redseguridad 080

En el futuro todo estará conectado, lo que aumentará exponencialmente los riesgos. ámbitos en los que también está tra- bajando la industria. En este sentido, existen diversas normas y controles (como los ISO IEC 27001 o 27002) que pueden orientar en la implementación de un plan integral de seguridad y se está trabajando en unas buenas prac- ticas dentro de la propia ISO 27000. Incluso, ENISA publicó a finales de 2017 una guía de buenas prácticas; e Incibe y Huawei han creado el libro blanco Creación de un mundo IoT fia- ble y gestionado, que aborda el tema de la ciberseguridad en IoT. No obstante, todo esto no es sufi- ciente, a juicio de Hormigo, de GMV, quien considera que hay que "seguir avanzando en estándares que defi- nan de forma clara y transparente la manera de interactuar unos con otros". Y es que los principios del IoT se basan en la conectividad fun- damentada en la identificación, en el concepto de redes automáticas y la configuración automática de servi- cios. "Estos principios son muy inte- resantes, ya que han hecho posible su rápida evolución; pero esto genera problemas de seguridad y amenazas relativas a los ámbitos de la confi- dencialidad, autenticación e integri- dad de los datos y servicios", añade el directivo. Por todo ello, prosigue, "es necesario trabajar con estándares comunes, integrar diferentes técnicas y definir políticas de seguridad que se adecuen a la diversidad de dispositi- vos y elementos que completan una solución IoT". Claro que tan importante es esto como luego contar con un profe- sional que pueda poner en práctica todas estas medidas. Sin esta figura, tal y como apunta Lázaro, de ISMS Forum, "es imposible dotar de seguri- dad a los productos y servicios". Apoyo de la Administración Y en toda esa tarea debe estar pre- sente también el apoyo de las distin- tas Administraciones y organismos públicos como Incibe. De hecho, en opinión del subdirector de Servicios de Ciberseguridad de este organismo, se trata de "un trabajo conjunto entre ambas partes, los prestadores de algún servicio o fabricantes de los pro- pios dispositivos, y la Administración, que puede aportar regulación, buenas practicas o apoyo en la implementa- ción de ciberseguridad", asegura. Precisamente, desde Incibe están apoyando a los proveedores de servi- cios esenciales en la implementación de buenas prácticas de seguridad en IoT. "Para ello se diseñó y puso encima de la mesa el Esquema Nacional de Seguridad Industrial (ENSI) como un conjunto de metodologías de análisis de riesgos, ciberresiliencia y cons- trucción de capacidades en materia de ciberseguridad para los operado- res estratégicos y críticos", desarrolla Gómez. Aparte, confirma que también están trabajando "en un esquema que permita la acreditación o certificación de los sistemas", aunque reconoce que este es "un tema bastante com- plejo que llevará su tiempo", puesto que "tiene que estar bien construido y consensuado con la industria". Por su parte, Lázaro, de ISMS Forum, es consciente también del papel que en este ámbito tienen que llevar a cabo las Administraciones Públicas. Para este especialista, es importante el entorno regulatorio, pues este debe "preparar adecuadamente en nuevas tecnologías a las unida- des especializadas de las Fuerzas y Cuerpos de Seguridad del Estado, a fiscales y jueces, así como propor- cionar mecanismos facilitadores que incentiven la adopción de controles de seguridad por parte de la industria". Pensando en el futuro De esta forma, si no se tiene en cuenta todo lo comentado hasta el momento, difícilmente se podrá poner en marcha un plan de seguridad que englobe una completa protección IoT. Además, el futuro tampoco es mucho más esperanzador. Según Candau, del CCN, "la tendencia que se prevé pasa por infectar a dispositivos IoT para obtener beneficio económico por medio de miners, aunque puede que empiecen a verse dentro de poco ataques serios a dispositivos IoT de manera dirigida por parte de grupos APT". Igualmente, Lázaro, de ISMS Forum, ve el panorama con "preocupación y esperanza". Desde su punto de vista, "el presente es complicado y, si no modificamos la situación, el futuro puede poner en riesgo la sociedad tal y como la conocemos", reconoce. Sin embargo, a la vez, añade, "se está produciendo poco a poco un cambio en la percepción del riesgo de los gobiernos y de la sociedad". A pesar de ello, eso sí, el primer paso lo deben dar los fabricantes de dispositivos IoT, los cuales han de considerar la seguridad como parte fundamental de sus productos y no dejarla de lado como se viene hacien- do hasta ahora. "La seguridad desde el diseño y el cumplimiento de unos mínimos debidamente auditados debería ser una condición ineludible a la hora de poder poner a la venta cualquiera de estos dispositivos", estima Albors, de Eset España, quien añade que "se debería garantizar el soporte durante un periodo de tiempo mínimo para, en el caso de descubrir- se vulnerabilidades, lanzar los par- ches pertinentes y que los usuarios pudieran instalarlos", concluye. 68 red seguridad primer trimestre 2018 reportaje seguridad IoT monográfico