En junio de 2022, la ISO (Organización Internacional de Normalización) publicó un proyecto de norma internacional para la protección de los dispositivos de Internet de las cosas (IoT) en relación a la seguridad y protección de datos. La norma, llamada ISO/IEC 27400:2022, proporciona medidas técnicas y organizativas para la seguridad y privacidad de las soluciones de IoT.

Por qué se ha desarrollado la norma

Los objetos inseguros pueden afectar a la seguridad y la privacidad de formas distintas a las de los sistemas informáticos más convencionales (por ejemplo, ordenadores de sobremesa, portátiles y servidores). Por lo tanto, se necesitan controles de seguridad y privacidad adecuados para mitigar los riesgos inaceptables.

Los objetos pueden considerarse dispositivos electrónicos independientes o componentes de «ecosistemas» más amplios y complejos:

• Los sistemas operativos y las aplicaciones que ejecutan, que prestan diversos servicios;
• La infraestructura de red (redes personales, locales y de área extensa);
• El mundo físico con el que interactúan a través de sensores y actuadores;
• Las personas que los especifican, adquieren, configuran, utilizan y gestionan;
• Las organizaciones que los diseñan y fabrican, utilizan/operan y gestionan;
• La sociedad en general, ya que las cosas están «en todas partes».

Entre los retos y riesgos de la información en el contexto de IoT se incluyen:

• Enorme variedad, innovación y ubicuidad, con objetos que penetran cada vez más en nuestras empresas, hogares, vehículos y vidas;
• Vulnerabilidades en los sistemas, aplicaciones y redes, además de los procesos y actividades asociados (por ejemplo, la simple compilación, y no digamos ya el mantenimiento y uso, de un inventario de cosas es complicado y costoso, como descubrimos durante la crisis del efecto 2000);
• Amenazas, tanto deliberadas (por ejemplo, piratas informáticos y programas maliciosos) como naturales (por ejemplo, condiciones físicas de funcionamiento adversas, cortes de electricidad, descargas estáticas, fallos de diseño, bugs/errores de codificación, accidentes e ineptitud de los usuarios);
• Impactos, que pueden incluir riesgos para la seguridad y daños materiales, así como los incidentes habituales relacionados con la seguridad de la información y la privacidad (por ejemplo, corrupción, divulgación o pérdida de datos);
• Implicaciones del ciclo de vida (por ejemplo, los objetos baratos, desechables, no gestionados y/o profundamente integrados pueden permanecer durante años y es poco probable que reciban soporte o parches, nunca);
• Es posible que a los usuarios normales no les interese o no entiendan la seguridad y la privacidad de sus cosas, mientras que incluso los profesionales de TI pueden no tener tiempo, lo que deja las cosas en condiciones de ser olvidadas en gran medida sin gestionar, supervisar ni mantener;
• Preocupación por la interoperabilidad, la interacción y las dependencias entre objetos y con otros dispositivos conectados en red;
• Individualmente, la mayoría de las cosas tienen una funcionalidad, accesibilidad (por ejemplo, interfaces hombre-máquina minimalistas) y rendimiento informático limitados (por ejemplo, poca capacidad de procesamiento y almacenamiento);
• Movilidad, dinámica y complejidad rayanas en el caos y la anarquía;
• Las aplicaciones, los casos de uso y las situaciones pueden no haber sido previstos por sus diseñadores o fabricantes (por ejemplo, cuando los objetos se reutilizan, combinan o personalizan para aplicaciones nuevas);
• Las cosas pueden cambiar de manos con el tiempo, lo que afecta al contexto y plantea la posibilidad de configuraciones inseguras y divulgación inadecuada de la información almacenada (por ejemplo, cuando se venden casualmente, se pierden o se desechan).

Los diseñadores/fabricantes y usuarios de IoT, tanto particulares como organizaciones, pueden ser ajenos a los riesgos de la información y a los controles apropiados/necesarios, por lo que la norma desempeña un papel en la concienciación y la fiabilidad, impulsando la madurez tanto en el lado de la oferta (vendedor) como en el de la demanda (cliente).

ISO/IEC 27400:2022 para la seguridad integral de IoT

La norma ISO/IEC 27400:2022 se enfoca en proporcionar medidas técnicas y organizativas para garantizar la seguridad y privacidad en sistemas de Internet de las Cosas (IoT). La seguridad de la información es una preocupación crítica en cualquier sistema de tecnología de la información y comunicación (TIC) y los sistemas IoT no son una excepción. Los sistemas IoT presentan desafíos especiales en términos de seguridad de la información debido a su distribución y la gran cantidad de entidades diferentes involucradas, lo que aumenta la superficie de ataque y dificulta la aplicación y mantenimiento de controles de seguridad adecuados en todo el sistema. La privacidad o protección de datos personales también es una preocupación importante para algunos tipos de sistemas IoT. Si un sistema IoT recopila o utiliza datos personales, suele haber leyes y regulaciones que deben cumplirse en cuanto a la recopilación, almacenamiento y tratamiento de datos personales. Además, aunque no haya regulaciones, la privacidad de la información sigue siendo un problema de reputación y confianza para las organizaciones involucradas, ya que el manejo inadecuado de los datos personales puede causar daño a las personas afectadas.

Los controles de seguridad y privacidad establecidos en esta norma están diseñados para ser utilizados a lo largo del ciclo de vida del sistema IoT por las partes interesadas en el entorno del sistema IoT.

Estructura de la ISO/IEC 27400:2022

Esta norma ISO se divide en los conocidos capítulos de la norma, que vienen determinados por el Anexo SL, más 4 secciones más profundas. Estas se dividen en los siguientes temas principales:

• 5 Conceptos de IoT
  • 1 Generalidades
  • 2 Características de los sistemas IoT
  • 3 Partes interesadas de los sistemas IoT
  • 4 Ecosistema IoT
  • 5 Ciclos de vida de los servicios IoT
  • 6 Modelo de referencia basado en dominios
• 6 Fuentes de riesgo para los sistemas IoT
  • 1 Generalidades
  • 3 Fuentes de riesgo
• 7 Controles de seguridad y privacidad
  • 1 Controles de seguridad
  • 2 Controles de privacidad

¿Qué es el Internet de las Cosas y qué dispositivos forman parte de él?

El internet de las Cosas (IoT) se refiere a una red de dispositivos conectados, como sensores, dispositivos de control y dispositivos móviles, que permite la comunicación entre ellos y con otros sistemas. A diferencia del Internet convencional (Internet social), que se centra principalmente en la comunicación entre personas y computadoras, IoT se centra en la comunicación entre objetos y máquinas. Esta tecnología ha sido posible gracias a los avances en tecnologías como el internet, la sensibilización, la movilidad y la inteligencia artificial, y se está convirtiendo en un estándar en nuevas plataformas tecnológicas.

Internet de las Cosas privado

Internet de las cosas en el sector privado: Los dispositivos IoT tienen como objetivo principal mejorar la calidad de vida de las personas al conectar diferentes dispositivos y aplicaciones a Internet, permitiendo su control remoto. Estos dispositivos pueden ser utilizados en hogares inteligentes, por ejemplo, permitiendo a los usuarios recibir notificaciones automáticas sobre eventos específicos como cambios en la temperatura o el uso excesivo de un cepillo de dientes eléctrico. Los sensores inteligentes del IoT también pueden garantizar de forma autónoma que una persiana oscurezca automáticamente la ventana. Los términos «ciudad inteligente» y «entorno inteligente» también son utilizados en el contexto del IoT, refiriéndose a la creación y uso de una IoT para optimizar entornos urbanos y regiones enteras.

Internet industrial de las Cosas (IIoT)

El IIoT, o Internet industrial de las Cosas, se diferencia del Internet de las Cosas privado en que se enfoca en la conexión y comunicación entre máquinas y equipos industriales. El objetivo principal es mejorar la eficiencia a través de la automatización, la optimización de procesos, la detección temprana de problemas y la reducción de fallos. La tecnología clave detrás del IIoT es la identificación por radiofrecuencia, que permite la comunicación sin contacto entre dispositivos. Aunque a menudo se asocia con el término Industria 4.0, el IIoT es solo un componente de un proyecto de digitalización más amplio que también incluye el Internet de las cosas, la computación en la nube y la inteligencia artificial.

Asegurar las credenciales de acceso privilegiado (PAM) para proteger las tecnologías de IoT

La protección de las cuentas privilegiadas (PAM) es esencial para garantizar la seguridad de las tecnologías del Internet de las Cosas (IoT). Los dispositivos IoT están conectados entre sí y son accesibles desde cualquier lugar, lo que significa que la superficie de ataque está en constante crecimiento. Los sistemas, aplicaciones, cuentas máquina a máquina, entornos de nube e híbridos, DevOps, automatización de procesos robóticos y dispositivos IoT proporcionan cada vez más acceso administrativo. Los atacantes saben esto y, por lo tanto, tienden a apuntar precisamente a estas cuentas privilegiadas. La explotación de credenciales privilegiadas es la base del 95% de los ataques complejos, ya que proporcionan acceso a datos, aplicaciones e infraestructuras especialmente sensibles. En manos equivocadas, estos privilegios pueden causar un gran impacto en las operaciones comerciales de una empresa. Es por ello que es esencial implementar medidas de seguridad para proteger las cuentas privilegiadas y evitar que los atacantes las utilicen para su beneficio. Esto incluye la implementación de contraseñas seguras y autenticación de dos factores, así como la monitorización continua de las actividades de las cuentas privilegiadas para detectar actividades maliciosas.

Amanda Suo

Responsable del Grupo de Expertos IoT

Service Management Institute SMI®