OPINIÓN

Enrique Martín García, Consultor de Ciberseguridad en sistemas de control y Soluciones PIC en EY

Internet de las cosas: ¿dónde queda la seguridad de las personas?

Siempre he apoyado que la seguridad tecnológica es un proceso que se basa en tres pilares fundamentales: personas, procedimientos y tecnología.

En ese estricto orden. En mi experiencia, los problemas de seguridad siempre van asociados a las personas, y en la mayoría aplastante de las ocasiones a la falta de ellas. Este patrón es independiente del dominio tecnológico tratado y se repite tanto en las Tecnologías de la Información (IT), cómo en las Tecnologías Operacionales o de Sistemas de Control (OT). En esta ocasión, vamos a hablar de las personas que están (o deberían estar) involucradas en la seguridad de este "nuevo" fenómeno denominado Internet de las cosas (IoT). 

Simplificando el escenario, podemos considerar tres grupos fundamentales de personas: la oferta, la demanda y las entidades reguladoras (nacionales y supranacionales). Dado el tamaño del dominio tecnológico a tratar, el número de personas a involucrar es muy alto. En la oferta tendríamos que contemplar a los fabricantes de sistemas de control clásicos y a los emergentes, así como a los fabricantes de sistemas TIC (sistemas, aplicaciones y comunicaciones) clásicos y a los emergentes. En la demanda podemos encontrar dos grandes grupos: usuarios domésticos y corporativos (industriales o no). Y las entidades regulatorias podrían agruparse como aquellas con poder legislativo (nacional y supranacional) y otras con poder fáctico en la implantación de buenas prácticas y, por tanto, prescriptoras a futuro.

Dada la extensión de este artículo, intentaré describir la postura de estos actores de manera global.

El poder de las palabras

Recientemente hemos sido "sorprendidos" por este nuevo paradigma tecnológico de sistemas híper conectados y que hemos denominado IoT. Cuando ponemos nombre a algo, muchas veces no nos planteamos la importancia y las consecuencias que pueda tener. Hace años, el término smartphone (seguramente ideado por alguien de algún departamento de Marketing) en realidad ocultaba el uso de microprocesadores que utilizarían sistemas operativos de gran volumen y muy alta complejidad. Actualmente, el uso de iOS y Android en la mayoría de estos dispositivos nos expone a los defectos de programación de esos sistemas operativos, que en muchos casos (5% aproximadamente) se convierten en un posible método de ataque (vulnerabilidad) a nuestra privacidad o a la información que guardamos en ellos. 

Creo que este mismo fenómeno se ha repetido con la denominación de esta tecnología de hiperconexión y explotación de datos a través de sistemas heterogéneos (OT+IT+Cloud+Big Data). Hemos asignado un peso determinante a las "cosas" y a su tecnología subyacente, frente a las personas que deben sacar provecho de ellas y confiar su bienestar al funcionamiento seguro de las mismas. 

figura01_iot
Como se puede observar, salvo en el caso de dos compañías, el término "business" aparece más veces que el término "security". En tres ocasiones ni siquiera se menciona. La media de apariciones del término "security" en este grupo es de uno.

Hablar de funcionamiento seguro en IoT supone añadir un nuevo parámetro que normalmente no se maneja en la seguridad IT: la seguridad física (Safety). En este Internet de las cosas, hemos incluido sistemas ciberfísicos (aquellos que pueden interactuar físicamente con su entorno), altamente conectados a redes públicas –en el caso del usuario doméstico– o a redes incorrectamente segmentadas en muchas ocasiones en el entorno industrial. Un uso malicioso de alguno de estos dispositivos por agentes no autorizados, podría acarrear daños físicos a las personas o al entorno. Esto es muy serio, y por desgracia ya ha pasado.

Para evitar este tipo de riesgos sobre la seguridad física (Safety), los entornos industriales han desarrollado numerosas metodologías de diseño y pruebas de aceptación previas a la operación. Además deben cumplir numerosos reglamentos de seguridad sobre los productos y maquinaria que utilizan, así como sobre las medidas de protección que han implantado en sus instalaciones. Sin embargo, todas esas medidas no se han adaptado aún a este nuevo paradigma en el que se plantea utilizar un alto número de dispositivos de sensorización y control basados en protocolos muy nuevos y ligeros, que se conectarán a infraestructuras de almacenamiento y cálculo en nubes privadas y públicas, y cuya complejidad sobrepasa en muchas ocasiones el nivel de formación de los actuales responsables de operarlos.

Seguramente alguien podría pensar que esto vuelve a ser otro "discurso del miedo", orientado a la venta de servicios de ciberseguridad industrial, por lo que he decidido sustentar todo esto mediante el diseño y ejecución de un rápido y sencillo Fact check fácilmente reproducible por cualquier persona con algo de tiempo y conexión a Internet. 

figura02_iot
En este conjunto de fabricantes, se vuelve a repetir que solamente dos compañías priman la mención del término "security" frente al término "business", aunque la presencia del término "security" es más frecuente. La media de apariciones del término "security" en este grupo es de 3,5.

Verificación de los hechos

Dado que en el dominio IoT se encuentran involucrados fabricantes de sistemas de control clásicos (OT) y fabricantes de sistemas de información (IT), he querido saber cuál es su postura de seguridad frente a las tecnologías que proponen integrar en dicho dominio, mediante el siguiente procedimiento: acceder a sus páginas Web de promoción de sus soluciones IoT, buscar los términos "security" y "business" en la zona de contenidos de esas páginas y contabilizarlos.

Los fabricantes OT que componen la muestra de datos son: Honeywell, Rockwell, ABB, Siemens, Schneider Electric, Emerson, OSIsoft y Moxa. Los fabricantes IT que he seleccionado han sido: IBM, Oracle, Cisco, Microsoft, Dell, Intel, HP y Google. 

Para no herir susceptibilidades, he anonimizado los resultados que presento en los gráficos que aparecen a continuación en esta página, alterando el orden de presentación.

Volver

Newsletter

¿Quieres estar informado? Ya puedes suscribirte GRATIS a nuestra newsletter mensual