La seguridad en el IoT es indiscutiblemente un campo complejo que requiere la experiencia de un especialista. Las organizaciones tienen que decidir si conservan este recurso escaso, con las inversiones asociadas en formación continua, o colaboran con empresas externas que puedan ofrecer el soporte necesario a lo largo del ciclo de desarrollo.
Como las aplicaciones de Internet de las Cosas (IoT) se convierten en misiones críticas, la seguridad es un aspecto primordial, pero por su propia naturaleza, los ecosistemas IoT son vulnerables a las amenazas en múltiples niveles.
Al encontrarse con un panorama en constante evolución, los desarrolladores de estos ecosistemas demandan un enfoque de seguridad ágil, con la intención de responder rápidamente a los peligros emergentes. Tanto los fabricantes de dispositivos como los desarrolladores del ecosistema deben tener estrategias de seguridad IoT sencillas, escalables y sostenibles para poder lograr sus objetivos de negocio a corto y largo plazo.
Este artículo describe los procesos que deberían seguirse al desarrollar dispositivos IoT extremadamente seguros y los ecosistemas que posibilitan.
Garantía de seguridad y calidad
Los actuales procesos de gestión de calidad total (Total Quality Management – TQM) en la industria del software ya abordan los problemas de seguridad y el método PDCA Plan, Do, Check, Act (Planificar, Hacer, Verificar y Actuar), que se muestra en la Figura 1, se incorporó al estándar de la seguridad de la información ISO-27001 y es bien conocido como una metodología de desarrollo seguro.
Los desarrolladores de los ecosistemas IoT también deben demostrar la conformidad con las regulaciones y los estándares relevantes a través de la aprobación de organismos públicos independientes.
Entre estos estándares se encuentran los Common Criteria for Information Technology Security Evaluation – Criterios Comunes para la Evaluación de Seguridad de la Tecnología de la Información (ISO/IEC 15408), el Federal Information Processing Standards Publication – Publicación de los Estándares Federales de Procesamiento de la Información (FIPS) de Estados Unidos y, en Francia, la Certificación de Seguridad de Primer Nivel (CSPN), dirigida por la Agencia Nacional de Ciberseguridad (ANSSI). En la Unión Europea (UE), los productos, los métodos y los servicios se verifican mediante el proceso de Certificación de la Ciberseguridad Europea, propiedad de la Agencia Europea de Seguridad de las Redes y de la Información. Este proceso se basa en el éxito de CSPN y refrenda, una vez emitido, el reconocimiento en toda la UE.
Además de sortear las complejidades del proceso PDCA, las organizaciones que desarrollan los ecosistemas IoT seguros también tienen que saber cómo y cuándo interactuar con los organismos de estándares y las agencias de aprobación relevantes.