martes, 22 de noviembre de 2016

Guías de NIST y DHS

La Casa Blanca y el "Department of Homeland Security" (DHS) difundieron dos publicaciones independientes sobre ciberseguridad en IoT. Cubren directrices y principios para crear dispositivos IoT con medidas de seguridad incorporadas, así como protocolos recomendados para implementar tales medidas.

La administración de Obama "apresuró" la publicación del NIST, debido a la urgente escalada alrededor de la ciberseguridad de los dispositivos IoT después del mayor ataque de DDoS a infraestructuras de Internet de USA, ocurrido el mes pasado.
 
La ciberseguridad comenzó a ser una preocupación desde los 90 cuando se masificó la conectividad a Internet. Cuando la conectividad llegó a los dispositivos móviles en la década de 2000, se convirtió en un problema aún más grande. Hoy, IoT es el siguiente paso de preocupación, ya que implica un gran número de dispositivos interconectados que están perpetuamente en línea. Esto aumenta significativamente la magnitud del riesgo.

Ambas publicaciones tienen como objetivo guiar las medidas de seguridad en la etapa de diseño y fabricación en lugar de en el nivel de usuario. Lo cual contrasta con las decisiones que suelen tomarse al intentar mejorar la seguridad cuando ya se tiene un producto terminado, lo cual desde el punto de vista conceptual es un error muy caro. 

De todos modos garantizar la seguridad en etapas de diseño y fabricación trae consigo el factor costo, la pregunta más importante es: ¿ pueden los fabricantes de dispositivos estar lo suficientemente incentivados como para que valga la pena gastar tiempo, dinero y esfuerzo en incorporar hardware y software de seguridad en sus dispositivos ? Ver para creer.

Ambas guías <NIST> <DHS> se enfocan en los fundamentos y procesos del ciclo de vida del sistema para la fabricación de dispositivos y proporcionan pautas para incorporar protocolos y mecanismos de seguridad como parte del propio ciclo de vida del producto. La publicación de Homeland Security va un paso más allá y aborda las cuestiones desde el punto de vista del consumidor industrial. 

El objetivo de estas publicaciones es el de iniciar la discusión sobre un conocimiento de alto nivel y evocar un sentido de urgencia en la aplicación de las directrices y principios descritos en ellas. 

La FCC ha dicho que no es probable que promulgue normas obligatorias para la ciberseguridad de IOT, pero con IOT impregnando las áreas críticas de la industra como la producción de energía, la tecnología médica y la infraestructura de transporte, se incrementa el riesgo de que tales sistemas sean comprometidos. Lo sabremos pronto... 
Publicado por en
Etiquetas:

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)