Tratamos la ciberseguridad de los entornos IoT en Segurinfo 2018

Escrito por Jose Luis Montero en 2018-06-07T08:33:06Z

Topics: Security Operations Center , Ethical Hacking , Technical Security Office , Industry 4.0 & IoT

Tratamos la ciberseguridad de los entornos IoT en Segurinfo 2018

José Luis Montero, Business Manager de IThinkUPC

El pasado 5 de junio participamos en el principal evento anual sobre seguridad de la información: el congreso Segurinfo. El objetivo de este evento, organizado por USUARIA desde el año 2005, es ser el foro profesional para compartir experiencias y evaluar soluciones a los desafíos de seguridad que genera el crecimiento del uso de la tecnología de la información y las comunicaciones.

Nosotros presentamos la ponencia ¿Un análisis de riesgos para dispositivos IoT? Sí, pero ¿cómo y por qué? para tratar de concretar, con un caso práctico (y real), cómo adecuar un análisis de riesgos para dispositivos IoT, identificando no sólo los activos sino también los nuevos protocolos de comunicación, sus vulnerabilidades y amenazas, para finalmente conseguir un plan de tratamiento del riesgo basado en el riesgo de negocio y tecnológico.

Cuando hablamos de IoT, todos visualizamos millones de dispositivos, muy heterogéneos, a diferentes escalas y conectados a Internet. Suelen ser equipos no TI, como impresoras, equipos industriales, de vigilancia, de medida... y de cualquier ámbito: desde la logística y la fabricación hasta la sanidad y las infraestructuras inteligentes, interconectados en diferentes términos de densidad o automatización. IoT ofrece ya a los negocios nuevas oportunidades para crear valor.

Pero esa conectividad permanente y los datos gestionados también crea nuevas oportunidades para que la información quede comprometida. Las tendencias indican que en el futuro, a corto y medio plazo, habrá ataques a gran escala aprovechando sus vulnerabilidades, como ya ha sucedido en el pasado con el ataque Dyn, basado en múltiples ataques de denegación de servicio (DoS) desde dispositivos IoT, de 2016 ¿Así pues?

Lo primero es conocer el nivel de seguridad de esos dispositivos en nuestra organización. ¿Conocemos los riesgos de seguridad asociados? Lo que diferencia la IoT de la "Internet tradicional" es fundamentalmente una cosa: las personas. IoT es desatendida y no necesita intervención humana para funcionar. Por ello, dado que cada vez se comparten más datos a través de IoT, más sensibles y entre más participantes, los riesgos son sensiblemente mayores.

Por tanto, es necesario que las organizaciones hagan un análisis de estas nuevas fuentes de información, basado en amenazas de origen externo e incluso interno. Pero desde el punto de vista de la seguridad y la confianza, el reto es que aplicar sin más las metodologías existentes de análisis de riesgo nos puede suponer no reconocer los riesgos de estos nuevos ecosistemas.