José Luis Montero, Business Manager d'IThinkUPC
El 5 de juny passat vam participar en el principal esdeveniment anual sobre seguretat de la informació: el congrés Segurinfo. L'objectiu d'aquest esdeveniment, organitzat per USUARIA des de l'any 2005, és ser el fòrum professional per compartir experiències i avaluar solucions als desafiaments de seguretat que genera el creixement de l'ús de les tecnologies de la informació i les comunicacions.
Nosaltres hi vam presentar la ponència ¿Un análisis de riesgos para dispositivos IoT? Sí, pero ¿cómo y por qué? per provar de concretar, amb un cas pràctic (i real), com adequar una anàlisi de riscos per a dispositius IoT, identificant no només els actius sinó també els nous protocols de comunicació, les seves vulnerabilitats i amenaces, per, finalment, aconseguir un pla de tractament del risc basat en el risc de negoci i tecnològic.
Quan parlem d’IoT, tots visualitzem milions de dispositius, molt heterogenis, a diferents escales i connectats a Internet. Solen ser equips no TI, com ara impressores, equips industrials, de vigilància, de mesura... i de qualsevol àmbit: des de la logística i la fabricació fins a la sanitat i les infraestructures intel·ligents, interconnectats en diferents graus de densitat o automatització. La IoT ofereix ja als negocis noves oportunitats per crear valor.
Però aquesta connectivitat permanent i les dades gestionades també crea noves oportunitats perquè la informació quedi compromesa. Les tendències indiquen que en el futur, a curt i mitjà termini, hi haurà atacs a gran escala aprofitant les seves vulnerabilitats, com ja ha succeït en el passat amb l'atac Dyn, basat en múltiples atacs de denegació de servei (DoS) des de dispositius IoT, de 2016. Aleshores?
El primer que cal fer és conèixer el nivell de seguretat d'aquests dispositius en la nostra organització. Sabem els riscos de seguretat associats? El que diferencia la IoT de la "Internet tradicional" és fonamentalment una cosa: les persones. La IoT és desatesa i no necessita cap intervenció humana per funcionar. Per això, com que cada vegada es comparteixen més dades a través de la IoT, més sensibles i entre més participants, els riscos són sensiblement més grans.
Per tant, és necessari que les organitzacions facin una anàlisi d'aquestes noves fonts d'informació, basada en amenaces d'origen extern i fins i tot intern. Però des del punt de vista de la seguretat i la confiança, el repte és que aplicar sense més ni més les metodologies existents d'anàlisi de risc ens pot suposar no reconèixer els riscos d'aquests nous ecosistemes.