redseguridad 072

54 red seguridad primer trimestre 2016 IoT opinión inteligencia en la nube y servicios. El Armagedón. Riesgos y focos de atención La inteligencia local y en la nube obligan a implementar controles en ambos espacios (el local y en la nube). Los servicios aceleran el uso y el universo IoT [Internet de las cosas], ese en el que el confort, la interrelación, la usabilidad y lo sexy están muy por encima de la seguri- dad. Nadie va a pagar más por evitar que su frigorífico inteligente envíe spam mientras le haga la compra de manera automática. Nadie es cons- ciente de la implicación que para su vida personal y solvencia social y económica tiene que la televisión y el frigorífico nos conozca mejor que nuestra madre y no apliquen ninguna seguridad a ese conoci- miento. No hay, por tanto, incentivo económico ni obligación legal para que el fabricante se plantee siquie- ra diseñar para una seguridad que nadie parece valorar. Para proporcionar esos nuevos servicios, los nuevos actores –que en su inmensa mayoría no tienen una cultura TIC– deben sensibili- zarse, no sólo concienciarse, de la existencia de las amenazas que pueden materializarse a través de con pereza al desafío del entor- no SCADA industrial, un entorno imprescindible y en muchas oca- siones estratégico o crítico, aparece un hiper-conjunto de nuevas formas de aplicar sensores y conmuta- dores a elementos cotidianos o industriales. Esta pereza es consecuencia del discurrir independiente de los siste- mas de control industriales y de la Seguridad TIC, de primar la usabi- lidad y el diseño por encima de la seguridad. Nos falta diálogo fluido y nos sobra desconocimiento de los requisitos, diseño y funcionamiento. La ausencia de sensibilidad de lo que es importante para ambas par- tes provoca el principal problema: la falta de seguridad y privacidad en el diseño. Dos conceptos básicos aún no asimilados por todos los actores. Y es en este momento, cuan- do todavía no hemos sido capaces de transmitir al entorno industrial esos dos conceptos básicos (no hablemos de las pruebas de segu- ridad en el proceso de fabricación, montaje y entrada en producción), cuando irrumpe el joven Internet de las cosas: a los sensores, actua- dores y comunicaciones básicas o limitadas, se les añade conectividad a Internet de serie, inteligencia local, I nternet de las cosas , Internet de las casas, Internet de las personas, Internet de la web, Internet del todo, Internet de los servicios, ciu- dades inteligentes, industria 4.0… Tantos términos para extender la visión de un mundo conectado, absolutamente conectado. Y no hablamos de otros mundos, todos y cada uno están en éste, con un grado de conexión sin preceden- tes, con un grado de riesgos sin precedentes, con una inseguridad sin precedentes. Nuevos collares, el mismo perro Los profesionales de la seguridad somos la Casandra pelma de las organizaciones, de la sociedad en su conjunto, la agorera que no hace más que anunciar los peligros mientras el resto sigue jugando en su teléfono inteligente o discutien- do cuestiones estratégicas de la compañía por Whatsapp. Y aquí estamos de nuevo advirtiendo de que seguimos usando las viejas for- mas de enfrentarnos a la tecnología (ignorando la seguridad por defecto en el diseño, la fabricación, des- pliegue, uso y mantenimiento de la tecnología) mientras los riesgos que identificamos no tienen preceden- te. Cuando aún nos enfrentamos Paloma LLaneza Comité Operativo del CEM Francisco Lázaro Director del Centro de Estudios de Movilidad e IoT del ISMS Forum (CEM) Internet de las cosas: pase hasta la cocina