad) le aporta el dispositivo IoT que va a adquirir , y de la misma forma, las empresas al adquirir estos elementos deben implicarse en conocer los posibles riesgos que estos dispositivos incorporarán a sus procesos o a los datos que custodian de sus clientes y empleados, finalmente los fabricantes deben notar la presión de sus clientes y deben evidenciar su compromiso con los mismos.

 

Por todo ello, el sello de confianza IoT representa una iniciativa necesaria y de gran valor para la sociedad y las empresas.