ISACA Journal
Volume 3, 2,017 

Translated Articles 

Fuente de ayuda 

Sunil Bakshi, CISA, CRISC, CISM, CGEIT, ABCI, AMIIB, BS 25999 LI, CEH, CISSP, ISO 27001 LA, MCA, PMP 

Q  Varias encuestas señalan que entre 20 y 50 mil millones de dispositivos serán conectados a través de Internet por 2020. ¿Cuáles son las amenazas asociadas con el uso de la Internet de las Cosas (IoT) y qué enfoque se debe tener en la implementación de la seguridad para IoT?

A  Hasta ahora, las consideraciones de seguridad de la información están bien establecidas. Iniciativas para centrarse en la seguridad cibernética debido a nuevas amenazas como la denegación de servicio distribuida (DDoS), las amenazas persistentes avanzadas Y los ataques dirigidos ya están siendo implementados por las organizaciones. La implementación de IOT presenta nuevos desafíos de seguridad, especialmente a medida que esta tecnología se vuelve más penetrante e integrada en nuestra vida cotidiana. Esas preocupaciones incluyen:

  • ¿Pueden dispositivos conectados a través de Internet ser sujetos a ataques de malware?
  • ¿Pueden estos dispositivos ser usados para lanzar DDoS ataques?
  • ¿Los dispositivos mal asegurados servirán como puntos de entrada para los ciberataques?
  • ¿Se aprovechará la transmisión de datos de estos dispositivos, dando como resultado fugas de datos y problemas relacionados con la privacidad?

Abordar estos retos para asegurar que los productos y servicios de IOT tengan controles para mitigar el riesgo debe ser considerado antes de implementar estos servicios y productos. Las preocupaciones se intensifican aún más debido a la complejidad involucrada en el despliegue de productos y servicios de IoT. Otras consideraciones, como el despliegue masivo, los canales de comunicación de dispositivos a dispositivos, la colocación de estos dispositivos en entornos no seguros y otras vulnerabilidades presentes en entornos back-end que generalmente se implementan utilizando la tecnología de la nube contribuyen a esta complejidad. Los dispositivos IoT se despliegan en muchos lugares como hogares, oficinas, tiendas, edificios, hospitales, fábricas, lugares de trabajo, áreas de la ciudad.

El éxito de estos servicios y productos basados en IOT depende de la pregunta: “¿Confiarán los usuarios estos productos y servicios?”. Para establecer esta confianza, los proveedores de servicios deben proteger los dispositivos IoT de vulnerabilidades. Las preocupaciones de seguridad relacionadas con IoT son:

  • El costo de los dispositivos puede aumentar debido a la seguridad que debe implementarse.
  • La interoperabilidad de los dispositivos es una preocupación ya que hay muchas entidades a las que los dispositivos necesitan ser conectados. Estos pueden ser otro dispositivo de otro fabricante, proveedor de servicios de pórticos, proveedor de servicios de plataforma y usuarios de datos.
  • Actualización de dispositivos o parchear dispositivos para abordar la vulnerabilidad identificada después del despliegue. Los usuarios no pueden seguir el proceso de actualización necesario debido a inconvenientes.
  • Corrección de vulnerabilidades después de la implementación puede ser difícil y más costoso.
  • Los dispositivos desplegados no se pueden mantener debido a la falta de disponibilidad del fabricante/contrato de mantenimiento, etc.
  • Las cuestiones regulatorias y legales transfronterizas pueden hacer más difícil garantizar la seguridad de los dispositivos IoT.

Para abordar estas preocupaciones, es necesario adoptar un enfoque de colaboración para la seguridad. El enfoque clásico para la recopilación de información y la seguridad cibernética ayudará a proporcionar una seguridad razonable a los usuarios. Se pueden considerar los siguientes puntos:

  • Evaluación de riesgos—Mientras se planifica el desarrollo de dispositivos y servicios relacionados con la IOT, una evaluación detallada del riesgo usando el negocio es el primer paso. Muchas organizaciones adoptan un enfoque de evaluación de riesgos basado en activos para la tecnología de la información que puede no ayudar en esta situación. Es necesario considerar la “incertidumbre en la consecución de los objetivos de negocio” y evaluar el riesgo sobre la base de los posibles efectos no sólo en los negocios, sino también en los usuarios de estos dispositivos interconectados.
  • Desarrollo seguro de aplicaciones—Los dispositivos IoT se colocan en Internet y, por lo tanto, están sujetos a riesgos relacionados con Internet. Teniendo en cuenta el despliegue masivo, será muy difícil y definitivamente no es rentable monitorear estos dispositivos para ataques cibernéticos conocidos como el ambiente de TI interno sería capaz de hacer. Por lo tanto, construir la seguridad en el diseño de los dispositivos y las aplicaciones que controlarán estos dispositivos mientras que desarrollan las aplicaciones es el mejor acercamiento preventivo.
  • Seguridad del canal de comunicación—Casi todos los dispositivos IoT están conectados a Internet en las conexiones Wi-Fi en la casa de un usuario u oficina, o donde quiera que se encuentre el dispositivo. Si esta conexión es insegura, IoT puede verse comprometida. Por ejemplo, un refrigerador desprotegido o un televisor infectado con malware puede enviar miles de correos electrónicos nocivos de spam a los destinatarios de todo el mundo mediante la conexión a Internet Wi-Fi del propietario.1

    Los dispositivos IoT adoptan múltiples modelos de comunicación:2
    • Dispositivo a dispositivo
    • Dispositivo a plataforma (nube)
    • Dispositivo a puerta de enlace
    • Compartición de datos back-end

    El despliegue de estos modelos depende de los productos y servicios proporcionados. La seguridad de la comunicación depende de la respuesta a la pregunta: “¿Cuán seguros son estos canales?” El uso de encriptación en el nivel de aplicación es una forma de asegurar la comunicación; sin embargo, el problema aquí es el de la interoperabilidad entre los proveedores de servicios de los pórticos, los proveedores de servicios en la nube o la plataforma, los fabricantes de dispositivos y los usuarios de datos back-end compartidos desde una plataforma en la nube (cloud).
  • Seguridad de la plataforma—Las organizaciones que hospedan servicios de plataforma deben adoptar las directrices de seguridad en la nube.
  • Métricas de rendimiento para los dispositivos implementados—Dado que estos dispositivos pueden comunicarse, es más fácil capturar datos relacionados con el rendimiento. Sin embargo, debe ser apoyado por el monitoreo del desempeño e identificar los problemas, si los hay.
  • Cumplimiento relacionado con la privacidad—Puesto que los dispositivos IoT recopilan y comunican los datos a dispositivos back-end u otros, los usuarios deben ser conscientes de la naturaleza y el tipo de datos que se comunican. De acuerdo con los principios de privacidad, se debe proporcionar aviso y elección de opción antes de implementar el dispositivo.
  • Supervisión de amenazas y gestión de incidentes—Las amenazas a la plataforma de back-end deben ser monitoreadas; Sin embargo, debido a la extensión de los dispositivos IoT, es imposible supervisar cada uno de ellos individualmente y tomar medidas correctivas.

Q  Todavía estoy luchando con la auditoría del entorno de la nube. También conozco recursos como el Cloud Security Alliance Security Trust y Assurance Registry (CSA STAR) y Cloud Controls Matrix (CCM) y el cuestionario de la Iniciativa de Evaluación de Consenso (CAIQ). También aprovecho otros artefactos como el PCI DSS) (Por ejemplo, Ro’s, etc.), auditorías de la organización de controles de servicios (SOC), etc.

Sin embargo, sólo un subconjunto de los proveedores de servicios en mi entorno, tienen estos artefactos. ¿Cuáles son algunas de las mejores prácticas para lograr esto-particularmente con proveedores de servicios más pequeños que podrían no saber qué son estas cosas?

A Cualquier auditoría se planifica en función del alcance de la auditoría. Ahora, ¿cuál es el alcance de su auditoría? Supongo que está auditando una organización que está utilizando un proveedor de servicios de la nube (cloud) para la tecnología de la información. Puede ser sólo para infraestructura (IaaS); o plataformas (PaaS), incluyendo sistemas operativos, bases de datos, middleware excepto la aplicación; o puede utilizar aplicaciones alojadas en la nube (SaaS). Los objetivos de la auditoría cambiarán dependiendo del tipo de servicio.

Continuar la auditoría mediante la comprensión de los objetivos de la organización siendo auditada. Cuando se trata de auditoría de servicios en la nube prestados por un proveedor de servicios de terceros, utilizar técnicas de auditoría como cualquier otro proveedor de servicios de terceros con el enfoque en los objetivos de la organización. Verificar el contrato para el tipo de aseguramiento del proveedor de servicios. Tenga en cuenta que el uso de servicios de la nube de terceros es el mismo que el de tercerización en una ubicación de terceros. (Puede consultar la gestión de proveedores utilizando COBIT 5. El libro tiene un capítulo sobre cómo gestionar proveedores de servicios en la nube.3) Podría haber dos opciones en el contrato.

  1. El proveedor de servicios le permite, como auditor, auditar el entorno de la nube.
  2. El proveedor de servicios proporciona un informe de auditor externo independiente.

En el caso de la primera opción, donde necesita auditar al proveedor de servicios en la nube, los recursos que mencionó son útiles. La principal ventaja de estos recursos es que proporcionan una referencia para seleccionar controles apropiados. Tenga en cuenta que sólo los controles aplicables del CCM de la CSA podrían requerirse para ser auditados en función de los niveles de servicio. La versión amistosa del CAIQ del CCM usando preguntas sí/no puede también ayudar a una evaluación rápida.

El registro STAR de CSA4 es una lista de proveedores de servicios en la nube que cumplen con los requisitos de seguridad de CSA. IT es lo mismo que la certificación ISO 27001, que puede proporcionar una garantía limitada de que el tercero ha implementado los controles requeridos; sin embargo, su efectividad en curso necesita ser verificada.

En el caso de la segunda opción, el proveedor de servicios en la nube tiene muchos clientes y, por lo tanto, puede no estar de acuerdo en ser auditado por cada cliente. En este escenario, asegúrese de que el informe del auditor independiente esté disponible. Anteriormente, el informe de auditoría SAS70 era el más común, el cual ahora ha sido sustituido por SSAE16/SAE 3402.5 Tiene tres tipos de informes:

  • El SOC 1 se centra en los controles pertinentes sobre la información financiera.
  • SOC 2 se refiere a la seguridad, disponibilidad, integridad, confidencialidad y privacidad de los sistemas de información.
  • SOC 3 es como una certificación y no proporciona detalles de las pruebas realizadas.

Algunos auditores expertos opinaron que el SSAE 16 es más estricto que el ISAE 3402, ya que requiere que el auditor evalúe el riesgo asociado con actos intencionales por parte del personal de la organización de servicios.

Notas Finales

1 Starr, M.; “Fridge Caught Sending Spam Emails in Botnet Attack,” CNET, 19 January 2014, www.cnet.com/news/fridge-caught-sending-spam-emails-in-botnet-attack/
2 Rose, K.; S. Eldridge; L. Chapin; The Internet of Things: An Overview, October 2015, www.internetsociety.org/sites/default/files/ISOC-IoT-Overview-20151022.pdf
3 ISACA, COBIT 5, USA, 2012, www.isaca.org/COBIT/pages/default.aspx
4 Cloud Security Alliance, CSA Security, Trust and Assurance Registry (STAR), https://cloudsecurityalliance.org/star/
5 International Standard on Assurance Engagements, ISAE No. 3402, http://isae3402.com/ISAE3402_overview.html

Sunil Bakshi, CISA, CRISC, CISM, CGEIT, ABCI, AMIIB, BS 25999 LI, CEH, CISSP, ISO 27001 LA, MCA, PMP
Ha trabajado en TI, gobierno de TI, auditoría de SI, seguridad de la información y gestión de riesgos de TI. Tiene 40 años de experiencia en diversos cargos en diferentes industrias. Actualmente, es consultor independiente y miembro del profesorado visitante en el Instituto Nacional de Gestión de Bancos, India.

 

Add Comments

Recent Comments

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and from opinions endorsed by authors’ employers or the editors of the Journal. The ISACA Journal does not attest to the originality of authors’ content.