Kaspersky Lab trabaja para el desarrollo seguro de IoT
El Manual Práctico del Modelo de Madurez de Seguridad (SMM) se basa en los conceptos identificados en el Marco de Seguridad Industrial de Internet del IIC, publicado en 2016. El SMM es el primero de su tipo, que analiza la reciente estrategia de madurez de seguridad establecida para el Internet de las Cosas (IoT). El modelo identifica un marco de seguridad para los grupos de interés de IoT en función de sus niveles de seguridad y evalúa la madurez de los sistemas de una organización al observar la gestión de gobierno, tecnología y sistemas. Otros modelos pueden estar alineados con una industria en particular, por ejemplo, con IoT pero no con seguridad, o bien, con seguridad pero no con IoT. El SMM cubre todos estos aspectos y enfatiza los elementos de los modelos existentes, donde sea apropiado, para señalar el trabajo existente y evitar la duplicación.
La guía se ha realizado teniendo en cuenta la variedad de grupos de interés de IoT. No solo los expertos en seguridad son quienes prestan atención a mejorar la seguridad de la infraestructura que conecta los sistemas de información con los objetos físicos, sino también los operadores de instalaciones industriales, desarrolladores de software con fines específicos, propietarios de empresas pertinentes y autoridades reguladoras. Por lo tanto, a diferencia de los estándares y requisitos comunes, el manual práctico de SMM toma en consideración los intereses y las necesidades de seguridad de todas las organizaciones e individuos involucrados y que gestionan las operaciones de IoT.
Además, la guía del practicante contiene tres casos de estudio que ayudan a los grupos de interés de IoT a aplicar el Modelo de Madurez de Seguridad. Estos incluyen, por ejemplo, una línea de embotellado más inteligente basada en datos, un puerto de enlace para automóviles que admite actualizaciones directas y cámaras de seguridad utilizadas en entornos residenciales.
La guía ayuda a los operadores de IoT a comprender su estado actual, su objetivo y los pasos que deben seguir para alcanzarlo. Después de evaluar esto, y con el tiempo, las organizaciones pueden mejorar su estado de seguridad al continuar haciendo evaluaciones de su sistema de IoT y realizando mejoras basadas en los 36 parámetros enumerados, hasta alcanzar el nivel requerido.
Ekaterina Rudina, analista senior de sistemas en Kaspersky Lab comenta: ‘La priorización de las medidas de seguridad, el establecimiento de objetivos y el desarrollo de una estrategia para hacer que un sistema sea lo ‘suficientemente seguro’ es un objetivo que afecta la planificación económica de las organizaciones a largo plazo, junto con la inversión, la elección del programa de seguros o cualquier otra función con incentivos en conflicto. La estrategia moderna de tales funciones incluye el uso del llamado ‘pequeño empujón’ – la creación de una arquitectura alternativa que apoya a la toma de decisiones eficiente en un área determinada. El SMM de IoT es un marco para esa arquitectura alternativa en el campo de la seguridad de la información de IoT. Permite a los actores dar el primer paso (y luego el segundo, el tercero, etc.) en el camino hacia un sistema seguro, ya sea una planta de fabricación a gran escala o una pulsera de fitness’.
El grupo de expertos ha estado trabajando en el proyecto durante casi dos años: a principios de 2017, el equipo de Aplicación de Seguridad, que se enfoca en el uso de prácticas de seguridad en aplicaciones de IoT de la vida real dentro de la CII, comenzó a explorar un modelo de madurez. El Manual Práctico de SMM complementa al White Paper SMM de IoT: Descripción y uso previsto, publicado en 2018.
