• No se han encontrado resultados

SEGURIDAD Y PRIVACIDAD - ISMS Forum Spain

N/A
N/A
Info
Descargar
Protected

Academic year: 2023

Share "SEGURIDAD Y PRIVACIDAD - ISMS Forum Spain"

Copied!
65
0
0

Cargando.... (Ver texto completo ahora)

Descargar ahora ( 65 página )

Texto completo

Cuando reutilice o redistribuya la obra, debe dejar claros los términos de la licencia de la obra. Esta nueva inmersión en la tecnología es también una inmersión de la tecnología en nosotros.

Ilustración 1. Ejemplo de sistema de IoT para dispositivos de tipo Smartwatch. Fuente: Elaboración propia.
Ilustración 1. Ejemplo de sistema de IoT para dispositivos de tipo Smartwatch. Fuente: Elaboración propia.

COMPONENTES TECNOLÓGICOS

HOGAR (Smart Homes)

ENERGÍA (Smart Grids)

ÁMBITOS DE APLICACIÓN

  • SANIDAD
  • SMART CITIES
  • CONSUMIBLES
  • INDUSTRIA
  • AUTOMOCIÓN

El inicio del Internet de las cosas (IoT) llegó a nosotros casi sin previo aviso y hoy, con la ayuda de los teléfonos inteligentes, está presente en casi todos los hogares. Precisamente de la mencionada confianza en la seguridad en circulación surge la desconfianza hacia los expertos en seguridad de la información.

ASPECTOS DE SEGURIDAD

  • SEGURIDAD DE LA INFORMACIÓN EN SISTEMAS IOT
  • DIFICULTADES DE NEGOCIO
  • CONCIENCIACIÓN
  • ESTÁNDARES DE CALIDAD

Según la definición de activo como "algo que tiene valor para el usuario", la información dentro de este sistema puede identificarse como el activo más importante. Además de las medidas que deben tomar los fabricantes, también es necesario que los usuarios se preocupen por temas de seguridad y privacidad de los productos que adquieren; antes, durante y después de la compra.

ANÁLISIS DE LOS

VECTORES DE ATAQUE DEL INTERNET DE LAS

COSAS (IOT)

VECTORES DE ATAQUE

  • PUERTOS DE CONEXIÓN DEL DISPOSITIVO IOT
    • DESCRIPCIÓN Y OBJETIVOS DEL VECTOR DE ATAQUE
    • TÉCNICAS Y HERRAMIENTAS DE ATAQUE
    • EJEMPLOS DE VULNERABILIDADES Y/O INCIDENTES IOT EMPLEANDO ESTE VECTOR DE ATAQUE
  • FIRMWARE DEL DISPOSITIVO IOT
    • DESCRIPCIÓN Y OBJETIVOS DEL VECTOR DE ATAQUE
    • TÉCNICAS Y HERRAMIENTAS DE ATAQUE
    • EJEMPLOS DE VULNERABILIDADES Y/O INCIDENTES IOT EMPLEANDO ESTE VECTOR DE ATAQUE
  • COMUNICACIONES ENTRE EL DISPOSITIVO IOT Y “LA NUBE” (CLOUD)
    • DESCRIPCIÓN Y OBJETIVOS DEL VECTOR DE ATAQUE
    • TÉCNICAS Y HERRAMIENTAS DE ATAQUE
    • EJEMPLOS DE VULNERABILIDADES Y/O INCIDEN- TES IOT EMPLEANDO ESTE VECTOR DE ATAQUE
  • COMUNICACIONES ENTRE EL DISPOSITIVO IOT Y DISPOSITIVOS Y/O APLICACIONES MÓVILES
    • DESCRIPCIÓN Y OBJETIVOS DEL VECTOR DE ATAQUE
    • TÉCNICAS Y HERRAMIENTAS DE ATAQUE
  • COMUNICACIONES INALÁMBRICAS DEL DISPOSITIVO IOT
    • DESCRIPCIÓN Y OBJETIVOS DEL VECTOR DE ATAQUE
    • TÉCNICAS Y HERRAMIENTAS DE ATAQUE
    • EJEMPLOS DE VULNERABILIDADES Y/O INCIDENTES IOT EMPLEANDO ESTE VECTOR DE ATAQUE
  • INTERFAZ WEB (Y OTROS INTERFACES DE GESTIÓN) DEL DISPOSITIVO IOT
    • DESCRIPCIÓN Y OBJETIVOS DEL VECTOR DE ATAQUE
    • TÉCNICAS Y HERRAMIENTAS DE ATAQUE Para llevar a cabo los ataques sobre el servidor web
    • EJEMPLOS DE VULNERABILIDADES Y/O INCIDENTES IOT EMPLEANDO ESTE VECTOR DE ATAQUE
  • OTROS SERVICIOS DE RED DEL DISPOSITIVO IOT
    • DESCRIPCIÓN Y OBJETIVOS DEL VECTOR DE ATAQUE
    • TÉCNICAS Y HERRAMIENTAS DE ATAQUE
    • EJEMPLOS DE VULNERABILIDADES Y/O INCIDENTES IOT EMPLEANDO ESTE VECTOR DE ATAQUE
  • ALMACENAMIENTO LOCAL DE DA- TOS E INFORMACIÓN EN EL DISPOSITI-
    • DESCRIPCIÓN Y OBJETIVOS DEL VECTOR DE ATAQUE Todo dispositivo IoT necesitará de algún tipo de memoria no
    • TÉCNICAS Y HERRAMIENTAS DE ATAQUE
    • EJEMPLOS DE VULNERABILIDADES Y/O INCIDENTES IOT EMPLEANDO ESTE VECTOR DE

Este vector de ataque se describe detalladamente en los apartados 2.1 y 2.2, que están relacionados con el análisis de los puertos de conexión y el firmware del dispositivo IoT, respectivamente. La clasificación propuesta tiene como objetivo proporcionar una visión general de las áreas de exposición de los dispositivos IoT. Este vector de ataque se describe en detalle en la sección 1.6, que está relacionada con la interfaz web y otras interfaces de administración del dispositivo IoT.

En el caso concreto de los dispositivos IoT, actualmente existe una considerable heterogeneidad en el conjunto de firmwares y sistemas operativos disponibles, adaptándose a las capacidades del dispositivo en el que se instala. El uso de servicios "en la nube" para la administración, gestión y control remoto del dispositivo IoT, o para la obtención de datos relacionados con su funcionalidad (manual o automáticamente), no requiere la apertura de puertos primero en el perímetro de la red donde se encuentra el dispositivo. ubicado. instalado o utiliza UPnP, por lo que se considera una solución más segura a priori. Se recomienda que el dispositivo IoT y/o el servicio en la nube proporcionen ajustes de configuración que permitan al propietario limitar las capacidades de interoperabilidad entre los dos y que no permitan que se relaje el nivel de seguridad predeterminado de los dispositivos.

Por tanto, permiten detectar y explotar vulnerabilidades tanto en el dispositivo IoT como en el servicio en la nube.

IMPACTO DE LAS TECNOLOGÍAS IoT Y

DISPOSITIVOS MÓVILES EN LA

PRIVACIDAD DE LAS PERSONAS

El concepto de privacidad no es unánime en todas las culturas jurídicas, aunque todas coinciden en que se trataría de invocar la protección de terceros para la privacidad de aquellos aspectos personales que se prefiere no revelar. Según la RAE Privatliv es la cualidad de lo privado, es el ámbito de la privacidad que uno tiene derecho a proteger contra cualquier intrusión. Por tanto, es necesario establecer un concepto más concreto que proteja a los ciudadanos del impacto del uso de objetos conectados y del procesamiento masivo de datos con impacto en su privacidad.

Este concepto sería el de protección de datos, entendido como el derecho a poseer los datos, a retirar el consentimiento prestado, a controlar su uso, en definitiva, dondequiera que se encuentren los datos. Así, los datos siempre son propiedad del mismo y puedo gestionarlos con total libertad y control.

1.1 | EL DERECHO A LA PROTECCIÓN DE DATOS

El derecho a la protección de datos en España, como no podía ser de otra manera, ha discurrido paralelo al derecho comunitario, considerando la protección de datos personales como un derecho fundamental. La primera manifestación se produce tras la ratificación del Convenio 108 con la proclamación de la Ley Orgánica 5/1992, de 29 de octubre, por la que se regula el tratamiento automatizado de datos personales. Posteriormente, fue derogada por la actual Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, que constituye el marco jurídico general para la protección de datos personales junto con su normativa de desarrollo, el Real Decreto de 21 de diciembre, por el que se aprueba el Ordenanza de desarrollo de la ley orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

La garantía de la intimidad de la persona y de su reputación tiene hoy una dimensión positiva que excede el alcance del derecho fundamental a la intimidad (art. 18.1 CE) y que se traduce en un derecho a controlar los datos que conciernen a la propia persona. . La particularidad de este derecho fundamental a la protección de datos en relación con este derecho fundamental, tan relacionado como la privacidad, radica en su diferente función, lo que implica por tanto que su finalidad y contenido también son diferentes.

1.2 | EL PROBLEMA DEL CONSENTIMIEN- TO EN EL IOT

EL TRATAMIENTO MASIVO DE DATOS Y MEDIDAS DE

MITIGACIÓN

EL REGLAMENTO DE E-PRIVACY

Por lo tanto, el Reglamento se aplica al procesamiento de datos de comunicaciones electrónicas realizado en relación con la prestación y utilización de servicios de comunicaciones electrónicas, así como a la información relacionada con los equipos terminales de los usuarios finales. En particular, la Directiva se aplica tanto a la prestación de servicios de comunicaciones electrónicas a usuarios finales en la UE como a la protección de la información relacionada con los equipos terminales de los usuarios finales en la UE. Los proveedores no estarán obligados a obtener el consentimiento para el tratamiento cuando los datos de las comunicaciones electrónicas sean necesarios para transmitir la comunicación, y ello durante el plazo necesario para tal fin, o cuando sean necesarios para mantener la seguridad de la comunicación o para recuperarla. . redes y servicios de comunicaciones electrónicas, o detectar mal funcionamiento o errores técnicos en la transmisión de comunicaciones electrónicas, durante el período de tiempo necesario.

Cuando sea necesario con el único fin de realizar la transmisión de una comunicación electrónica a través de una red de comunicaciones electrónicas, o. Los usuarios finales que hayan dado su consentimiento al tratamiento de datos de comunicaciones electrónicas tendrán la posibilidad de retirar su consentimiento en cualquier momento, de conformidad con lo dispuesto en el artículo 7, apartado 3, del Reglamento (UE) y se les recordará. posibilidad de intervalos regulares de seis meses mientras continúe el tratamiento.

CONCLUSIONES

Uno de los problemas innegables que ya hemos destacado es la recogida del consentimiento informado en el mundo IoT, donde las posibilidades de proporcionar información al usuario de forma anticipada suelen ser limitadas. Los propietarios de los datos deben conservar el control sobre los mismos, incluido el derecho a limitar la recopilación y el uso de los datos a lo que sea absolutamente necesario. En cambio, parece más apropiado utilizar "prácticas de información justas" en las que se definan afirmativamente los derechos de los consumidores y las responsabilidades de las empresas que recopilan datos o, como estipula el Reglamento ePrivacy, el uso de aplicaciones que recopilen el consentimiento. y recuerda la opción de cancelar cada seis meses.

Recopilar datos de algunos productos en modo de muestreo que sean representativos de un porcentaje de los objetos conectados, en lugar de recopilar datos de todos los productos; Las entidades que recopilan datos de dispositivos inteligentes u objetos conectados deben limitar la cantidad y el tipo de datos a recopilar, proceder a su eliminación completa y automática dentro de un período de tiempo determinado, asegurando la sincronización automática o estándar de los datos del dispositivo con una red centralizada. .limitado. base de datos.

BUENAS PRÁCTICAS Y MEDIDAS DE

CONFIANZA EN

DISPOSITIVOS IOT ORIENTADOS AL

USUARIO FINAL

INTRODUCCIÓN

  • EL “ESTADO DEL DESASTRE” EN MATERIA DE SEGURIDAD EN IOT
  • BUENAS PRÁCTICAS Y MARCA DE GARANTÍA DE CIBERSEGURIDAD EN IOT

La realidad que se ha vivido en los últimos tiempos respecto a la seguridad de los productos IoT refleja en cada uno de los sectores antes mencionados un panorama oscuro. En 2016, después de incurrir en enormes costes, los mismos investigadores demostraron que la solución proporcionada por Chrysler no era eficaz y que los coches seguían siendo vulnerables. https://www.wired.com/2016/08/jeep-hackers-return-high-speed-steering-acceleration-hacks/). La campaña navideña de 2015 fue especialmente intensa en el ámbito de los juguetes interconectados.

En enero de 2017, se confirmó que los dispositivos cardíacos implantados por St. https://. Por este motivo, el Centro de Estudios de Movilidad e IoT (CEM) del Foro ISMS España ha elaborado este manual de buenas prácticas dirigido a la certificación de dispositivos IoT.

SEGURIDAD EN EL DISEÑO

Se elabora una serie de directrices para cada dominio y se incluye como anexo un checklist con todos los controles definidos en el manual. La gestión de la seguridad en el ciclo de vida comercial en el ámbito del IoT es un elemento fundamental para una estrategia de seguridad robusta y a largo plazo, ya que la seguridad se configura como una parte del ecosistema IoT en constante evolución, por lo que el establecimiento de buenas prácticas es fundamental. Las buenas prácticas de este bloque se centran en la respuesta y los mecanismos de respuesta ante incidentes de seguridad.

Hay dos momentos a considerar al configurar la lista de verificación de autoevaluación en Gestión de la seguridad en el ciclo de vida comercial en dispositivos IoT: el período de uso del dispositivo y el momento de su desmantelamiento. Tiempo de respuesta del consumidor, que debe establecerse según el tipo de dispositivo y la brecha.

GOBIERNO Y SEGURIDAD EN EL CICLO DE VIDA

COMERCIAL

  • Las condiciones de garantía, soporte y canal de atención al consumidor deben tener en cuenta de forma específica aspectos de ciberseguridad
  • La garantía y soporte del producto en materia de Ciberseguridad (incluidos parches y actua- lizaciones) debe extenderse al menos por un periodo equivalente al tiempo medio de vida del
  • Debe existir y ser comunicado al usuario un proceso y un canal de comunicación (email, telé- fono) para que puedan comunicarse incidencias y brechas de seguridad del producto
  • Mantener continuamente informado al usuario respecto a los riesgos y vulnerabilidades de seguridad del producto IoT
  • Deben figurar en las instrucciones o manual del producto recomendaciones al usuario en materia de Ciberseguridad, que le permitan en su caso mejorar las características de seguridad
  • Monitorización continua de servicios expuestos en el ecosistema para descubrir y en su caso alertar sobre vulnerabilidades de seguridad
  • Método documentado para la eliminación segura de la información almacenada en el ecosis- tema IoT en caso de sustitución o fin de vida útil
  • PROTECCIÓN EN EL HARDWARE / FIRMWARE
  • SEGURIDAD EN LAS COMUNICACIONES
  • SEGURIDAD EN SISTEMAS
  • SEGURIDAD JURÍDICA

Para aquellos datos que hayan sido colocados de esta forma en el análisis de riesgos, se procederá al establecimiento de medidas de cifrado e integridad de la información. Llevar registros de las conexiones, con base en lo que se determine en el análisis de riesgos. La seguridad de los sistemas tiene en cuenta la dimensión del sistema operativo y el software subyacente de los actores expuestos en la sección anterior.

Elevación de privilegios, en la que las funciones se pueden realizar con un nivel de seguridad más alto que el definido originalmente. Información en el embalaje del producto (por ejemplo a través de un enlace a una página web) sobre la política de tratamiento de datos personales y las medidas técnicas aplicadas.

Figure

Ilustración 1. Ejemplo de sistema de IoT para dispositivos de tipo Smartwatch. Fuente: Elaboración propia.

Referencias

Descargar ahora ( PDF - 65 página - 6.74 MB )

Outline

INTERFAZ WEB (Y OTROS INTERFACES DE GESTIÓN) DEL DISPOSITIVO IOT ALMACENAMIENTO LOCAL DE DA- TOS E INFORMACIÓN EN EL DISPOSITI- 1.2 | EL PROBLEMA DEL CONSENTIMIEN- TO EN EL IOT MITIGACIÓN USUARIO FINAL COMERCIAL

Documento similar

Clima organizacional y satisfacción laboral

Edwin Gustavo Estrada Araoz1,*; Helen Juddy Mamani Uchasara1; Jorge Wilfredo Chura Jaliri2 Resumen El presente trabajo de investigación tuvo como objetivo establecer la relación que