redseguridad 076

Conclusiones Las conclusiones que extraigo de los resultados de este simple Fact check , son las siguientes: ð En ambos conjuntos se priman aspectos económicos y de negocio para el despliegue de esta tecnolo- gía, a pesar de que la seguridad apa- rece en numerosos estudios cómo una de las barreras para su adop- ción. ¿Contradicción humana? ð La madurez de los fabricantes IT en ciberseguridad es más alta que la de los fabricantes de control. Éste es un hecho conocido y fácilmen- te explicable por la experiencia de estas compañías en la resolución de vulnerabilidades de sus productos y por el impacto de los ciberataques en los clientes que los utilizan, y que muchas veces les han acarreado consecuencias económicas directas e indirectas. ð Los fabricantes de sistemas de control no parecen percibir la nece- sidad de potenciar la seguridad de sus soluciones frente a sus clientes. Esto se podría explicar por la escasa experiencia de los ingenieros de con- trol en temas de seguridad lógica, la falta de análisis y atribución de los incidentes que ocurren en las redes de control, así como por la baja con- cienciación de los responsables de operación sobre los riesgos tecno- lógicos que van a tener que afrontar. Debemos luchar por implantar la seguridad desde la fase de diseño de las soluciones IoT que, tarde o temprano, se desplegarán por moti- vos de eficiencia económica, ventaja competitiva o simplemente moda en el caso del mercado doméstico. Propuesta Mi propuesta es actuar sobre la perso- nas en varios aspectos fundamentales: ð Educación y comunicación. Los responsables de las operaciones y los ingenieros de control deben entender y cuantificar los riesgos que afrontarán tras los cambios que se acometerán en sus infraestructuras, y los respon- sables de IT deben entender las impli- caciones sobre la seguridad física que pueden tener las operaciones sobre las infraestructuras conjuntas IT/OT. Deben ser las organizaciones empre- sariales que estén estudiando el des- pliegue de estas tecnologías las que se encarguen de esta educación. En el caso de los usuarios domésticos, esta concienciación debe ser asumida por las entidades con responsabili- dades en la ciberseguridad nacional o supranacional y por los medios de comunicación (debidamente aseso- rados). ð Adquisición. Como resultado de la educación y comprensión del pro- blema, los usuarios corporativos de esta tecnología implantarían nuevas metodologías de decisión de compra y aceptación de infraestructuras (que en muchas ocasiones aún no están ni diseñadas), que contemplarían requisitos de seguridad lógica de manera explícita y medible. Eso es algo que los fabricantes tendrán que aceptar e implantar. Los usuarios domésticos son el eslabón más débil de esta cadena, ya que muchas veces la adquisición de este tipo de soluciones obedece al impulso instantáneo provocado por las téc- nicas de marketing y a la compleja idiosincrasia del carácter humano, que no contempla (aún) el análisis de riesgos en la adquisición (véase la descarga de aplicaciones gratuitas de las grandes tiendas online de Apps para móviles). ð Regulación. Los gobiernos nacionales y supranacionales deben desarrollar reglamentos de certifica- ción tan exigentes cómo los que aplican al aparataje eléctrico o a las válvulas de alta presión, a las solu- ciones lógicas IoT que incorporen sistemas ciberfísicos en algún punto de su infraestructura. Este tipo de soluciones es más frecuente de lo que se pueda imaginar en el merca- do doméstico y su despliegue segu- ro debería estar garantizado por el cumplimiento de reglamentos técni- cos comparables a los exigidos a los fabricantes de electrónica de seguridad física (Normas UNE-EN y UNE CLC). 44 red seguridad primer trimestre 2017 especial A rtículo ciberseguridad industrial monográfico Debemos luchar por implantar la seguridad desde la fase de diseño de las soluciones IoT