redseguridad 076

Internet de las cosas: ¿dónde queda la seguridad de las personas? S iempre he apoyado que la seguri- dad tecnológica es un proceso que se basa en tres pilares fundamen- tales: personas, procedimientos y tecnología. En ese estricto orden. En mi experiencia, los problemas de seguridad siempre van asociados a las personas, y en la mayoría aplas- tante de las ocasiones a la falta de ellas. Este patrón es independiente del dominio tecnológico tratado y se repite tanto en las Tecnologías de la Información (IT), cómo en las Tecnologías Operacionales o de Sistemas de Control (OT). En esta ocasión, vamos a hablar de las per- sonas que están (o deberían estar) involucradas en la seguridad de este "nuevo" fenómeno denomina- do Internet de las cosas (IoT). Simplificando el escenario, pode- mos considerar tres grupos funda- mentales de personas: la oferta, la demanda y las entidades regulado- ras (nacionales y supranacionales). Dado el tamaño del dominio tecno- lógico a tratar, el número de perso- nas a involucrar es muy alto. En la oferta tendríamos que contemplar a los fabricantes de sistemas de control clásicos y a los emergentes, así como a los fabricantes de sis- temas TIC (sistemas, aplicaciones y comunicaciones) clásicos y a los emergentes. En la demanda pode- mos encontrar dos grandes grupos: usuarios domésticos y corporativos (industriales o no). Y las entida- des regulatorias podrían agruparse como aquellas con poder legislativo (nacional y supranacional) y otras con poder fáctico en la implanta- ción de buenas prácticas y, por tanto, prescriptoras a futuro. Dada la extensión de este artícu- lo, intentaré describir la postura de estos actores de manera global. El poder de las palabras Recientemente hemos sido "sor- prendidos" por este nuevo para- digma tecnológico de sistemas híper conectados y que hemos denominado IoT. Cuando pone- mos nombre a algo, muchas veces no nos planteamos la importancia y las consecuencias que pueda tener. Hace años, el término smar- tphone (seguramente ideado por alguien de algún departamento de Marketing) en realidad ocultaba el uso de microprocesadores que utilizarían sistemas operativos de gran volumen y muy alta compleji- dad. Actualmente, el uso de iOS y Android en la mayoría de estos dis- positivos nos expone a los defectos de programación de esos siste- mas operativos, que en muchos casos (5% aproximadamente) se convierten en un posible método de ataque (vulnerabilidad) a nuestra privacidad o a la información que guardamos en ellos. Creo que este mismo fenómeno se ha repetido con la denomina- ción de esta tecnología de hiper- conexión y explotación de datos a través de sistemas heterogéneos (OT+IT+ Cloud + Big Data ). Hemos asignado un peso determinante a las "cosas" y a su tecnología sub- yacente, frente a las personas que deben sacar provecho de ellas y confiar su bienestar al funciona- miento seguro de las mismas. Hablar de funcionamiento segu- ro en IoT supone añadir un nuevo parámetro que normalmente no se maneja en la seguridad IT: la seguridad física ( Safety ). En este Internet de las cosas, hemos incluido sistemas ciberfísicos (aquellos que pueden interac- tuar físicamente con su entorno), altamente conectados a redes públicas –en el caso del usuario doméstico– o a redes incorrecta- mente segmentadas en muchas ocasiones en el entorno industrial. Un uso malicioso de alguno de estos dispositivos por agentes no 42 red seguridad primer trimestre 2017 especial Enrique Martín García Consultor de Ciberseguridad en sistemas de control y Soluciones PIC en EY A rtículo ciberseguridad industrial monográfico