ISO 27400:2022 "Ciberseguridad - Seguridad y privacidad del IoT"

A mediados de junio de 2022, la ISO (Organización Internacional de Normalización), una federación mundial de organismos nacionales de normalización (organizaciones miembros de la ISO), ha publicado su último proyecto de norma de validez internacional para la protección de los dispositivos de la IoT con referencia a la salvaguardia y la protección de datos.

ISO 27400:2022 - Una esperada norma en profundidad para la seguridad holística del IoT

El ámbito de aplicación de la nueva norma ISO incluye medidas técnicas y organizativas en forma de directrices sobre riesgos, principios y controles para la seguridad y la privacidad de las soluciones del Internet de las cosas (IoT).

Según el grupo de expertos técnicos, "[la seguridad de la información] es una de las principales preocupaciones de cualquier sistema de tecnología de la información y la comunicación (TIC), y los sistemas de la Internet de los objetos (IoT) no son una excepción. Los sistemas de la IO plantean un reto especial para la seguridad de la información porque están muy distribuidos y comprenden un gran número de entidades diferentes. Esto da lugar a una superficie de ataque muy grande y a un gran reto para el sistema de gestión de la seguridad de la información (SGSI) para aplicar y mantener los controles de seguridad adecuados en todo el sistema.
La privacidad o la protección de los datos personales es una preocupación importante para algunos tipos de sistemas de IoT. Si un sistema de IO recopila o utiliza datos personales, suele haber leyes y reglamentos que se aplican a la recopilación, el almacenamiento y el tratamiento de datos personales. Aunque la normativa no sea importante, el manejo de la IIP por parte de un sistema de IO sigue siendo un problema de reputación y confianza para las organizaciones implicadas, por ejemplo, si la IIP es robada o utilizada de forma indebida y podría causar algún tipo de daño a las personas identificadas por la información.
Los controles de seguridad y privacidad de este documento se han desarrollado para que las partes interesadas en el entorno de un sistema IoT puedan utilizarlos durante todo el ciclo de vida del sistema IoT."

Diseño y estructura de la nueva ISO 27400:2022

Como era de esperar, la nueva norma ISO, de 42 páginas, está dividida en los conocidos capítulos de la norma, que vienen determinados por el Anexo SL, más 4 secciones más profundas. Se dividen en los siguientes temas principales:

5 conceptos de IoT
5.1 Generalidades
5.2 Características de los sistemas IoT
5.3 Partes interesadas en los sistemas de IO
5.4 Ecosistema IoT
5.5 Ciclos de vida de la IO
5.6 Modelo de referencia basado en el dominio
6 Fuentes de riesgo para los sistemas IoT
6.1 Generalidades
6.3 Fuentes de riesgo
7 Controles de seguridad y privacidad
7.1 Controles de seguridad
7.2 Controles de privacidad

Definición: ¿Qué es el Internet de los objetos y qué dispositivos forman parte de él?

No existe una definición formal de la Internet de los objetos, ya que el término abarca una amplia gama de usos que pueden contarse como parte de la idea básica de la IO por su función o forma de conexión. Sin embargo, en la mayoría de los casos, IoT describe una red para la comunicación entre máquinas. El término debe distinguirse de la Internet convencional(Internet social), en la que principalmente las personas se comunican con otras personas o máquinas (por ejemplo, servidores). El Internet de los objetos, en su fase actual de desarrollo, sólo ha sido posible gracias a los avances tecnológicos de las dos últimas décadas y se está convirtiendo en el cuasi-estándar de las nuevas plataformas tecnológicas.

Internet de los objetos en el sector privado

Los dispositivos IoT, accesibles para todo el mundo, tienen como objetivo principal facilitar la vida cotidiana. Para ello, se conectan entre sí dispositivos o aplicaciones con acceso a Internet y se hace posible su control. Pueden ser todos los componentes de un hogar inteligente, por ejemplo. A través del Internet de las Cosas, es posible que los usuarios reciban una notificación cuando se produzcan determinados eventos, por ejemplo, cuando la temperatura de la habitación desciende por debajo de un determinado valor o el cepillo de dientes eléctrico se utiliza con demasiada presión. Pero los sensores inteligentes del IoT también pueden garantizar de forma autónoma que una persiana oscurezca automáticamente la ventana, por ejemplo, sin que el ser humano tenga que intervenir.

Los términos ciudad inteligente y entorno inteligente también aparecen en el contexto de la IO. Abarcan la creación y el uso de una IO para optimizar el propio entorno, una ciudad entera o una región.

Internet industrial de los objetos (IIoT)

Además, el Internet de las Cosas industrial puede distinguirse del Internet de las Cosas privado. Aquí, máquinas individuales o plantas enteras están conectadas en red entre sí. El objetivo es aumentar la eficiencia:

  • Comunicación/intercambio de información entre máquinas, vehículos, contenedores y autómatas (M2M)
  • Alto grado de automatización
  • Optimización del proceso
  • Detección temprana de problemas (autodiagnóstico)
  • Evitar el fracaso
  • Fabricación con ahorro de recursos

El componente básico de este nuevo nivel tecnológico fue la identificación por radiofrecuencia (RFID). Permite que un dispositivo receptor identifique y localice al transmisor durante la transmisión sin contacto. (Fuente: Internet de los objetos: definición, aplicación y riesgos (link11.com))

La IIoT se equipara a menudo con el término Industria 4.0, pero esto no es correcto. Detrás hay un proyecto de digitalización que sólo será plenamente realizable en el futuro. Los requisitos previos para esta cuarta revolución industrial incluyen el Internet de las cosas, la computación en la nube y la inteligencia artificial (IA).

Proteger las cuentas privilegiadas (PAM) para proteger las tecnologías del IoT

Las cuentas de usuarios con privilegios, las contraseñas y los secretos están por todas partes: Según las estimaciones, su número suele ser de tres a cuatro veces mayor que el de los empleados. Especialmente con las tecnologías modernas que dependen de que todo esté conectado y sea accesible desde cualquier lugar, la superficie de ataque está creciendo rápidamente a medida que los sistemas, las aplicaciones, las cuentas máquina a máquina, los entornos de nube e híbridos, los DevOps, la automatización de procesos robóticos y los dispositivos de IoT proporcionan cada vez más acceso administrativo. Los atacantes lo saben y, por lo tanto, apuntan precisamente a estas cuentas privilegiadas. Más del 95 % de los ataques complejos se basan en la explotación de credenciales privilegiadas, ya que éstas proporcionan acceso a datos, aplicaciones e infraestructuras especialmente sensibles. En las manos equivocadas, estos privilegios pueden perturbar considerablemente las operaciones comerciales de una empresa.

VISULOX es una solución PAM desarrollada en Alemania para la protección de cuentas privilegiadas.

VISULOX Privileged Access Management es el componente central de acceso entre el usuario y sus tareas. Puede utilizarse para documentar quién tiene acceso a qué aplicación y cuándo, y quién lo autorizó y cuándo. A través de VISULOX Privileged Access Management la presentación de una solicitud también tiene lugar y también se documenta. Esto le permite controlar y tener una visión general de todas las actividades del sistema. Y todo ello sin cambios en el cliente ni en el servidor, durante el funcionamiento.

Controlar Controlar de forma centralizada todos los accesos de los usuarios privilegiados a los sistemas internos de TI y OT

Armonizar Armonizar los requisitos de acceso heterogéneos según las directrices de la organización

Confíe en en cualquier momento y en cualquier lugar, con registros a prueba de auditorías de todas las actividades de TI y OT

VISULOX ha sido desarrollado por amitego en Alemania desde 2003 y es utilizado en todo el mundo por pequeñas y medianas empresas, incluidas las del DAX30, de todos los sectores.

Tenemos más temas sobre los que nos gusta escribir.

Consentimiento para el uso de cookies con un banner de cookies real