UNIVERSIDAD AUTÓNOMA DE MADRID

INSTITUTE OF AUDIT AND IT-GOVERNANCE

Máster en Auditoría, Seguridad, Gobierno y

Derecho de las TIC

PROYECTO FIN DE MÁSTER

Aplicabilidad de las normas ISO 27000 en el

contexto de la Internet de las Cosas

David Olano Arias

Tutor: Jorge E. López de Vergara Méndez

JULIO 2016
Aplicabilidad de las normas ISO 27000 en el
contexto de la Internet de las Cosas

AUTOR: David Olano Arias

TUTOR: Jorge E. López de Vergara Méndez

Universidad Autónoma de Madrid

Julio de 2016

III
Resumen
La Internet de las Cosas es la red de objetos físicos, habitualmente conocidos como
“cosas”, que integran la electrónica, el software y los sensores necesarios para permitir la
comunicación entre ellos. Este paradigma, propuesto por primera vez por Kevin Ashton
en el año 1999, plantea la interconexión de los objetos cotidianos que nos rodean
generando una malla de objetos interrelacionados que obtienen información del entorno,
la procesan y son capaces de transmitirla a otros objetos y, en algunos casos, llevar a cabo
acciones de manera autónoma.

La unión del mundo virtual con el mundo físico supondrá sin lugar a dudas un cambio
radical en la manera en que entendemos la red. Dicha interconexión permitirá adquirir
datos de nuestro entorno de forma automática y sistematizada, apartando al ser humano
de su papel como principal generador de información digital y permitiendo de este modo
la aparición de nuevas tecnologías en materia de automatización e inteligencia artificial
sobre las que se sustentan las ideas de la Industria 4.0 y las Ciudades Inteligentes. La
revolución que supone la Internet de las Cosas ha levantado grandes expectativas en las
empresas, que ven en este modelo una manera de enfocar sus procesos de negocio y
acceder a nuevos mercados.

Desde el punto de vista de la Seguridad de la Información, el auge de la Internet de las

Cosas coincide con en el instante en que ésta tiene un mayor peso dentro de las
organizaciones. La elevada integración de los procesos de las compañías dentro del
contexto de las Tecnologías de la Información ha derivado en una exposición sin
precedentes a amenazas de seguridad, poniendo en riesgo de manera grave el capital de
la empresa, su imagen pública y en ocasiones incluso la continuidad del negocio.

En este contexto de cambio tecnológico, muchas organizaciones están optando por

implantar Sistemas de Gestión de Seguridad de la Información que les sirvan de soporte
para mantener seguros sus activos de información, tales como la propiedad intelectual, la
información financiera y sus conocimientos de negocio. El Sistema de Gestión de
Seguridad de la Información más extendido a nivel global es el propuesto dentro de la
familia de estándares ISO 27000, traspuestos en España en la familia UNE-ISO 27000,
cuyo fundamento se basa en el Análisis de Riesgos de los activos de información y la
aplicación de salvaguardas y controles para la mitigación de amenazas.

A pesar del interés acerca de las nuevas oportunidades de negocio que implica la Internet
de las Cosas, es fundamental tener en cuenta que este tipo de redes tienen unos
requerimientos de seguridad particulares para garantizar la confidencialidad, integridad y
disponibilidad de la información. Las medidas que a día de hoy se toman en la red
tradicional no serán efectivas o suficientes en este tipo de entornos.

En este Proyecto Fin de Máster se analizará la aplicabilidad de los estándares

comprendidos en la familia ISO 27000 al nuevo paradigma de la Internet de las Cosas,
focalizando en la aplicación de los controles de Seguridad de la Información propuestos
a este tipo de infraestructuras.

Palabras clave

Internet de las Cosas, UNE-ISO/IEC 27000, Seguridad de la Información, Controles

V
Abstract
Internet of things is the network of physical objects, also known as “things”, which
incorporate the electronics, software and sensors required in order to permit
communication among them. This paradigm, initially proposed by Kevin Ashton in 1999,
brings up the interconnection of everyday items that surround us, creating a mesh of
interconnected objects that obtain environmental information and process it. Besides, they
are able to transmit such information to other objects, and in some cases, they are also
able to perform actions in an autonomous way.

The virtual and physical world union will mean, without any doubt, a radical change in
the way we understand the network. The previously mentioned interconnection will allow
acquiring our environmental data in an automatic and systematic way, separating the
human being from its role as principal digital information generator and allowing the
appearance of new technologies in terms of automation and artificial intelligence above
which Industry 4.0 and smart cities ideas are supported. The revolution that the Internet
of Things poses has raised expectations from major enterprises, as they foresee in this
model a new way to focus their business procedures and to gain access to new markets.

From the Information Security point of view, the rise of Internet of Things coincides with
the moment when it has a major weight inside the organizations. The companies’
processes integration inside the Information Technology context has led to an
unprecedented exposition to security threats, seriously risking the enterprise capital, its
public image and sometimes even the business continuity.

In this context of technological change, many organizations are choosing to introduce and
to maintain Information Security Management Systems that serve them, in terms of
support, to maintain safely their information assets, such as the copyright, the financial
information and their business knowledge. The most widespread Information Security
Management System at a global level is the one proposed inside the family of ISO 27000
standards, transposed in Spain in family UNE-ISO 27000, which are grounded in the
information assets risk analysis, the safeguard implementation and the threat mitigation
controls.

Despite the interest in the new business opportunities that the Internet of Things provides,
it is essential to bear in mind that these network types have some specific requirements
in order to guarantee the confidentiality, the trustworthiness and the information
availability. The measures taken nowadays on the traditional network will not be effective
or enough in this type of environments.

On this Final Master Thesis, the applicability of the standards included on the ISO 27000
family to the new Internet of Things paradigm will be analysed, focusing on the Security
of Information controls proposed for this type of infrastructures.

Index terms

Internet of Things, UNE-ISO/IEC 27000, Information Security, Controls

VI
Agradecimientos
Con este Proyecto Fin de Máster se cierra otro capítulo de mi vida como estudiante.
Durante este último año he tenido la suerte de poder ampliar mis conocimientos de
Seguridad de la Información, campo que me apasiona y donde espero poder desarrollar
mi carrera profesional. Con estas breves líneas quiero agradecer a todas aquellas personas
que han contribuido a que esto sea posible.

En primer lugar, a los principales responsables de que hoy esté redactando esto; mi padre,
Tomás; mi madre, Mª Ángeles y mi hermana, Sara. Os lo debo todo y espero poder
haceros sentir orgullosos. También a mi pareja, Izar, por proporcionarme un apoyo
impagable en los momentos de desánimo y por su capacidad para aguantar todo un año
sin planes de ocio los fines de semana.

A mi tutor, Jorge López de Vergara, por su inestimable ayuda, dedicación y dirección

tanto en este Proyecto Fin de Máster como en el anterior Trabajo Fin de Grado. Tu apoyo
e implicación han sido determinantes en la decisión de lanzarme a esta aventura.

A todos mis compañeros de la sexta promoción de este Máster, de los que me llevo nuevas
perspectivas, muchas experiencias y un fantástico recuerdo. Mención especial a Hugo
Cedillo, cuyo conocimiento de los estándares ISO 27000 me ha ayudado en más de una
ocasión en este Proyecto Fin de Máster.

Por último, pero no menos importante, a la Dirección y Administración del Máster por
trabajar duro para que este tipo de formación sea posible y por haberme dado la
oportunidad de participar de manera aún más marcada en el desarrollo del curso a través
de una beca de colaboración.

A todos, gracias.

VII
 ÍNDICE DE CONTENIDOS

1. Introducción ........................................................................................................ 1
1.1 Motivación ........................................................................................................................................................................... 1
1.2 Objetivos.............................................................................................................................................................................. 3
1.3 Fases de realización del proyecto ................................................................................................................................... 4
1.4 Estructura del documento ................................................................................................................................................. 5

2. Internet de las Cosas ........................................................................................ 7

2.1 Introducción histórica de la IoT ........................................................................................................................................ 7
2.2 Estado del arte.................................................................................................................................................................... 8
2.2.1 Visión de IoT ........................................................................................................................................................... 8
2.2.2 Problemática ......................................................................................................................................................... 10
2.3 Implicaciones de seguridad y cambios respecto al modelo clásico ............................. 11
2.4 Conclusiones .................................................................................................................................................................... 13

3. Estándares de Seguridad .............................................................................. 15

3.1 Introducción....................................................................................................................................................................... 15
3.2 Estándares ........................................................................................................................................................................ 15
3.1.1 Contexto de los estándares de Seguridad de la Información ................................................................. 15
3.1.2 Organismos de estandarización y normalización .................................................................................. 16
3.3 Familia ISO 27000 ........................................................................................................................................................... 18
3.4 ISO 27001 ......................................................................................................................................................................... 20
3.4.1 Introducción .......................................................................................................................................... 20
3.4.2 SGSI basado en ISO 27001.................................................................................................................. 20
3.4.2.1 Contexto de la organización ................................................................................................................................ 20
3.4.2.2 Liderazgo ............................................................................................................................................................... 21
3.4.2.3 Planificación .......................................................................................................................................................... 21
3.4.2.4 Soporte ................................................................................................................................................................... 23
3.4.2.5 Operación .............................................................................................................................................................. 24
3.4.2.6 Evaluación del desempeño ................................................................................................................................. 24
3.4.2.7 Mejora..................................................................................................................................................................... 25
3.4.3 Certificación .......................................................................................................................................... 25
3.5 Conclusiones .................................................................................................................................................................... 26

4. Aplicabilidad de la norma ISO 27000 a la Internet de las Cosas ........ 27

4.1 Introducción....................................................................................................................................................................... 27
4.2 Análisis de brecha entre la situación actual y la implantación total de IoT............................................................... 27
4.3 Análisis de aplicabilidad de ISO 27000 en IoT ............................................................................................................. 30
4.3.1 Políticas de Seguridad de la Información ............................................................................................ 30
4.3.2 Organización de la Seguridad de la Información ................................................................................... 31
4.3.2.1 Organización interna ............................................................................................................................. 31
4.3.2.2 Los dispositivos móviles y el teletrabajo ................................................................................................ 32
4.3.3 Seguridad relativa a los recursos humanos durante el empleo.............................................................. 33
4.3.4 Responsabilidad sobre los activos ........................................................................................................ 34
4.3.5 Control de acceso a Sistemas y Aplicaciones ....................................................................................... 35
4.3.6 Criptografía ........................................................................................................................................... 36
4.3.7 Seguridad de los equipos...................................................................................................................... 37
4.3.8 Protección contra el software malicioso ................................................................................................ 39
4.3.9 Gestión de la seguridad de redes ......................................................................................................... 39
4.3.10 Seguridad en las relaciones con proveedores ....................................................................................... 41
4.3.11 Cumplimiento de los requisitos legales y contractuales ........................................................................ 42
4.4 Conclusiones .................................................................................................................................................................... 43

5. Conclusiones .................................................................................................... 49
5.1 Conclusiones obtenidas .................................................................................................................................................. 49
5.2 Trabajo futuro ................................................................................................................................................................... 50

6. Referencias bibliográficas ............................................................................ 51

IX
 ÍNDICE DE ILUSTRACIONES
ILUSTRACIÓN 1 - COSTE DEL CIBERCRIMEN EN EMPRESAS A NIVEL GLOBAL [1] ......................................... 1
ILUSTRACIÓN 2 – CICLO DE EXPECTATIVAS SOBRE TECNOLOGÍAS EMERGENTES [2] .................................. 2
ILUSTRACIÓN 3 - DIAGRAMA DE GANTT DEL PROYECTO ............................................................................. 4
ILUSTRACIÓN 4 - EVOLUCIÓN DEL NÚMERO DE PERSONAS Y DE DISPOSITIVOS CONECTADOS [4] ............ 7
ILUSTRACIÓN 5 - LAS TRES VISIONES DE IOT Y SU INTERSECCIÓN [7] .......................................................... 9
ILUSTRACIÓN 6 - MODELO DE CAPAS DE LA ARQUITECTURA DE SEGURIDAD IOT [10] ............................. 12
ILUSTRACIÓN 7 - DIMENSIONES DE LA SEGURIDAD DE LA INFORMACIÓN [13] ........................................ 16
ILUSTRACIÓN 8 - RELACIÓN ENTRE LAS FAMILIAS DE ESTÁNDARES DE ISO27000 [20] ............................. 18
ILUSTRACIÓN 9 - ESQUEMA DE METODOLOGÍA DE AR BASADA EN ISO 27005 [30] ................................. 23
ILUSTRACIÓN 10 - EVOLUCIÓN ANUAL DE LA CERTIFICACIÓN DE ISO27001 [32] ...................................... 26
ILUSTRACIÓN 11 - ESTRATEGIA DE DEFENSA EN PROFUNDIDAD PARA LA INTERNET DE LAS COSAS [34] 28
ILUSTRACIÓN 12 - MODELO DE ARQUITECTURA SDN SOBRE IOT [37]....................................................... 41

ÍNDICE DE TABLAS
TABLA 1 - CORRESPONDENCIA ENTRE LOS CONTROLES DE LA NORMA ISO 27001 Y EL MODELO DE
DEFENSA EN PROFUNDIDAD.............................................................................................................. 30
TABLA 2 - RESUMEN DEL ANÁLISIS DE APLICABILIDAD .............................................................................. 44

XI
 GLOSARIO
AENOR Asociación Española de Normalización y Certificación, entidad
española dedicada a la normalización y la certificación en los sectores
industriales y de servicios.
BYOD Bring Your Own Device (Trae Tu Propio Dispositivo), política que
fomenta que los empleados utilicen sus dispositivos personales para
tener acceso a recursos de la empresa.
CMDB Configuration Management Database (Base de Datos de
Configuración), Base de Datos donde se almacenan datos de gestión de
los dispositivos de la organización para facilitar su administración.
CPM Contactless Privacy Manager (Gestor de Privacidad sin Contacto),
herramienta que permite controlar accesos no autorizados a
dispositivos RFID.
IoT Internet of Things (Internet de las Cosas), paradigma de comunicación
en el que los objetos cotidianos se conectan a la red de Internet
IoT-GSI Internet of Things Global Standards Initiative (Iniciativa global para la
estandarización de la Internet de las Cosas), grupo de trabajo centrado
en promover estándares para la IoT
IRM Information Rights Management (Gestión de Derechos de
Información), tecnologías que protegen información sensible de
accesos no autorizados en el ámbito empresarial.
ISM3 Information Security Management Maturity Model 3 (Modelo de
Madurez de la Gestión de la Seguridad de la Información 3), estándar
para la creación de sistemas de gestión de la seguridad de la
información
ISO International Organization for Standardization (Organización
Internacional de Normalización), organismo encargado de buscar la
estandarización de normas de productos y seguridad para empresas y
organizaciones a nivel internacional
ITU International Telecommunication Union (Unión Internacional de
Telecomunicaciones), organismo de las naciones unidas especializado
en las Tecnologías de la Información y Comunicación.
LOPD Ley Orgánica de Protección de Datos, ley orgánica española que
regula lo concerniente al tratamiento de los datos personales de
personas físicas.
LSSI Ley de Servicios de la Sociedad de la Información, Ley 34/2002, de 11
de julio, de servicios de la sociedad de la información y de comercio
electrónico.
MAGERIT Metodología de Análisis y Gestión de Riesgos de los Sistemas de
Información, metodología de análisis y gestión de riesgos elaborada
por el Consejo Superior de Administración Electrónica.
NIST National Institute of Standards and Technology (Instituto Nacional de
Estándares y Tecnología), agencia de Estados Unidos que desarrolla y
promueve estándares tecnológicos.
OWASP Open Web Application Security Project (Proyecto Abierto de
Seguridad de Aplicaciones Web), proyecto sin ánimo de lucro que
busca el desarrollo, compra y mantenimiento de aplicaciones seguras.

XIII
PDCA Plan-Do-Check-Act (Planear, Hacer, Comprobar, Actuar), estrategia
de mejora continua de la calidad en cuatro pasos
RFID Radio Frequency Identification (Identificación por Radio Frecuencia),
tecnología de etiquetado de objetos que permite transmitir la identidad
de los mismos mediante radiofrecuencia
SDN Software Defined Networking (Redes Definidas por Software),
conjunto de técnicas cuyo objetivo es facilitar la implementación de
redes de manera determinista, dinámica y escalable.
SG20 Study Group 20 (Grupo de Estudio 20), comisión de estudio de la
organización ITU-T, centrada en el estudio de los requisitos de
estandarización de IoT
SGSI Sistema de Gestión para la Seguridad de la Información, conjunto de
procesos y políticas que aseguran la protección de los activos de
información de una organización.
SOX Sarbanes-Oxley Act of 2002 (Ley Sarbanes-Oxley), ley estadounidense
para la monitorización de empresas que cotizan en bolsa.
TIC Tecnologías de la Información y la Comunicación, conjunto de
tecnologías desarrolladas para la gestión y transmisión de la
información.
TSAG Telecommunication Standardization Advisory Group (Grupo Asesor
de Estándares de Telecomunicación), organismo encargado de asesorar
a los miembros y grupos de estudio de ITU-T.
UNE Una Norma Española, identificador que define a aquellas normas
tecnológicas creadas por comités técnicos de normalización.
VPN Virtual Private Network (Red Privada Virtual), tecnología que permite
la extensión segura de la red de área local sobre una red pública.

XIV
 1. Introducción
1.1 Motivación

En el ámbito empresarial, la Seguridad de la Información ha ganado interés en los últimos

años gracias a una cada vez mayor sensibilización sobre los elevados costes económicos
que la pérdida de confidencialidad, integridad y disponibilidad de la información suponen
sobre las compañías. Dentro de este escenario, la ciberseguridad tiene hoy una especial
relevancia por la amplia presencia de medios informáticos en los procesos de negocio. En
un estudio publicado por el Instituto Ponemon en el año 2014, se evaluó el coste del
cibercrimen sobre una muestra de 257 empresas multinacionales de todo el mundo en la
que se representaban los sectores de negocio del mercado actual. El resultado del estudio,
que puede verse resumido en la Ilustración 1, habla por sí solo; el menor coste económico
para una empresa se estimó en 0,45 millones de euros anuales, escalando hasta la cifra de
55,2 millones de euros anuales en la compañía más afectada. De todos los sectores, los
más afectados fueron los de Tecnologías de Comunicación, Energía, Salud,
Administración, Transporte y Finanzas, todos claramente fundamentados en las
tecnologías de información y comunicación a día de hoy. [1]

Ilustración 1 - Coste del cibercrimen en empresas a nivel global [1]

La concepción integral de la Seguridad de la Información como algo que abarca a la

organización desde la alta gerencia hasta el último empleado, ha llevado a muchas
empresas a implementar y mantener Sistemas de Gestión de Seguridad de la Información,
tales como ISO/IEC 27001 (traspuesta en España como UNE-ISO/IEC 27001) o ISM3.
Estos sistemas de proponen la creación, la implantación y el mantenimiento de los
procesos necesarios para la gestión de la Seguridad de la Información.

Frente a esta situación de interés por la Seguridad de la Información cobran fuerza

conceptos como la Industria 4.0 y las ciudades inteligentes, basados en los conceptos
tecnológicos de la Internet de las Cosas. Por primera vez en la historia se plantea un
escenario en el que todos los objetos que nos rodean se encuentran conectados entre sí,
obtienen datos del entorno, los procesan y son capaces de actuar en base a la información
que intercambian, relegando a un segundo plano a los usuarios frente a los nodos de la
red. Este nuevo modelo proporciona un salto sin precedentes en las posibilidades de
1
aplicación de Internet, ampliando el alcance de la red a contextos hasta ahora
independientes de las tecnologías de la comunicación.

La popularización del concepto de la Internet de las Cosas (IoT, Internet of Things) viene
motivada en gran parte por el espectacular incremento en el número de dispositivos
conectados a Internet en la última década, el aumento del ancho de banda disponible en
las comunicaciones y los avances tecnológicos logrados en los materiales empleados en
electrónica, que han permitido reducir el tamaño de los dispositivos y hacerlos más
eficientes desde el punto de vista energético. El estudio anual de Gartner sobre el ciclo de
expectativas de la tecnología sitúa a la IoT en el punto álgido en el año 2015, como puede
observarse en la Ilustración 2. [2]

Ilustración 2 – Ciclo de expectativas sobre tecnologías emergentes [2]

Bajo este paradigma se hace posible desarrollar nuevas tecnologías en materias tan
amplias como la telemedicina, la formación online, los vehículos inteligentes o la
monitorización ambiental, lo que ha generado mucho interés en las empresas, que ven en
la Internet de las Cosas la oportunidad de desarrollar nuevos modelos de negocio. El
cambio del modelo tradicional de Internet a uno basado en la Internet de las Cosas
conlleva, sin embargo, uno de los mayores retos de la historia en materia de Seguridad de
la Información. El aumento del número de dispositivos dentro de la red, la imposibilidad
de proteger todos los nodos mediante mecanismos software, la necesidad de garantizar la
privacidad en los datos y la posibilidad de que se produzcan ataques con efecto sobre el
mundo real son sólo algunos de los problemas con los que nos encontraremos en un futuro
cercano, por lo que será de capital importancia trabajar para solventarlos antes de realizar
el salto definitivo de un modelo al otro.

La motivación de este Proyecto Fin de Máster es, por tanto, estudiar la aplicabilidad del
modelo de Sistema de Gestión de Seguridad de la Información (SGSI) recogido en la
familia de normas UNE-ISO/IEC 27000 al nuevo contexto de la conectividad total
derivado de la aplicación de la Internet de las Cosas, identificar las carencias que puedan
presentar ante los cambios que éste implica y proponer soluciones que consigan garantizar
la implementación correcta de un SGSI sobre la IoT.

2
 1.2 Objetivos

El proyecto se centra en la revisión de los estándares ISO 27000 –concretamente en su

contraparte española UNE-ISO/IEC 27000– y en la elaboración de un informe que
permita determinar si su nivel de adaptación y madurez es suficiente para hacer frente a
los nuevos requerimientos que implica la adopción generalizada del paradigma IoT, de
manera que se puedan obtener conclusiones precisas sobre si esta familia de estándares
está o no preparada para asumir el cambio.

Se pretende, a tal efecto, introducir la idea de Internet de las Cosas, la revolución

tecnológica que supone y los nuevos retos que plantea, haciendo especial énfasis en
aquellos que estén relacionados con la Seguridad de la Información. Acto seguido, se
sucederá un estudio profundo de los requerimientos fijados por la norma UNE-ISO/IEC
27001:2014 para la correcta implantación de un Sistema de Gestión de Seguridad de la
Información en una organización. Posteriormente, se procederá a analizar los controles
descritos en el Anexo A de esta misma norma, profundizando en aquellos que se
consideren críticos en los escenarios de la Internet de las Cosas con el objetivo de estudiar
su aplicabilidad en este nuevo contexto.

Los resultados finales del proyecto que se pretenden conseguir a partir de estos objetivos
son los siguientes:

 La perspectiva del estado del arte actual en materia de Internet de las Cosas,
recogiendo su idea principal, el potencial tecnológico que conlleva y los cambios
que su implementación global implica respecto al modelo clásico de Internet,
especialmente en materia de seguridad.

 Una visión acerca de los estándares de Seguridad de la Información disponibles

a fecha de hoy, especialmente enfocada a la familia UNE-ISO/IEC 27000 y a la
metodología definida para establecer, implementar, operar, monitorizar, revisar,
mantener y mejorar un Sistema de Gestión de Seguridad de la Información.
Dentro de este punto, se tratarán también los requisitos clave definidos en el
estándar UNE-ISO/IEC 27001:2014, profundizando en las técnicas de análisis de
riesgos.

 Un análisis detallado sobre la aplicabilidad de las normas de esta familia al nuevo

contexto de la Internet de las Cosas, examinando los controles propuestos a día
de hoy y comparándolo con las distintas necesidades y retos que plantea este
modelo. Dentro de este análisis se propondrán, cuando se considere necesario,
cambios en los controles existentes y nuevas salvaguardas que permitan extender
y aplicar la Seguridad de la Información al mundo IoT.

 Por último, la obtención de conclusiones acerca del nivel de desarrollo y madurez

de estas normas y su capacidad de adaptación a los nuevos escenarios de
interconexión global. Las conclusiones recogerán los cambios más significativos
que se hayan detectado durante el análisis y los requerimientos a tener en cuenta
en futuras actualizaciones de las normas que componen la familia UNE-ISO/IEC
27000.

3
 1.3 Fases de realización del proyecto

Para el desarrollo y correcta consecución de este Proyecto, se han seguido una serie de
fases que se detallan a continuación:

 Planificación: En esta primera fase se estableció la lista de puntos a tratar dentro

del Proyecto Fin de Máster y se definió el plazo asignado a cada una de las fases
del desarrollo del Proyecto con el fin de alcanzar los objetivos propuestos dentro
del plazo estipulado.

 Documentación: Se realizó un estudio del concepto de Internet de las Cosas,

abordando tanto estudios técnicos como ensayos sobre las implicaciones sociales
y legales de la aplicación de esta tecnología. Se han estudiado también los
distintos estándares internacionales sobre Seguridad de la Información,
focalizando en la serie UNE-ISO/IEC 27000 con el fin de poder contextualizar la
Internet de las Cosas sobre esta norma.

 Estudio y análisis de la problemática: A lo largo de esta fase se produjo el

análisis de aplicabilidad de las normas UNE-ISO/IEC 27000 sobre la Internet de
las Cosas, basándonos en el conocimiento adquirido durante la fase previa de
documentación.

 Redacción de la memoria: Por último, se redactó este documento para dejar

plasmada la experiencia y el conocimiento adquiridos durante la realización del
Proyecto Fin de Máster.

En la Ilustración 3 se muestra un diagrama de Gantt que posibilita un mejor seguimiento

de los tiempos empleados en el cada uno de los periodos del proyecto:

Planificación 15

Documentación 45

Estudio y análisis de la problemática 60

Redacción de la memoria 90

Ilustración 3 - Diagrama de Gantt del proyecto

4
 1.4 Estructura del documento

A continuación, se detalla la estructura de la memoria de este Proyecto Fin de Máster:

1. En el capítulo 2 se presentará una revisión del estado del arte en lo que se refiere
a la Internet de las Cosas, haciendo una breve introducción histórica del mismo y
proporcionando al lector una visión técnica de alto nivel sobre este paradigma. En
este capítulo se mencionarán también los retos y desafíos a los que se enfrenta la
Internet de las Cosas, enfocando de manera especial a la problemática de
seguridad que deriva de su aplicación. Por último, se extraerán las conclusiones
que permitan enlazar el apartado con el objetivo final del Proyecto Fin de Máster.

2. En el capítulo 3 se tratan los estándares de Seguridad de la Información,

introduciendo su función, el contexto actual de aplicación y los principales
organismos que los desarrollan e impulsan. Una vez introducidos los estándares,
la sección se centra en la familia de normas UNE-ISO/IEC 27000, definiendo los
Sistemas de Gestión de Seguridad de la Información y comentando los principales
documentos que la componen. Entre estas normas se da especial importancia a la
UNE-ISO/IEC 27001:2014, que fija los requisitos a tener en cuenta para la
correcta implantación, operación y mantenimiento de un SGSI y se puede
certificar mediante un proceso de auditoría. Este capítulo sienta las bases acerca
de los estándares de Seguridad de la Información, permitiendo estudiar su
aplicabilidad al contexto de interconexión total propuesto por la tecnología IoT en
el siguiente capítulo.

3. En el capítulo 4 se realiza el análisis de aplicabilidad a la Internet de las Cosas de

la norma UNE-ISO/IEC 27001:2014, constituyendo esta sección el cuerpo
principal del Proyecto Fin de Máster. A tal efecto, se comenzará detallando el
análisis de brecha entre el escenario de la Internet tradicional y el propuesto por
la Internet de las Cosas, definiendo las necesidades que implica la adopción de
este nuevo paradigma y describiendo el modelo de seguridad a utilizar para
cumplir con las expectativas de sus partes interesadas. En base a este modelo se
seleccionarán aquellas categorías de control del Anexo A del estándar que sean
pertinentes, detallando después la aplicabilidad de los controles comprendidos
dentro de ellas a la tecnología IoT. Por último, se presentará un resumen de
aplicabilidad del análisis realizado que permita clarificar los resultados para dar
pie al apartado de conclusiones.

4. En el capítulo 5 se presentarán las conclusiones obtenidas en el Proyecto Fin de

Máster, comentando el resultado del análisis de aplicabilidad y la consecución de
objetivos globales del proyecto. Así mismo, se planteará en esta sección el trabajo
futuro que podría llevarse a cabo a raíz de este trabajo.

5
 2. Internet de las Cosas
2.1 Introducción histórica de la IoT

La Internet de las Cosas es un nuevo modelo de comunicación que se sustenta en la idea

principal de la interconexión de los objetos que nos rodean –las cosas– en una red
extraordinariamente amplia y heterogénea. La idea de IoT, si bien no del todo reciente,
ha obtenido una extraordinaria relevancia en los últimos años tanto en el ámbito de la
investigación científica como en el empresarial. Dadas las amplias novedades y la
revolución que conlleva el nuevo paradigma, ha surgido un fuerte interés por parte de las
empresas en su desarrollo e implementación para tratar de hacerse un hueco en los
modelos de negocio que permite desarrollar.

La primera mención sobre la Internet de las Cosas la realizó el investigador del MIT
Kevin Ashton en el año 1999. En una presentación para la compañía Procter & Gamble,
Kevin postuló la predicción de que en el futuro Internet dejaría de depender de la creación
y el procesamiento de datos por parte de los seres humanos, quedando estos relegados a
un segundo plano por debajo de los objetos conectados a la red. Uno de los factores clave
para que se produzca esta transición del tradicional modelo cliente-servidor a uno
centrado en las Cosas es el gran incremento en el número de nodos de la red. Este
aumento, que hoy parece un hecho asumido por todos, no resultaba tan evidente en el
contexto temporal en el que se lanzó la idea, debido a las limitaciones de computación,
ancho de banda, tamaño y coste de los dispositivos electrónicos de la época. [3]

A pesar de que a principios del milenio Internet ya se imponía a buen ritmo a escala
global, ni siquiera las perspectivas más optimistas pudieron predecir el espectacular
crecimiento en el número de nodos conectados a la red. En el año 2003 había quinientos
millones de dispositivos conectados y seis mil trescientos millones de personas, lo que
suponía un ratio de 0,08 dispositivos por persona. Doce años más tarde, en 2015, ya hay
conectados doce mil quinientos millones de dispositivos y seis mil ochocientos millones
de personas en el mundo, lo que nos da un ratio de 3,47 dispositivos por persona y
confirma la predicción de Kevin realizada una década antes. Un resumen de esta
tendencia puede verse en la ilustración 4. [4]

Ilustración 4 - Evolución del número de personas y de dispositivos conectados [4]

7
En el año 2011 se crea el grupo “Internet of Things Global Standards Initiative” (IoT-
GSI) de la Unión Internacional de Telecomunicaciones (ITU), con el objetivo de
promover una aproximación unificada para el desarrollo de estándares que permitiera
establecer la Internet de las Cosas de manera general. En este ámbito se crea la
recomendación ITU-T Y.2060 [5], la cual proporciona una visión general de la Internet
de los Cosas en la que se define su concepto y alcance, se identifican las características
fundamentales y los requisitos de alto nivel y se describe el modelo de referencia IoT. La
recomendación también incluye un anexo del ecosistema y los modelos orgánicos típicos
[6]. En el año 2015, y siguiendo la recomendación del “Telecommunication
Standardization Advisory Group” (TSAG), el grupo IoT-GSI de la ITU cesó sus
actividades y pasó a integrarse en el “Study Group 20” (SG20).

Actualmente, y gracias a los esfuerzos realizados en los últimos años por estas entidades,
la Internet de las Cosas como evolución de Internet es comúnmente conocida y aceptada.
Sin embargo, para convertirse en una realidad todavía está pendiente la resolución de
varios problemas tecnológicos que dificultan su puesta en marcha. Deben tenerse en
cuenta, además, las posibles consecuencias sociales de su aplicación generalizada.

2.2 Estado del arte

2.2.1 Visión de IoT

La amplitud de la idea de IoT suscita cierta controversia y hace complicado dar una
perspectiva clara del estado del arte actual. A pesar de que hay múltiples puntos de vista
en discusión al respecto, la idea más aceptada en la literatura es una visión global de
Internet de las Cosas como resultado de la intersección de tres perspectivas diferentes:
“orientada a los objetos”, “orientada a internet” y “orientada a semántica”. [7]

La visión orientada a los objetos se centra en el nivel de componente unitario, valga la

redundancia, el objeto. Estos componentes forman un grupo muy variado en el que se
englobarán desde equipos bien conocidos en la red tradicional, como ordenadores y
dispositivos móviles, a algunos hasta ahora ajenos a este mundo, como electrodomésticos,
automóviles y otros elementos de nuestra vida cotidiana. A pesar de la heterogeneidad de
los objetos que componen la red IoT, éstos comparten una serie de características básicas:
 Forman parte del conjunto de los elementos físicos tangibles.
 Disponen de unas capacidades mínimas de computación y comunicación, que
permiten ser localizados y contactados por otros objetos de su entorno. En algunos
casos, estas capacidades serán mayores y permitirán realizar operaciones más
complejas.
 Están asociados a un nombre y dirección, por lo que son identificables
unívocamente dentro del entorno de la red.
 En la mayoría de los casos, disponen de sensores para obtener datos sobre las
magnitudes físicas de su entorno.

Como se puede deducir de las características mencionadas, el objeto de IoT es un

elemento, no necesariamente grande, con un identificador único que le posibilita ser
localizado en su entorno, y capacidades suficientes como para recolectar, procesar y

8
transmitir datos. En algunas ocasiones, además, estos objetos llevarán a cabo actuaciones
en el mundo físico a partir de la información que se está procesando.

La visión orientada a Internet se centra en los conceptos de la red IoT, que se caracteriza
como un conjunto muy grande de nodos en un sistema distribuido. Los nodos, que se
corresponden con las Cosas de la visión orientada a objetos, traducen la información que
procesan a una serie de flujos digitales para enviarlos a través de la red. Al tener un
elevado número de elementos interconectados, la red deberá ser capaz de manejar un alto
volumen de peticiones y respuestas de datos entre los diferentes puntos. Será importante,
por tanto, proveer a la red de medios que garanticen su escalabilidad y estabilidad.

Por último, la visión semántica es la que se encarga de proveer los mecanismos para
buscar, almacenar, conectar y representar toda la información procesada dentro de la red.
Dada la variedad en la naturaleza de los objetos a los que se requiere dotar de conectividad
para ser incluidos en el paradigma IoT, podemos prever que será necesario mantener un
grupo de nodos de características muy dispares enviando, recibiendo y almacenando
información. Para hacer frente a esta heterogeneidad, en esta visión se tratan también los
temas de estandarización y definición de lenguajes que permitan la comunicación entre
dispositivos IoT.

Ilustración 5 - Las tres visiones de IoT y su intersección [7]

La intersección de las tres visiones representada en la Ilustración 5 sustenta la base de

IoT, en la que cada uno de los objetos tiene la habilidad de ser identificable por otros, de
comunicarse y de interactuar activamente con ellos, construyendo una red dinámica que
incluye a todos los elementos del entorno. Esto es coherente con la definición de Internet
de las Cosas del National Intelligence Council, que afirma que “La Internet de las Cosas
es la idea general de los objetos, especialmente aquellos de uso cotidiano que son
reconocibles, localizables, legibles y controlables a través de Internet, bien sea a través
de RFID, redes de área local inalámbricas, redes de área extensa u otros medios” [8].

9
2.2.2 Problemática

La aplicación de la Internet de las Cosas requiere de avances importantes en ámbitos

diversos de la computación y la telecomunicación. A pesar de las nuevas oportunidades
y de la gran expectación que esta tecnología está generando, a día de hoy están por
resolver varios problemas que dificultan su despliegue generalizado, entre los que
podemos encontrar los siguientes: [9]

 Heterogeneidad de los dispositivos: La gestión de las comunicaciones en una red

con una heterogeneidad tan notable implica un reto importante en los protocolos
y las arquitecturas empleadas. Se requiere de un sistema de gestión de alta
complejidad que permita integrar protocolos de red diversos y arquitecturas
hardware con capacidades muy distintas. La necesidad de estandarización en las
comunicaciones que aporta la visión semántica se hace patente en este punto.
 Escalabilidad: El incremento en el volumen de los nodos conectados a la red
implica dificultades en la asignación y el manejo de las direcciones de los
elementos dentro de la red. Este problema se está intentando resolver a través de
la implementación definitiva de IPv6, que amplía en gran medida el espacio de
direcciones disponibles. De manera proporcional al aumento de nodos se
incrementa también el tráfico de la red, lo que resulta en la necesidad de optimizar
las comunicaciones y ampliar el ancho de banda de la red para permitir el envío
de información con unos retardos aceptables, sobre todo en momentos de tráfico
intenso.
 Garantía de servicio: En redes IoT que manejen datos de alta relevancia o
controlen procesos sobre el mundo físico se requiere que haya mecanismos que
aseguren la integridad y la disponibilidad de la información, lo que redunda en la
asignación de prioridades a la comunicación de ciertos objetos. Por ejemplo, si
planteáramos un hipotético escenario en un hospital que emplea mecanismos
típicos de la IoT, debería ser más relevante la información generada por el monitor
de pulso de un paciente que la del termostato que controla la temperatura de la
estancia.
 Optimización de la energía: La interconexión de los objetos que nos rodean en el
mundo físico implica un gran gasto energético. A día de hoy, Internet supone un
5% del gasto energético total a nivel mundial, pero con la llegada de IoT se estima
que este consumo se elevará sensiblemente. Será necesario, por ende, optimizar
los consumos de energía de los dispositivos e investigar nuevos materiales que
permitan prolongar la duración de las baterías y reducir la disipación térmica. Se
requiere también estudiar la integración de mecanismos que permitan transformar
las distintas fuentes de energía del entorno en energía eléctrica, como paneles
solares y materiales piezoeléctricos.
 Localización y capacidad de rastreo: Como se ha mencionado al hablar de la
visión de la Internet de las Cosas, una de las principales características de los
objetos que las componen es que son identificables dentro de la red. Si
consideramos los objetos móviles dentro del entorno físico surge la posibilidad de
mantener la trazabilidad de la localización del elemento a lo largo del tiempo, lo
que es de gran utilidad en aplicaciones de logística y gestión de productos. En este
ámbito, la solución más ampliamente aceptada es el despliegue extensivo de
etiquetas RFID sobre los objetos.
 Organización de la red: La ya mencionada complejidad de la red eleva el número
de posibles escenarios y situaciones que pueden aparecer en una red IoT en

10
 comparación con la Internet tradicional. En aras de automatizar los procesos y
minimizar la intervención de los seres humanos, será necesario proveer a la red
de un sistema de inteligencia a través del cual se resuelva la casuística básica de
localización, descubrimiento de nuevos nodos, gestión de las distintas funciones
y necesidades de cada uno y transmisión de la información de manera ordenada.
Cabe remarcar que todas estas funciones deberán responder de manera adaptativa
y gradual a los cambios en el entorno físico en el que estén situados, por lo que de
nuevo se hace necesario el estudio de la aplicación de sistemas de Inteligencia
Artificial sobre la IoT.
 Gestión de la información: El altísimo volumen de datos que se va a recolectar
implica la necesidad de tener sistemas que conviertan los datos en crudo en
información útil para el sistema y en última instancia para los seres humanos,
teniendo en cuenta también las limitaciones en la capacidad de algunos elementos
de la red. Para ello será fundamental la aplicación de formatos generalizados y
metadatos, que permitirán la automatización de la toma de decisiones a través de
mecanismos de aprendizaje automático sobre la información existente.
 Seguridad: Uno de los problemas más importantes que aparece junto a la IoT viene
de la mano de la Seguridad de la Información en sus tres vertientes:
confidencialidad, integridad y disponibilidad. Dada la naturaleza y el enfoque de
este Proyecto Fin de Máster, el estudio de la problemática de la seguridad en la
Internet de las Cosas se desarrollará en profundidad en la siguiente sección.

2.3 Implicaciones de seguridad y cambios respecto al modelo

clásico

La Seguridad de la Información supone uno de los mayores retos que plantea la aplicación
de la Internet de las Cosas. Dada la ubicuidad e interconexión total que plantea la
arquitectura IoT, los problemas de privacidad y seguridad en los datos pueden suponer
un fuerte impacto sobre todas las partes interesadas en esta tecnología. [10]

Mientras que en la Internet clásica la exposición de la información personal al público

general es relativamente controlable, en la Internet de las Cosas el dominio de los datos
por parte de los usuarios se difumina al recaer la recogida y procesado de la información
en la propia red. A modo de ejemplo, un usuario de una red IoT podría ser localizado a
través de un dispositivo conectado por una etiqueta RFID sin que el propio usuario tenga
constancia de este rastreo. Este hecho implica la aparición de nuevos desafíos en materia
de control de accesos, autenticación segura y gestión de la información almacenada.

La escasa capacidad de procesamiento de los distintos nodos que conforman la red IoT
también va en detrimento de la seguridad del conjunto, ya que implica la necesidad de
utilizar algoritmos y herramientas de autenticación más ligeros que los habituales en la
red tradicional. En este punto entra en juego también una relación de compromiso entre
la seguridad y el coste de los nodos, ya que a pesar de que una opción sencilla para
solventar este problema pasaría por mejorar el rendimiento de los elementos de la red, el
coste de su despliegue y mantenimiento aumentará significativamente.

Otro de los factores que agravan los problemas de seguridad de la Internet de las Cosas
es la heterogeneidad de las redes, la cual aumenta los vectores de ataque disponibles para
los atacantes y dificulta la aplicación de un marco único de seguridad. Los esfuerzos en

11
materia de estandarización en las arquitecturas y protocolos tienen como uno de sus
principales objetivos mitigar este problema. Adicionalmente, existe una relación directa
entre la complejidad de la red y la aparición de vulnerabilidades que puedan ser
explotadas.

Es conveniente resaltar que la Internet de las Cosas también se ve afectada por ataques
típicos de la capa de red de Internet clásica, como ataques de denegación de servicio
mediante el envío de un alto número de peticiones dirigidas contra uno o varios nodos del
sistema.

Para abordar de manera óptima los distintos retos mencionados, se puede aplicar una
aproximación a la arquitectura de IoT mediante un modelo de tres capas que permita aislar
los problemas de seguridad en su contexto. Este modelo consta de capa de aplicación, una
de red y capa de percepción, dispuestas como se muestra en la Ilustración 6.

Ilustración 6 - Modelo de capas de la arquitectura de seguridad IoT [10]

La capa de percepción se centra en los componentes que se ocupan de obtener

información del mundo físico y de controlar los actuadores. Al utilizarse casi de forma
exclusiva comunicaciones inalámbricas, los problemas asociados a esta capa tienen que
ver con la captura, intercepción y bloqueo de los datos transmitidos por estos
componentes. Esto se ve agravado por el hecho de que la mayor parte de los objetos que
recogen información se encuentran situados en ubicaciones físicas no protegidas, lo que
permite al atacante el acercamiento a la fuente.

Los ataques más importantes sobre la capa de percepción se producen a través de la

captura y control de un nodo por parte de un atacante o bien por la inclusión en el sistema
de un falso nodo. En el primer caso el atacante tiene acceso a toda la información que
maneja el nodo, incluyendo información sobre las claves de cifrado y el algoritmo
utilizado, lo que compromete todo el sistema. En el segundo, el intruso tiene la capacidad
de inyectar paquetes fabricados en el sistema con múltiples propósitos, que van desde la
saturación de las comunicaciones del sistema a provocar respuestas en el mundo físico.

12
Adicionalmente, esta capa comprende también ataques de repetición de paquetes y
explotación de vulnerabilidades de rutado.

La capa de red se encarga de la conectividad entre nodos y proporciona las herramientas

de rutado necesarias para garantizar la comunicación. Ésta capa tiene bastantes
similitudes con su homóloga en el modelo OSI.

Los problemas de seguridad que se atribuyen a esta capa tienen que ver con ataques ya
conocidos en la Internet tradicional, como ataques de denegación de servicio, ataques
man-in-the-middle pasivos y activos y ataques por exploit. La ya comentada
heterogeneidad añade complejidad a la red, haciendo más difícil controlar este tipo de
ataques y aumentando el número de vulnerabilidades disponibles. En relación a la
privacidad, la ingeniería social cobra fuerza sobre esta capa por el cada vez mayor
volumen de información de carácter personal que circula por la red y que puede ser
recogida por un atacante aprovechándose del propio usuario.

Por último, la capa de aplicación plantea retos de seguridad variables en función del
entorno de utilización, ya que la sensibilidad de las distintas aplicaciones es muy variable.
Los principales problemas de esta capa tienen que ver con la autenticación y el acceso,
que permita acceder a la información a los usuarios correctos de un conjunto muy grande.
Aparecen también problemas de privacidad y protección de datos similares a los de la
capa de red, además de vulnerabilidades en el software de capa de aplicación que puedan
ser explotadas por los atacantes, por ejemplo, ataques por desbordamiento de buffer.

2.4 Conclusiones

La Internet de las Cosas implica un importante avance en las TIC y sienta las bases para
una revolución en la manera en que entendemos la comunicación, tanto a nivel personal
como profesional. El desarrollo y las expectativas de las partes interesadas sobre este
paradigma parecen encontrarse en un punto álgido, pero es importante tener presente los
diversos obstáculos que deben solventarse para garantizar que su implementación se
realiza correctamente.

Dentro de los problemas mencionados, la seguridad reviste una especial importancia. Por
las propias condiciones de amplitud y generalidad de la Internet de las Cosas, garantizar
la seguridad se hace esencial y supone el mayor reto de la historia en materia de Seguridad
de la Información.

13
 3. Estándares de Seguridad
3.1 Introducción

Los estándares de Seguridad ayudan a organismos públicos y privados a mantener seguros

sus activos y procesos de negocio relacionados con la información. La naturaleza
disruptiva de las Tecnologías de la Información en este tipo de entidades ha motivado un
crecimiento continuado en su implantación y mantenimiento, convirtiendo estas normas
en un valor fundamental dentro de las organizaciones.

En este capítulo se va a llevar a cabo un análisis de estándares de Seguridad de la

Información siguiendo un enfoque deductivo. Partiremos de las normas y estándares a
nivel general, descenderemos al nivel de los estándares de Seguridad de la Información y
los distintos organismos que las apoyan, describiremos en profundidad la familia de
estándares ISO 27000 y por último nos centraremos en la norma UNE-ISO/IEC 27001
para poder situar en contexto el análisis de aplicabilidad posterior.

3.2 Estándares

Un estándar es un documento que proporciona los requisitos, especificaciones, guías o

características que pueden ser usadas de manera consistente para asegurar que los
materiales, productos y procesos de un servicio se ajustan a su propósito. Los estándares
aseguran que los servicios y los productos bajo su alcance son de buena calidad, seguros
y fiables. [11]

Las organizaciones que utilizan estándares en sus procesos de negocio reducen riesgos
operacionales y de seguridad, obtienen mejores oportunidades en escenarios
internacionales y son capaces de reducir costes de producción. Los clientes, por su parte,
albergan una mayor confianza en los productos y servicios obtenidos, por lo que la
aplicación de estándares por las compañías es una práctica cada vez más adoptada.

3.1.1 Contexto de los estándares de Seguridad de la Información

El rápido crecimiento del procesado informático de datos y el uso generalizado de Internet

ha forzado a las empresas a poner en marcha planes de transformación digital, cambiando
de manera radical los procesos de negocio y los requisitos de Seguridad de la Información
asociados a los mismos. Esto ha derivado en una gran demanda de medios de protección
para la información que los sistemas almacenan, procesan y transmiten, suscitando el
interés de organismos profesionales que comparten los objetivos de garantizar la
seguridad y fiabilidad de los medios de información basándose en los siguientes
principios:

 Confidencialidad de la información: El acceso a la información se produce de

forma controlada, garantizando que solo aquellas personas con la debida
autorización tienen acceso a ella.
 Integridad de los datos: La información y los métodos de su procesamiento deben
tener garantía de exactitud y completitud, evitando que ésta sea manipulada o
alterada sin autorización.
15
  Disponibilidad de la información: La información y los activos de información
deben permanecer accesibles en todo momento a las personas autorizadas,
utilizando a tal efecto las medidas tecnológicas y no tecnológicas que sean
necesarias.

Con el fin de poder garantizar estas máximas de protección, cuya intersección puede
observarse en la Ilustración 7, los organismos, empresas y las distintas partes interesadas
en los mercados involucrados en el proceso de transformación digital, han desarrollado
criterios para garantizar que el proceso de especificación, implementación y evaluación
de un producto en cuanto a Seguridad de la Información que lleva asociado se produce de
acuerdo a sus necesidades. Estos criterios vienen definidos de manera rigurosa dentro de
estándares de seguridad. [12]

Ilustración 7 - Dimensiones de la Seguridad de la Información [13]

Las entidades certificadoras pueden evaluar los productos y servicios ofertados por los
proveedores desde un punto de vista imparcial, normalizado y extensible a distintos tipos
de organización. El papel de los estándares de Seguridad de la Información es, por tanto,
proporcionar un marco de referencia que permita la normalización y la evaluación en
materia de seguridad, aportando confianza y objetividad a todas las partes implicadas.

A día de hoy se dispone de un gran número de estándares de Seguridad de la Información

impulsados por distintas entidades. En el apartado siguiente se comentan brevemente los
organismos más relevantes a nivel de estandarización en este contexto y se perfilan los
distintos enfoques que han seguido para llevar a cabo sus normas.

3.1.2 Organismos de estandarización y normalización

Los ya comentados estándares de Seguridad de la Información cuentan con el apoyo de

entes públicos y privados y se ven potenciados por organismos que velan por su creación
y desarrollo, colaborando activamente en su despliegue. En este apartado se listan de
manera breve los principales organismos relacionados con los estándares de seguridad a
nivel internacional:

 ISO: La Organización Internacional para la Estandarización (ISO) es una

organización no gubernamental de ámbito internacional que se ocupa del
desarrollo consensuado de las Normas Internacionales conocidas como ISO con
el fin de facilitar el comercio internacional y el intercambio de información entre

16
 distintos sectores. ISO es la mayor entidad de normalización en el mundo, y desde
su fundación en el año 1946 ha publicado más de 21000 estándares internacionales
en todos los ámbitos, siendo quizá los más relevantes los relacionados con
tecnología, industria alimentaria y agricultura [14]. ISO dispone de una serie de
estándares disponibles en materia de Seguridad de la Información, la serie ISO
27000, basada en la norma británica previa BS 7799.

 ITU: La Unión Internacional de Telecomunicaciones (ITU) es una organización

que se ocupa de coordinar la explotación de redes y servicios de
telecomunicaciones y promover el desarrollo de las TIC entre el sector privado y
el público. Las actividades de normalización de la ITU tratan de promover la
expansión de nuevas tecnologías de telecomunicación y definen las bases
normativas sobre las cuales se construye la infraestructura mundial de la
información. El sector de normalización de este organismo comenzó en 2006 un
plan de desarrollo de los estándares de Seguridad, uniendo toda la información
disponible sobre estándares aceptados y en progreso y su uso en empresas clave
de distintos sectores para fomentar la formación de los usuarios y el desarrollo y
estandarización de nuevas normas. [15]

 NIST: El Instituto Nacional de Estándares y Tecnología (NIST) es una agencia

federal estadounidense que se ocupa de promover la innovación y la
competitividad industrial mediante la creación de estándares y tecnologías en aras
de obtener seguridad económica y mejorar la calidad de vida de los ciudadanos
[16]. NIST es la entidad responsable de la elaboración de normas y directrices de
seguridad de información en Estados Unidos, incluidos los requisitos mínimos de
seguridad para los Sistemas de Información de sus distintos órganos
gubernamentales, en las series: [17]
o SP-800: Serie dedicada a la seguridad informática. Publicada en diciembre
de 1990, tiene como objetivo principal proporcionar un marco unificado
para la seguridad de la información de los Estados Unidos a través de
guías, recomendaciones y materiales de referencia.
o SP-1800: Serie complementaria a la SP-800 publicada en el año 2015,
amplía la anterior con los nuevos retos en materia de ciberseguridad tanto
en el sector público como en el privado, aportando guías prácticas y de
fácil aplicación para la adopción de medidas de ciberseguridad.

 AENOR: La Agencia Española de Normalización (AENOR) es una entidad sin

ánimo de lucro fundada en el año 1986. La organización es privada, independiente
y reconocida internacionalmente, y tiene como misión el “conseguir el desarrollo
de las actividades de normalización y certificación (N+C), a mejorar la calidad
en las empresas, sus productos y servicios, así como proteger el medio ambiente
y, con ello, el bienestar de la sociedad” [18]. Desde el punto de vista de la
Seguridad de la Información, AENOR es la encargada de crear e impulsar los
estándares UNE-ISO/IEC 27000. Estos estándares corresponden a la transcripción
de las normas ISO/IEC 27000 al castellano y promueven la estandarización en
Seguridad de la Información en el ámbito nacional español.

En el estudio de este Proyecto Fin de Máster nos centraremos en los estándares de la serie
ISO/IEC 27000 por ser uno de los más desplegados a nivel global y por tener una mayor

17
relevancia en las empresas del ámbito europeo. En los casos en los estén disponibles, se
utilizarán las normas traducidas al español por AENOR en su serie UNE-ISO/IEC 27000.

3.3 Familia ISO 27000

ISO 27000 es una familia de estándares pensados para ayudar a las organizaciones a
mantener seguros sus activos de información, tales como la propiedad intelectual, la
información financiera y la información perteneciente al negocio. La idea de estos
estándares es la implantación de un Sistema de Gestión de Seguridad de la Información
(SGSI) basado en el análisis de riesgos de los activos de información con la consiguiente
aplicación de salvaguardas, lo que aumenta la confianza de terceras partes sobre los
procesos relativos a la seguridad de la información en la organización. [19]

La familia ISO 27000 se compone de una serie de estándares con diferentes propósitos
dentro de un mismo contexto. Estos estándares se pueden clasificar en los cuatro grupos
siguientes; aquellos que describen el SGSI y su terminología, los que determinan los
requisitos sus requisitos, los que proporcionan metodologías genéricas para su
implementación y los que proporcionan metodologías específicas para un sector. El
listado completo de estándares de ISO 27000 y su categorización en familias se puede ver
en la Ilustración 8.

Ilustración 8 - Relación entre las familias de estándares de ISO27000 [20]

18
En el contexto de estudio de este Proyecto Fin de Máster, se destacan los siguientes
documentos:

 UNE-ISO/IEC 27000: Proporciona la definición formal sobre el propósito de los

Sistemas de Gestión de Seguridad de la Información y recoge el listado de todas
las normas que componen la familia ISO27000, añadiendo una breve descripción
del objetivo y del alcance de cada una de ellas. El estándar UNE-ISO/IEC 27000
también recoge el listado de términos y definiciones de uso en todos los
documentos y una introducción de los Sistemas de Gestión de Seguridad de la
Información [21].

 UNE-ISO/IEC 27001: Especifica los requisitos para establecer, implementar,

operar, monitorizar, revisar, mantener y mejorar un Sistema de Gestión de
Seguridad de la Información en el contexto de la organización y sus riesgos de
negocio. El estándar que se define puede ser empleado en cualquier organización,
independientemente de su naturaleza y tamaño, proveyendo de una serie de
controles que permitan mitigar los riesgos asociados con los activos de la
información. Esta norma es muy importante dentro de la familia ISO27000, ya
que las auditorías y certificaciones del SGSI se realizan conforme a lo estipulado
en ella. La última edición del estándar corresponde al año 2013 en idioma inglés,
aunque la traducción al castellano realizada por AENOR fue publicada en 2014
[22].

 UNE-ISO/IEC 27002: Guía que proporciona la lista de buenas prácticas y

controles comúnmente aceptados para garantizar la Seguridad de la Información,
específicamente de las cláusulas contenidas entre las secciones 5 y 18 del Anexo
A de la norma UNE-ISO/IEC 27001. La última versión publicada en el año 2015
contiene 35 categorías principales y 114 controles agrupados en 14 dominios [23].

 ISO/IEC 27003: Guía para una implementación exitosa del SGSI de acuerdo a la
norma ISO/IEC 27001. Describe el proceso de creación, diseño y ejecución del
SGSI desde la concepción del mismo, proporcionando herramientas que aseguren
su correcto despliegue. Su última versión corresponde al año 2010. [24]

 ISO/IEC 27004: Guía que proporciona al implementador las mejores prácticas

en el ámbito de la medida del desempeño y la efectividad del SGSI y sus controles
para cumplir con los requisitos de la norma ISO/IEC 27001. La última versión
disponible es del año 2009. [25]

 ISO/IEC 27005: Metodología general sobre gestión de riesgo en el contexto de

la Seguridad de la Información. Proporciona una guía a seguir en el proceso de
implementación de un sistema de gestión del riesgo de seguridad de la
información de forma compatible con los requisitos fijados por el estándar
ISO/IEC 27001. La última versión fue publicada en el año 2011. [26]

 ISO/IEC 27011: Guía específica para la implementación de un SGSI en

organizaciones del sector de las telecomunicaciones. Realiza una adaptación de
los controles genéricos provistos en el estándar ISO/IEC 27002, con fecha de
publicación en 2008. [27]

19
3.4 ISO 27001

3.4.1 Introducción

Como se ha comentado brevemente en el capítulo anterior, la norma UNE-ISO/IEC

27001 proporciona los requerimientos del modelo de un SGSI basado en la evaluación de
riesgos y su tratamiento, de tal forma que se haga posible la gestión de amenazas de
Seguridad de la Información de acuerdo a las necesidades de la organización, sin importar
el tamaño o la naturaleza de la actividad que ésta desempeñe.

La última versión de la norma es la UNE-ISO/IEC 27001:2014 presenta algunos cambios

relativos a la versión previa de 2005:
 La norma incluye el anexo SL de la Parte 1 de las Directivas ISO/IEC,
proporcionándole un marco común de estructura y lenguaje con otras normas ISO
y haciendo posible la integración sencilla del Sistema de Gestión de Seguridad de
la Información con otros sistemas de gestión dentro de la misma organización. El
cambio implica también la eliminación de la obligatoriedad del enfoque
Planificar, Hacer, Comprobar y Actuar (PDCA, Plan-Do-Check-Act).
 La norma pasa de tener 8 cláusulas a 10. Además, se elimina el listado de
documentos obligatorios para el mantenimiento del SGSI, cambiándolo por una
serie de requisitos documentales.
 Aumenta el número de dominios de seguridad contemplados de 11 a 14, pero se
reduce el número de controles de 133 a 114.

3.4.2 SGSI basado en ISO 27001

La implantación exitosa de un SGSI basado en la norma UNE-ISO/IEC 27001 se basa en

una serie de principios fundamentales, tales como: la concienciación sobre la Seguridad
de la Información, la correcta asignación de responsabilidades, el compromiso de la alta
dirección, el entendimiento del contexto de la organización y las partes interesadas, la
evaluación de riesgos y la metodología para mitigar los riesgos no aceptables y la
prevención activa de incidentes de seguridad. Para lograr un acercamiento a estas
premisas, la norma define varios requisitos sobre los que sentar las bases del Sistema de
Gestión. [22]

3.4.2.1 Contexto de la organización

En la nueva versión de la norma publicada en 2014 se introduce la necesidad de

determinar los contextos externos e internos que son relevantes dentro del alcance de su
SGSI. La norma hace hincapié en estos puntos, dado que una incorrecta identificación de
los puntos puede influir negativamente en el desempeño del SGSI.

 Contexto interno: El contexto interno es aquel en el que la organización busca

conseguir sus objetivos e incluye la estrategia, la cultura, los procesos y la
estructura de la organización. El contexto interno marca las líneas a seguir durante
el Análisis de Riesgos, al ser parte fundamental de los objetivos de la entidad.

 Contexto externo: El contexto externo es el entorno en el que se produce la

actividad de la organización y estaría compuesto, no excluyentemente, por el

20
 entorno social, político, reglamentario, financiero tecnológico y natural en la que
se encuentre ubicada la entidad. Del mismo modo que el contexto interno, el
análisis del contexto externo influirá de manera notable en el Análisis de Riesgos.

Además de los contextos de operación, se establece como requisito que la organización

deberá identificar las distintas partes interesadas en el SGSI, entendiendo como parte
interesada a todo aquel que sea o pueda ser afectado por las actividades de la empresa. La
norma determina también que se deben identificar los requisitos asociados a cada una de
las partes interesadas identificadas.

El alcance del SGSI deberá ser establecido por la organización a partir de los puntos
anteriores, quedando éste disponible para su consulta dentro de la información
documentada.

3.4.2.2 Liderazgo

La dirección debe estar comprometida con el SGSI y liderar los esfuerzos que se realicen
en este aspecto. Para cumplir con este objetivo, la alta gerencia debe garantizar que la
política de Seguridad de la Información está alineada con la estrategia de la organización
y asegurar la integración de los requisitos del SGSI dentro de sus procesos. Además, el
órgano directivo debe encargarse de proporcionar los recursos necesarios, avalar la
mejora continua del sistema y cerciorarse de que se están alcanzando los resultados
previstos.

Además de las cuestiones de compromiso por la dirección, el estándar ISO 27001 define
dentro del apartado de liderazgo los requisitos que debe cumplir la ya mencionada política
de Seguridad de la Información, que debe ser adecuada a los propósitos de la organización
e incluir objetivos de Seguridad de la Información o el marco para establecerlos. Esta
política debe estar documentada dentro de la información del SGSI y ser comunicada y
de libre acceso para todos los empleados y las partes externas interesadas.

Por último, el punto de liderazgo hace mención específica acerca del requerimiento de
que de los roles, responsabilidades y autoridades correspondientes a los roles de la
Seguridad de la Información se asignen y comuniquen debidamente dentro de la
organización.

3.4.2.3 Planificación

La cláusula de planificación detalla el proceso preparatorio necesario para implementar

el SGSI. La preparación del proyecto de implantación debe ser lo más objetiva posible y
centrarse en los aspectos estratégicos de la organización, concretamente los ya
mencionados contextos externo e interno y las expectativas de las partes interesadas.

Los Sistemas de Gestión de Seguridad de la Información basados en UNE-ISO/IEC

27001 parten de la premisa de la realización de un Análisis de Riesgos que permita valorar
las amenazas en materia de seguridad a las que se enfrenta la organización. Con el fin de
cumplir este objetivo, la norma puntualiza en la cláusula 6.1.2 que la organización debe
definir y aplicar un proceso de apreciación de riesgos de Seguridad de la Información que
le permita:

21
  Establecer y mantener criterios sobre los riesgos de la Seguridad de la
Información, especialmente el nivel de riesgo aceptado por la dirección, de modo
que aquellos riesgos calculados que excedan el umbral aceptable deberán ser
mitigados a través de la aplicación de controles y salvaguardas.
 Asegurar que las sucesivas apreciaciones de riesgos producen resultados
consistentes, válidos y comparables.
 Identificar los riesgos de la Seguridad de la Información sobre las tres
componentes de la Seguridad de la Información e identificar al dueño de los
riesgos.
 Analizar los riesgos de la Seguridad de la Información, valorando la probabilidad
de ocurrencia de los eventos identificados, valorando sus posibles consecuencias
y en base a ambas determinando el nivel de riesgo asociado.
 Evaluar los riesgos de la Seguridad de la Información, comparando los resultados
del Análisis de Riesgos con el nivel de riesgo aceptado por la dirección.

Una vez realizada la evaluación de los riesgos, la cláusula 6.1.3 define los requisitos a
seguir en el tratamiento de los riesgos de Seguridad de la Información, que se resumen en
la selección de las opciones más adecuadas para mitigar los niveles de a través de la
determinación de los controles necesarios para la mitigación de los riesgos. Los controles
elegidos deben compararse con el listado de controles que provee el Anexo A para que la
organización pueda aseverar que no se han omitido controles necesarios, justificando la
inclusión y la no inclusión de los controles elegidos en un documento de Declaración de
Aplicabilidad. Por último, en base a estos controles se debe formular un plan de
tratamiento de riesgos que tendrá que ser aprobado formalmente por los dueños de los
riesgos.

Es importante tener en cuenta que a pesar de que la norma UNE-ISO/IEC 27001 se basa
en el Análisis de Riesgos para implementar un SGSI, ésta no fija un método concreto para
la evaluación de riesgos, sino que lo deja a elección de las organizaciones para que
dispongan de la flexibilidad de escoger el que mejor se adapte a sus necesidades y
recursos. Para el desarrollo de la metodología de Análisis de Riesgos, las organizaciones
disponen de herramientas como ISO/IEC 27005, ISO 31000 [28] o Magerit [29], que
proporcionan orientación sobre las actividades para la gestión, incluyendo el
asesoramiento para la evaluación, tratamiento, aceptación, comunicación, control y
revisión de riesgos [30]. La metodología más empleada en Sistemas de Gestión de
Seguridad de la Información basados en ISO/IEC 27001 es la descrita en el estándar
ISO/IEC 27005, cuyo flujo puede observarse en la Ilustración 9.

Dentro de la cláusula de planificación se pormenorizan también las características de los

objetivos de dentro del SGSI, que deben ir alineados con la política de Seguridad de la
Información y ser medidos, comunicados y actualizados según sea necesario. Para lograr
los objetivos, la organización debe planificar lo que se va a hacer, los recursos necesarios,
el responsable de cada objetivo y la fecha de finalización de la etapa de planificación.

22
 Ilustración 9 - Esquema de metodología de AR basada en ISO 27005 [30]

3.4.2.4 Soporte

Otro de los requisitos exigidos por el SGSI que define UNE-ISO/IEC 27001 es el soporte,
que detalla las bases en las que el sistema se fundamenta. Dentro de esta cláusula es
especialmente importante el control de la documentación, que implica la adecuada
creación, desarrollo y actualización de los documentos que componen la estructura del
sistema. Esta cláusula de la norma se divide en varios apartados, siendo:
 Recursos: La organización deberá asegurar que se dispone de los recursos
necesarios para asegurar el correcto establecimiento, implementación,
mantenimiento y mejora continua del SGSI. Estos recursos no son solamente
materiales, sino que engloba también al capital humano implicado, los
procedimientos documentados y las metodologías a utilizar.
 Competencia: La organización deberá garantizar que las personas implicadas en
el SGSI disponen de los conocimientos necesarios para llevar a cabo de manera
correcta las actividades que caen bajo su responsabilidad. Para ello, deberá
estudiar las competencias necesarias y asegurar que las personas dentro del SGSI
las poseen.
 Concienciación: Las personas bajo el control de la organización deben ser
conscientes de la política de Seguridad de la Información, su contribución a la

23
 eficacia del SGSI y las consecuencias del incumplimiento de los requisitos
estipulados.
 Comunicación: La organización debe determinar la necesidad de las
comunicaciones externas e internas pertinentes al SGSI, teniendo en cuanta el
contenido de la comunicación, el momento de la comunicación y los
interlocutores en la comunicación.
 Información documentada: El SGSI debe incluir el conjunto de información
documentada que se marca como requerido en la norma UNE-ISO/IEC 27001 y
la información documentada que la organización ha catalogado como necesaria
para el sistema en cuestión. En el momento de crear la documentación, la
organización debe asegurar que ésta contenga una correcta identificación y
descripción, un formato adecuado y que se aprueba su idoneidad. Por último, los
documentos requeridos por el SGSI deben estar bajo control para asegurar que
están disponibles cuando sean necesarios y que estén protegidos adecuadamente
ante pérdidas de integridad y confidencialidad.

3.4.2.5 Operación

Como ya se ha comentado, la operativa del SGSI se basa en la realización de un Análisis

de Riesgos que permite a la organización la toma de decisiones adecuadas para lograr los
objetivos establecidos.

La cláusula de operación de la norma define los requerimientos para planificar,

implementar y controlar los procesos necesarios para cumplir las exigencias de seguridad
de la organización, teniendo en cuenta las consideraciones definidas en la cláusula de
planificación. Entre estos procesos se incluyen las actividades de documentación del
SGSI, la observación sobre los cambios planificados y no planificados y el control sobre
los procesos externos.

Además de lo ya mencionado, en este punto se trata de manera específica la necesidad de

efectuar apreciaciones de riesgos de seguridad tanto a intervalos planificados como
cuando se produzcan cambios importantes dentro del sistema. En base a los resultados
del análisis, la organización deberá implementar un plan de tratamiento de riesgos de
Seguridad de la Información que vaya alineado con los criterios de aceptación del riesgo
previamente establecidos. Los niveles de riesgo que estén por debajo del umbral de
aceptación determinado podrán ser aceptados, mientras que los que lo superen deberán
ser mitigados mediante la aplicación de controles.

3.4.2.6 Evaluación del desempeño

La medición de la efectividad del SGSI se sustenta en la monitorización de resultados

dentro del sistema, en la realización periódica de auditorías internas y en la revisión por
parte de la dirección de todos los datos relevantes obtenidos. La cláusula de evaluación
de desempeño dentro de la norma determina los requerimientos a satisfacer en esta
materia:
 Seguimiento, medición, análisis y evaluación: La organización deberá determinar
lo que se debe monitorizar y cómo debe monitorizarse, así como los periodos de
medición y de evaluación de los resultados.

24
  Auditoría interna: La organización deberá planificar auditorías internas que
permitan obtener evidencias sobre el cumplimiento de los requisitos del SGSI y
su correcta implementación.
 Revisión por la dirección: La organización deberá asumir la responsabilidad de
revisar el sistema a intervalos regulares, de manera que se asegure que las acciones
de mejora planteadas se están llevando a cabo correctamente, que se tienen en
cuenta los cambios en los contextos pertinentes y que se toman en consideración
los resultados de las auditorías, el seguimiento interno y la retroalimentación de
las partes interesadas.

3.4.2.7 Mejora

La última cláusula definida en la norma UNE-ISO/IEC 27001 hace referencia a los

requisitos de mejora continua del SGSI, que establecen que la organización debe mejorar
de manera continua la idoneidad, adecuación y eficacia del sistema.

En este sentido, el estándar define la manera de gestionar las no conformidades y las

acciones correctivas, estableciendo que ante la ocurrencia de una no conformidad la
organización debe reaccionar ante ella y o bien llevar a cabo acciones para controlarla y
corregirla, o bien hacer frente a las consecuencias. La organización deberá, en cualquier
caso, revisar la no conformidad y tratar de determinar sus causas para evitar que se
reproduzca en el futuro, implementar otras acciones que sean necesarias y revisar la
eficacia de las acciones correctivas llevadas a cabo. Será fundamental también para esta
cláusula la correcta documentación de las no conformidades, las acciones tomadas y los
resultados obtenidos.

3.4.3 Certificación

Esta norma es certificable tras superar una auditoría llevada a cabo por una entidad
externa, acreditada e independiente, de manera que las organizaciones que consigan dicha
certificación puedan demostrar el cumplimiento de los requisitos del estándar y aportar
un valor añadido a sus procesos y servicios.

El flujo de trabajo de la auditoría comienza con la solicitud de certificación a una entidad

certificadora que viene seguido de la designación de auditores y la creación de un plan de
auditoría. Una vez que se ha alcanza la fecha estipulada en la planificación, los auditores
realizan una primera fase de revisión de documentación no necesariamente presencial
seguida de una segunda fase de auditoría in situ, donde se llevan a cabo entrevistas con
las distintas áreas implicadas en el SGSI, se comentan los hallazgos encontrados en la
revisión de documentación, se justifican las exclusiones de la Declaración de
Aplicabilidad y se estudian otros hallazgos observados que hayan despertado el interés
del equipo auditor.

Al acabar el proceso, si se han detectado no conformidades mayores o menores, la

organización deberá desarrollar un plan de acción y presentarlo al equipo de auditoría,
que valorará y estudiará su adecuación para la corrección de las disconformidades y en
caso de que sea satisfactorio, proporcionará la certificación sobre el SGSI dentro del
alcance.

25
Para mantener la certificación, la organización tendrá que pasar por una auditoría de
recertificación cada tres años además de una auditoría de seguimiento semestral o anual,
con carácter menos exhaustivo que la de certificación. [31]

Los últimos datos disponibles sobre el nivel de certificación de la norma corresponden al

año 2014 y muestran que existen 23.972 empresas certificadas bajo el estándar ISO/IEC
27001 en todo el mundo. El índice de crecimiento en el número de nuevas certificaciones
fue del 7% en el último periodo de medición, confirmando la tendencia alcista de la
Seguridad de la Información dentro de las empresas. Desde un punto de vista geográfico,
la certificación tiene una especial relevancia en Japón y en el este de Asia, como podemos
observar en la Ilustración 10 extraída del estudio ISO Survey 2014. [32]

Ilustración 10 - Evolución anual de la certificación de ISO27001 [32]

3.5 Conclusiones

Los estándares de Seguridad de la Información permiten integrar los requisitos de

protección de la información con los objetivos de negocio de las organizaciones. El
conjunto de estándares ISO 27000 es uno de las más difundidas a nivel mundial y se
fundamenta en la implementación de un Sistema de Gestión de Seguridad de la
Información basado en la realización de Análisis de Riesgos y la aplicación de controles
que permitan mantener las amenazas de seguridad bajo unos límites aceptables.

Los requisitos para establecer, implementar, operar, monitorizar, revisar, mantener y

mejorar un SGSI se establecen dentro del estándar UNE-ISO/IEC 27001, cuya última
actualización está fechada en el año 2014. En este capítulo del Proyecto Fin de Máster se
ha proporcionado una visión pormenorizada de las distintas cláusulas que componen la
norma con el fin de proporcionar al lector el punto de vista actual de los requerimientos
a cumplir para contar con un SGSI eficaz y aplicable a todo tipo de organizaciones. El
nivel de organizaciones certificadas en el estándar sigue una tendencia creciente a nivel
mundial, lo que justifica la necesidad de mantener la norma en constante estudio y
evaluación para adaptarla a las nuevas necesidades tecnológicas.

26
 4. Aplicabilidad de la norma ISO 27000 a la
Internet de las Cosas
4.1 Introducción

En el capítulo 2 se ha descrito el paradigma de Internet de las Cosas con el fin de

proporcionar al lector las bases tecnológicas subyacentes y constatar su carácter
innovador respecto al Internet clásico, así como los distintos retos que debe superar. Se
ha hecho mención también a los nuevos campos de investigación y desarrollo que surgen
alrededor de la Internet de las Cosas, como la Industria 4.0, las Ciudades Inteligentes y la
domótica. Todas estas tecnologías están generando grandes expectativas tanto en el sector
público como en el privado, no obstante, si bien es cierto que representan un sinfín de
posibilidades de aplicación, agravan la necesidad de mantener un alto nivel de Seguridad
de la Información.

Posteriormente a esta introducción tecnológica, en el capítulo 3 se han tratado los

estándares de Seguridad de la Información siguiendo una perspectiva deductiva en la que
se ha partido de los estándares a nivel general para ir profundizado en la familia ISO
27000 y más concretamente en la norma UNE-ISO 27001:2014, objeto de este Proyecto
Fin de Máster. Con esta revisión se han proporcionado los puntos clave en la idea de
Sistema de Gestión de Seguridad de la Información y como aplicarlos para garantizar que
los riesgos de seguridad sobre los procesos y activos de información se gestionan y
corrigen de manera adecuada.

Una vez introducidas las cuestiones técnicas y situado el marco normativo actual de los
estándares ISO 27000, en el capítulo actual se va a realizar un análisis exhaustivo sobre
la aplicabilidad de estas normas en su estado actual a los nuevos modelos especializados
que surgen de la aparición de la Internet de las Cosas y otras tecnologías relacionadas.

4.2 Análisis de brecha entre la situación actual y la implantación

total de IoT

De acuerdo a las ideas ya mencionadas, parece claro que la Internet de las Cosas requerirá
un gran esfuerzo en seguridad para asegurar la confidencialidad, la disponibilidad y la
integridad de la información. Si se analizan los procesos de negocio bajo el prisma de IoT
surge la necesidad de garantizar, además de estas tres condiciones básicas, los siguientes
puntos: [33]
 Resiliencia a ataques: La seguridad de IoT debe evitar los puntos únicos de fallo
y tratar que los efectos de los ciberataques se limiten al nodo afectado, evitando
que sus efectos se propaguen por la red.
 Autenticación de datos: La información recogida, procesada y enviada debe poder
ser autenticada y garantizar, cuando sea necesario, el no repudio del emisor.
 Control de accesos: Los proveedores de información y los administradores de los
activos deben ser capaces de implementar mecanismos de control de acceso sobre
ellos, evitando que terceras personas no autorizadas tengan posibilidad de acceder
a la información.

27
En base a estas ideas, la estrategia con mayor aceptación para bastionar un entorno de
estas características consiste en buscar la protección del conjunto de dispositivos en lugar
de la protección individual de las distintas partes de la red, de modo que cuando una
amenaza de seguridad como las mencionadas en el capítulo 2 se materialice, se pueda
subsanar el problema en otro nodo o capa. Este enfoque, conocido como defensa en
profundidad, requiere que cada nodo conectado a la red cumpla por sí mismo las
condiciones básicas de confidencialidad, integridad y disponibilidad que componen la
Seguridad de la Información, además de técnicas de seguridad específicas aplicadas al
conjunto. [34]

Desde un punto de vista jerárquico, el conjunto de medidas de seguridad basado en

defensa en profundidad se organiza en capas como se muestra en la Ilustración 11 e
incluye la gestión de accesos e identidades, la monitorización, el uso de cortafuegos y
sistemas IDS/IPS, el empleo de mecanismos anti-malware, la seguridad física y la
protección de la red, todo ello enfocado a conjuntos de dispositivos que cumplan las
características de IoT. La jerarquía que se propone para cada una de las áreas no es casual,
sino que sirve al propósito de que las medidas se puedan implantar de forma granular y
secuencial.

Ilustración 11 - Estrategia de defensa en profundidad para la Internet de las Cosas [34]

Todas estas técnicas de seguridad se apoyan en cuatro pilares fundamentales. En primer

lugar, la cada vez más necesaria concienciación y educación en Seguridad de la
Información, dado que el usuario se ha convertido en muchas ocasiones en el punto más
débil de la cadena de seguridad y en consecuencia un gran número de ataques van
dirigidos a explotar errores humanos mediante técnicas de Ingeniería Social. De manera
transversal, el cifrado y la recopilación de registros e informes son métodos que, si bien
en el Internet actual están fuertemente recomendados, son absolutamente necesarios en el
nuevo modelo de objetos interconectados. El uso generalizado de técnicas de cifrado
reduce riesgos de confidencialidad de la información mientras que el almacenamiento y
explotación de logs permite la detección y la respuesta proactiva de amenazas de
seguridad. Como último pilar del modelo de defensa en profundidad encontraríamos las

28
políticas y los procesos de seguridad, que permiten gobernar las Tecnologías de la
Información de manera eficaz y alineada con el negocio.

Los Sistemas de Gestión de Seguridad de la Información y de modo específico para este

Proyecto Fin de Máster, la familia de estándares ISO/IEC 27000, engloban todos estos
conceptos y se encargan de orquestarlo. El empleo de metodologías de Análisis de
Riesgos como piedra angular del sistema de gestión no tiene porqué ser incompatible con
el nuevo paradigma de aplicación, no obstante, al constituir uno de los pilares del modelo
de seguridad, consideramos que resulta imprescindible valorar su efectividad en este tipo
de escenarios.

De acuerdo al modelo de defensa en profundidad propuesto y a los retos en materia de

Seguridad de la Información de la Internet de las Cosas identificados en el capítulo 2, se
han identificado como categorías de control clave las siguientes dentro de la norma UNE-
ISO/IEC 27001 en su versión de 2014:
 Política de Seguridad de la Información (A.5.1), donde se aborda la necesidad de
establecer políticas y procesos en los que se sustente la Seguridad de la
Información.
 Organización de la Seguridad de la Información (A.6.2), donde se establecen los
controles relativos a dispositivos móviles y teletrabajo, que tienen una gran
trascendencia en la IoT.
 Seguridad relativa a los recursos humanos durante el empleo (A.7.2), por ser en
este punto donde se trata lo relativo a la formación y concienciación del personal
en materia de Seguridad de la Información.
 Responsabilidad sobre los activos (A.8.1), por la importancia que supone la
correcta asignación de responsabilidades sobre los activos de información a la
hora de mantener un sistema seguro y gestionar de manera correcta los incidentes.
 Control de acceso a sistemas y aplicaciones (A.9.4), por la necesidad de garantizar
la identificación y vigilar los accesos a la información de los sistemas.
 Criptografía (A.10), por la trascendencia que tiene el cifrado de la información a
la hora de garantizar la confidencialidad de los datos.
 Seguridad en los equipos (A.11.2), donde se proponen medidas de control para
reducir el impacto del malware en los sistemas y aplicaciones de la organización.
 Protección contra el software malicioso (A.12.2), donde se tratan las medidas a
implantar para proteger los dispositivos que componen el sistema IoT.
 Gestión de la seguridad de redes (A.13.1), por la importancia de aplicar medidas
preventivas y reactivas para mantener la confidencialidad, la integridad y la
disponibilidad de la red.
 Seguridad en las relaciones con proveedores (A.15.1), por la importancia de los
servicios provistos por terceras partes en el esquema de la Internet de las Cosas.
 Cumplimiento de los requisitos legales y contractuales (A.18.1), por la cada vez
mayor reglamentación y legislación sobre las Tecnologías de la Información a las
que se ven sometidas las organizaciones.

Se ha considerado que el desarrollo de código seguro, a pesar de formar parte del modelo
de defensa en seguridad, escapa al alcance del análisis de aplicabilidad de la norma
ISO/IEC 27000 a la Internet de las Cosas.

En la siguiente sección se analizará si los requisitos de control recomendados actualmente

por la norma son adecuados para satisfacer los requerimientos del modelo de defensa en
29
profundidad propuesto para resolver los problemas de seguridad que plantea la Internet
de las Cosas.

4.3 Análisis de aplicabilidad de ISO 27000 en IoT

La norma UNE-ISO/IEC 27001:2014 define en su Anexo A los objetivos de control y los

controles de referencia necesarios para la implantación de un SGSI. La guía para aplicar
estos controles se detalla en la norma UNE-ISO/IEC 27002:2015, que debe usarse como
referencia por las organizaciones para la implantación de controles de Seguridad de la
Información que sirvan como soporte al SGSI. En la tabla que se muestra a continuación,
se detalla la correspondencia entre las categorías de control tratados en estas normas y los
requerimientos del modelo de defensa en profundidad propuestos en la sección anterior:

Tabla 1 - Correspondencia entre los controles de la norma ISO 27001 y el modelo de defensa en profundidad

Listado de categorías de control de UNE- Requerimientos del modelo de defensa en

ISO/IEC 27001 [22] profundidad [34]
A.5.1 Política de Seguridad de la Políticas de Seguridad
Información
A.6.2 Organización de la Seguridad de Procesos de Seguridad
la Información
A.7.2 Seguridad relativa a los recursos Formación y Concienciación en
humanos durante el empleo Seguridad
A.8.1 Responsabilidad sobre los activos Procesos de Seguridad
A.9.4 Control de acceso a sistemas y Identidad y Gestión de Accesos
aplicaciones Monitorización de la integridad
A.10 Criptografía Criptografía
A.11.2 Seguridad en los equipos Seguridad Física
Logs e Informes
A.12.2 Protección contra el software Anti-X (Anti-malware)
malicioso (malware)
A.13.1 Gestión de la seguridad de redes Seguridad de Redes
IDS/IPS/Cortafuegos
Logs e Informes
A.15.1 Seguridad en las relaciones con Procesos de Seguridad
proveedores Monitorización de la integridad
A.18.1 Cumplimiento de los requisitos Procesos de Seguridad
legales y contractuales

4.3.1 Políticas de Seguridad de la Información

La definición de una política de seguridad de la información acorde a las necesidades de

la organización es fundamental para poder orquestar el resto de componentes del modelo
de defensa en profundidad.

Al respecto de las políticas, la norma UNE-ISO/IEC 27001:2014 define como una de sus
cláusulas de obligado cumplimiento el liderazgo de la organización, siendo uno de los
requisitos impuestos en dicha cláusula la definición de políticas y directrices de gestión

30
de seguridad de la información que proporcionen apoyo a la gestión de la seguridad. El
control A.5.1.1 del Anexo A de esta misma norma establece que la política debería
redactarse bajo la premisa del alineamiento con los objetivos de la organización,
situándose al nivel más alto asumible para la dirección.

En base a lo anterior, las políticas de Seguridad de la Información deberían definir los

objetivos y principios de la Seguridad de la Información, asignar responsabilidades en
esta materia y definir los procesos a tomar cuando se produzcan desviaciones en los
objetivos marcados. Todos estos puntos deben considerar los requisitos impuestos por la
estrategia de negocio, la legislación y las distintas amenazas a las que se ve expuesta la
organización. La política de seguridad debe apoyarse, además, en otras políticas de más
bajo nivel que sean acordes a la general y que permitan complementarla en un alcance

El planteamiento de este control es aplicable a un escenario de Internet de las Cosas, ya

que el nuevo paradigma no altera la necesidad de sustentar el SGSI en una política de
Seguridad de la Información. No obstante, consideramos que en determinadas
organizaciones será necesario definir nuevas políticas de bajo nivel que hagan referencia
a ámbitos muy concretos de la Internet de las Cosas y que a día de hoy no están
contempladas explícitamente en la norma, como por ejemplo una política sobre el uso de
dispositivos personales de los empleados dentro de la organización (BYOD) o una sobre
el uso seguro de complementos inteligentes (wearables).

Adicionalmente, algunas de las políticas que se mencionan como ejemplo en la norma y

que sirven como soporte a la principal política de seguridad deberán sufrir cambios
sustanciales para adaptarse al nuevo contexto tecnológico, como, por ejemplo:
 Política de control de acceso: En un escenario en que todo está interconectado,
las políticas tradicionales de control de acceso a la información deberán
reforzarse para tratar de acotarlos al máximo posible siguiendo el principio de
mínimo privilegio.
 Política de privacidad: Dado que uno de los retos que plantea la IoT es la garantía
de la privacidad en la red, esta política deberá ser coherente con los mecanismos
de protección que se implementen. Así mismo, deberá adaptarse a la regulación
vigente en cada caso.
 Política de seguridad de las comunicaciones: Este documento deberá adaptarse a
los cambios que IoT requiere a nivel de infraestructura, protocolos y topología de
la red, así como a las medidas de protección que se implementen de manera
concreta en la organización.

4.3.2 Organización de la Seguridad de la Información

La organización de la Seguridad de la Información resulta fundamental para el desempeño

del SGSI. La creación de un Comité de Dirección que vele por el buen funcionamiento
del sistema y la definición de roles y responsabilidades constituirá uno de los factores de
mayor importancia en la implantación de un SGSI.

4.3.2.1 Organización interna

Con el fin de establecer un marco de gestión para iniciar y controlar la implementación y

operación de la Seguridad de la Información dentro de la organización, la norma UNE-
ISO/IEC 27001:2014 propone una serie de controles de organización interna.
31
El control A.6.1.1 determina que todas las responsabilidades de seguridad de la
información deberían estar definidas y asignadas a una persona. El control A.6.1.2, por
su parte, establece que las áreas y funciones de responsabilidad deberían segregarse para
reducir la posibilidad de modificaciones no autorizadas o malintencionadas. Hemos
considerado que ambos controles son aplicables directamente al contexto IoT, debido a
que las necesidades en materia de asignación de roles y ramificación de tareas siguen
siendo las mismas en este ámbito.

Los controles A.6.1.3 y A.6.1.4 establecen que deberían mantenerse los contactos
apropiados con las autoridades pertinentes y con los grupos de interés especial para el
SGSI, respectivamente. La tenencia y mantenimiento de procedimientos que determinen
cómo, cuándo y con qué autoridades se debe contactar, además de la participación activa
en asociaciones o grupos especiales de seguridad, resultan de igual manera aplicables a
una organización que opere bajo el paradigma de la Internet de las Cosas.

Para concluir el objetivo de control de organización interna, la norma propone el control

A.6.1.5 sobre Seguridad de la Información enmarcada en la gestión de proyectos. Esta
salvaguarda determina que la Seguridad de la Información debería integrarse dentro de la
gestión de proyectos de la organización, evaluando los riesgos antes de comenzar su
ejecución y exigiendo que la protección de la información esté presente en todas las fases
del proyecto.

Dado que los requisitos de seguridad en proyectos no se reducen en un escenario de la

IoT, este control resulta directamente aplicable. No obstante, debe tenerse en cuenta que
este control considera la aplicación de políticas de seguridad, por lo que sí será necesario
que dichas políticas sean adecuadas al nuevo contexto.

4.3.2.2 Los dispositivos móviles y el teletrabajo

La norma contempla dos controles relativos a garantizar la seguridad de los dispositivos

móviles y del teletrabajo dentro del ámbito de la organización.

El control A.6.2.1 establece la necesidad de adoptar una política de dispositivos móviles

que recoja, entre otras cosas, los requisitos de protección física, las técnicas criptográficas
a emplear, el borrado y bloqueo remotos y las distintas restricciones en materia de
conexiones e instalación de software. Se hace también mención específica a:
 La protección contra el robo de estos dispositivos, especialmente cuando esta
pérdida se produce en un lugar público.
 La separación del uso de los dispositivos con fines privados respecto a los del
negocio.

Ya que una de las características de IoT es la alta movilidad de los nodos que componen
la red, la política y las medidas de seguridad en este contexto deben ser reconsideradas
para que se adapten a la nueva infraestructura. Será necesario, por tanto, definir en esta
política el uso de medidas avanzadas de control de acceso, separación de redes, cifrado
criptográfico ligero y configuración segura de los dispositivos y otras técnicas que sean
relevantes.

32
El control A.6.2.2 sobre el teletrabajo resultará de aplicación directa en IoT, siempre y
cuando se tengan en cuenta los nuevos requerimientos de seguridad de los dispositivos
móviles referidos en el análisis anterior sobre el control A.6.2.1.

4.3.3 Seguridad relativa a los recursos humanos durante el empleo

Los Recursos Humanos constituyen uno de los componentes más importantes y a menudo
menos tenido en cuenta dentro de las necesidades de la Seguridad de la Información. Los
empleados tendrán acceso, en mayor o menor medida dependiendo de su perfil, a los
activos de información de la organización, por lo que resulta de vital importancia asegurar
que se selecciona al personal con las competencias adecuadas y que todo el conjunto de
empleados conoce las medidas de protección definidas por la compañía.

La norma UNE-ISO/IEC 27001:2014 define en su anexo A tres objetivos de control

relacionados con los Recursos Humanos, diferenciando el contexto previo a la
contratación del empleado, el ejercicio de sus funciones durante el empleo y la situación
posterior al empleo.

Ya que uno de los puntos clave dentro del modelo de defensa en profundidad es la
educación en seguridad de los usuarios, el análisis de aplicabilidad a la Internet de las
Cosas de este estándar se centra en los controles propuestos para su aplicación durante el
empleo, que incluyen lo relativo al plan de concienciación de la organización.

En este sentido, la norma UNE-ISO/IEC 27001:2014 propone tres controles a aplicar

sobre los empleados durante el periodo en que trabajen dentro de la organización con el
objetivo de asegurar que éstos conozcan y cumplan sus responsabilidades en materia de
Seguridad de la Información. El control A.7.2.1 trata sobre las responsabilidades de
gestión, el A.7.2.2 sobre concienciación, educación y capacitación en seguridad de la
información y el A.7.2.3 sobre el proceso disciplinario, siendo especialmente relevantes
para este análisis de aplicabilidad los dos primeros.

El control 7.2.1 determina que la dirección debería exigir a sus empleados la aplicación
de medidas de Seguridad de la Información de acuerdo a las políticas y procedimientos
establecidos en la organización. Para ello se proponen ciertas responsabilidades a tener
en cuenta por parte de la gerencia, entre las que se incluyen:
 Asegurar que los empleados conocen sus roles y responsabilidades antes de
concederles acceso a información sensible.
 Motivar a los empleados para cumplir las políticas de seguridad definidas.
 Asegurar que el personal dispone de un nivel de concienciación sobre Seguridad
de la Información adecuado a sus funciones y responsabilidades.
 Observar que los empleados mantengan en el tiempo el perfil profesional y las
cualificaciones que sean necesarias para las funciones que desempeñan.

El control A.7.2.2, por su parte, establece que todos los empleados de la organización
deben recibir de manera periódica educación, concienciación y capacitación sobre las
políticas y procedimientos de la organización según aplique para su puesto. Para cumplir
este control, la guía de implantación disponible en UNE-ISO/IEC 27002:2015
recomienda generar un plan de concienciación y un plan de formación, de forma
relacionada con lo propuesto en el control A.7.2.1.

33
El plan de concienciación tal y como se define en la guía de implantación debería
enfocarse al perfil de los empleados y contar con una planificación en la que se incluyan
actividades y material que les permita tomar conciencia de sus responsabilidades en
materia de Seguridad de la Información. Dentro de este plan, la guía propone que se
imparta formación y capacitación en aspectos generales de Seguridad de la Información,
el compromiso de la alta dirección con ella y la responsabilidad personal del empleado a
la hora de conocer y cumplir con las normas y obligaciones aplicables al respecto.

Los controles A.7.2.1 y A.7.2.2 siguen siendo aplicables en el contexto IoT por la amplia
necesidad de competencias y concienciación en los empleados, teniendo en cuenta la
importancia de que se planifiquen y lleven a cabo nuevos planes formativos que orienten
al personal en las amenazas y riesgos a las que se expone la información en un ámbito
IoT. Por otra parte, hemos considerado que el proceso disciplinario sobre los empleados
que incumplan sus responsabilidades de Seguridad de la Información definido en el
control A.7.2.3 no implica diferencias con el cambio de paradigma y, por tanto, se ha
considerado inmediata su aplicabilidad.

4.3.4 Responsabilidad sobre los activos

En el nuevo ámbito de la IoT y más concretamente dentro del esquema de defensa en

profundidad que se ha propuesto como modelo, la gestión de activos se convierte en una
disciplina de seguridad transversal al resto, dado el crecimiento exponencial en el
volumen de activos de información dentro de la red.

Dentro de la norma UNE-ISO/IEC 27001:2014 la gestión de activos es uno de los

dominios de control más importantes, definiéndose en su Anexo A controles para mejorar
la responsabilidad sobre los activos, la clasificación de la información y la manipulación
de los soportes. Debido a la gran importancia que tiene el correcto inventariado y
mantenimiento de los activos dentro de la Internet de las Cosas, este análisis se centra en
los controles propuestos sobre la responsabilidad sobre ellos. Estos controles buscan
lograr una identificación adecuada de los activos de la organización y definir los
compromisos de protección sobre los mismos.

El primer control especificado a tal efecto es el A.8.1.1 sobre inventario de activos, donde
se determina que tanto la información como los activos asociados a ella deberían estar
identificados y apropiadamente inventariados. Dicho control está íntimamente ligado al
A.8.1.2 sobre propiedad de los activos, que establece que los activos inventariados
deberían tener asignado un propietario.

Ambos controles son necesarios en la Internet de las Cosas, con la salvedad de que en
este tipo de escenarios la gestión del inventario se complica por el elevado número de
dispositivos conectados. Para tener en cuenta estos problemas, los controles deberían
tener en cuenta:
 Dificultad para actualizar y gestionar el listado de activos, por su complejidad,
extensión y dinamismo. En este tipo de redes, contar con una herramienta CMDB
resulta prácticamente imprescindible, de cara a la realización dinámica de
cambios en el inventario.
 Complejidad en la asignación de propietarios de los activos por la heterogeneidad
característica de IoT. En la mayoría de los casos será necesario agrupar los activos

34
 y asignar el propietario al conjunto en lugar de al activo individual, reduciendo
así la granularidad de la que se disponía en la Internet tradicional.

Los controles A.8.1.3 y A.8.1.4 tratan respectivamente sobre el uso aceptable de los
activos y la devolución de los mismos, por lo que se ha considerado que el despliegue del
paradigma IoT no impacta en su objetivo de control.

4.3.5 Control de acceso a Sistemas y Aplicaciones

El control de acceso a la información y a los activos que la contienen es uno de los

mayores retos a superar en la implantación de la Internet de las Cosas, suponiendo además
uno de los puntos críticos en el modelo de defensa en profundidad que se ha propuesto
para el análisis.

En materia de seguridad en el control de acceso, la norma UNE-ISO/IEC 27001:2014

define la categoría A.9 dentro del Anexo A, tratando en ella los requisitos de negocio para
el control de acceso, la gestión de acceso para los usuarios, las responsabilidades del
usuario y el control de acceso a sistemas y aplicaciones. Por la ya mencionada
complejidad técnica para llevar a cabo este tipo de control de accesos sobre IoT, en este
análisis nos centraremos en los controles propuestos en esta última.

El control A.9.4.1 determina que se debería restringir el acceso a la información de

acuerdo con la política de control de acceso. Según la norma, el acceso debería autorizarse
en base a los requisitos individuales de las aplicaciones de negocio, controlando a qué
datos puede tener acceso un empleado determinado y los privilegios que tendrá sobre
ellos. La idea del control no solo es aplicable a la Internet de las Cosas, sino que resume
las necesidades de control de acceso y autenticación de este paradigma.

El control A.9.4.2 establece que el acceso a los sistemas y aplicaciones deberá ser
controlado por un procedimiento seguro de inicio de sesión cuando así lo requiera la
política de control de acceso. La guía de implementación propone un procedimiento para
minimizar la revelación de información sobre el sistema, pero está muy enfocada a los
accesos de operadores humanos. Para su correcta aplicación sobre escenarios IoT, el
control debería separar los accesos a aplicaciones y sistemas por parte de humanos de los
que se producen de manera automática por los dispositivos, teniendo en cuenta que en
estos últimos deberían aplicarse medidas técnicas para asegurar que la autenticación se
realiza de manera segura.

El control A.9.4.3 determina que los sistemas para la gestión de contraseñas deberían ser
interactivos y establecer contraseñas robustas y seguras, permitiendo elegir a los usuarios
las contraseñas a elegir y forzando que las contraseñas se cambien cada cierto tiempo y
no puedan reutilizarse las anteriores. Desde el punto de vista IoT, donde los dispositivos
funcionan de manera autónoma, no tiene sentido que sea el usuario el que elija las
contraseñas de acceso. En su lugar, será necesario implementar medidas técnicas que
permitan asignar y cambiar periódicos de contraseñas en aquellos dispositivos IoT de la
red que no sean operados por humanos, así como un registro de las mismas protegido por
una clave maestra. De manera adicional, el control debería establecer que las contraseñas
por defecto de los distintos dispositivos de la red se cambien en su primer uso para evitar
accesos no autorizados empleando credenciales definidas por el fabricante.

35
El control A.9.4.4 establece que debería restringirse y controlarse el uso de utilidades que
permitan invalidar los controles del sistema y de la aplicación. De manera similar al
control anterior, no tiene sentido aplicar esta salvaguarda en escenarios en los que los
dispositivos operan de manera autónoma, no obstante, debería seguir siendo empleada en
equipos controlados directamente por humanos para evitar que se eliminen o deshabiliten
controles establecidos por la organización.

Por último, el control A.9.4.5 determina que el acceso al código fuente de los programas
debería estar restringido para evitar cambios no intencionados y la introducción de
funcionalidades no deseadas. Se ha considerado que este control resulta de aplicación
directa en IoT, ya que los requisitos de protección de los repositorios de código fuente no
se ven afectados por las características de este tipo de escenarios.

4.3.6 Criptografía

Los elevados requisitos de confidencialidad de la información que implica la Internet de

las Cosas hacen que suponga uno de los pilares del modelo de defensa en profundidad
que se ha propuesto como ideal para garantizar la seguridad dentro de la Internet de las
Cosas.

Al respecto de la criptografía, la norma UNE-ISO/IEC 27001:2014 define un objetivo de

control cuyo fin es el de garantizar un uso adecuado y eficaz de las técnicas criptográficas
para proteger la confidencialidad, autenticidad e integridad de la información.

El primer control dentro de esta categoría, A.10.1.1, trata sobre la política de uso de los
controles criptográficos, determinando que se debería desarrollar e implementar una
política sobre el uso de este tipo de controles para proteger la información. La guía de
implantación de este control definida en la guía UNE-ISO/IEC 27002:2015 establece que
dentro de esta política se debe tener en cuenta, entre otros:
 El enfoque de la Dirección con respecto al uso de controles criptográficos.
 La identificación del nivel de protección necesario a través de la elección de un
tipo, fortaleza y calidad del algoritmo de cifrado. Esta identificación debe llevarse
a cabo basándose en el Análisis de Riesgos.
 El uso del cifrado en canales de comunicación y dispositivos móviles.
 La gestión de claves.
 Las funciones y responsabilidades en materia de criptografía.

El control A.10.1.2, por su parte, presenta la gestión de claves y determina que se debería
desarrollar e implementar una política sobre el uso, la protección y la duración de las
claves de cifrado a lo largo de todo su ciclo de vida. Este control se aplica a través de la
creación y mantenimiento del conjunto de políticas y procedimientos para generar,
almacenar, actualizar, distribuir y eliminar claves, entre otras.

La implantación de estos dos controles asegura la correcta implantación de técnicas

criptográficas dentro de los sistemas de la organización, de manera que las políticas
aplicadas se alineen con los objetivos, tengan apoyo de la Dirección y puedan ser
correctamente aplicadas y gestionadas.

En vista de que la necesidad de contar con una política sobre uso de criptografía y con
una serie de procedimientos de gestión de claves se mantiene en el contexto IoT,

36
consideramos que los controles previamente descritos resultan de aplicación directa para
la Internet de las Cosas. No obstante, es conveniente puntualizar que debido a la escasa
capacidad de procesamiento y memoria de la mayoría de los dispositivos que componen
el entramado de IoT, los métodos a utilizar en este tipo de redes serán en su mayoría
técnicas de criptografía ligera y esto deberá tenerse en cuenta dentro tanto en las políticas
como en los mecanismos de gestión de claves de la organización.

El uso de criptografía ligera contribuye a la seguridad de las redes IoT por su eficiencia,
teniendo por características principales: [35]
1. Las comunicaciones extremo a extremo se hacen mediante un algoritmo de clave
simétrica, lo que reduce el ancho de banda y el consumo de energía.
2. La criptografía ligera tiene unos requisitos mínimos mucho menos exigentes que
otras técnicas tradicionales, pudiendo llegar a implementarse en dispositivos
pequeños o de bajo costo que no dispongan de las especificaciones suficientes
para utilizar métodos clásicos.

4.3.7 Seguridad de los equipos

El esquema de defensa en profundidad que se ha propuesto se centra en la protección del

conjunto de dispositivos garantizando, no obstante, que cada uno de los nodos de la red
cumple con unas medidas básicas de seguridad. La organización deberá aplicar medidas
de protección sobre los equipos a nivel individual que posibiliten el cumplimiento de esta
premisa.

En el contexto de la seguridad de los equipos, la norma UNE-ISO/IEC 27001:2014 define

en el Anexo A una serie de controles que tienen por objetivo evitar la pérdida, daño, robo
o el compromiso de los activos y la interrupción de las operaciones de la organización.

El primer control propuesto, el A.11.2.1, trata sobre el emplazamiento y la protección de

los equipos, determinando que estos deben situarse de forma que se reduzcan los riesgos
ambientales y las amenazas, además de impedir que se produzcan accesos no autorizados
La guía de implantación de este control determina que los equipos deberían seguir una
serie de directrices de seguridad que limiten el acceso a ellos y que reduzcan el riesgo de
amenazas físicas y ambientales, así como medidas de protección física.

Este control es aplicable sólo hasta cierto punto dentro del contexto de Internet de las
Cosas, ya que la condición de ubicuidad de los sistemas de información dificulta la
aplicación de la salvaguarda de limitación de acceso físico. En la red tradicional es posible
garantizar que los activos sensibles se almacenan en un emplazamiento con unas
capacidades determinadas, pero la entrada en el sistema de múltiples dispositivos móviles
implica que en la mayoría de los casos éste control no será la manera más adecuada de
proporcionar control de acceso a la información. Por otra parte, la protección física y
ambiental contemplada dentro del control sigue siendo válida y es de hecho un
componente necesario en las redes IoT.

El control A.11.2.2 sobre instalaciones de suministro determina que los equipos deberían
estar protegidos contra fallos de alimentación y otras alteraciones causadas por fallos en
las instalaciones de suministro. Este control resulta prácticamente de obligado
cumplimiento en entornos IoT, donde ya se ha determinado que la gestión eficiente de la
energía resulta de vital importancia para asegurar el funcionamiento de los sistemas. El

37
control contempla la disposición de múltiples fuentes con canales de alimentación
independientes y el uso de alarmas para detectar fallos en su funcionamiento, con lo que
se cubriría la necesidad de disponer de fuentes de energía alternativa para los dispositivos
y la gestión de incidentes de energía en los mismos.

El control A.11.2.3 sobre la seguridad del cableado determina que el cableado eléctrico y
de telecomunicaciones que se emplea para la transmisión de datos ha de estar protegido
frente a interceptaciones o interferencias. Debido a la propia naturaleza inalámbrica de
los escenarios IoT, se ha considerado en este análisis que el control no es aplicable a la
Internet de las Cosas.

El control A.11.2.5 sobre la retirada de materiales propiedad de la empresa determina que

los equipos e información de la organización no deberían abandonar las instalaciones de
la misma sin autorización. La guía de implantación actual propone con el fin de cumplir
este objetivo la identificación de los empleados con permiso para sacar los activos fuera
de las instalaciones, el establecimiento de tiempos límite y el registro de las salidas y
entradas de los equipos. De nuevo, dado el alto volumen de dispositivos que caracteriza
a las redes IoT, consideramos inviable la aplicación de este tipo de salvaguardas en este
entorno. El control debería enfocarse a la aplicación de medidas tecnológicas que
permitan controlar la información de manera automática, como la implantación de
mecanismos de gestión de derechos de información (IRM, Information Rights
Management).

El control A.11.2.7 sobre reutilización o eliminación segura de equipos determina que

todos los soportes de almacenamiento deberían ser comprobados para confirmar que todo
dato sensible y software bajo licencia se ha eliminado de manera segura antes de
deshacerse de ellos. Este control sigue siendo necesario y es aplicable al contexto de la
Internet de las Cosas. La guía de implantación del control se centra en el proceso de
eliminación segura de datos sobre un soporte físico, pero dado que el uso de dispositivos
IoT en la empresa supone un vector de entrada para el robo de información por los
atacantes, creemos que la salvaguarda debería reforzarse mediante la inclusión de una
nueva política de gestión y destrucción de dispositivos IoT.

El resto de controles relacionados con la seguridad de los equipos se ha analizado de

manera sucinta, ya que el objetivo que persigue su aplicación no supone un obstáculo
para entornos del tipo IoT, tal y como se puede observar a continuación:
 Control A.11.2.4 sobre el mantenimiento de los equipos. A pesar de que algunos
dispositivos típicos de las redes IoT tienen un ciclo de vida distinto al de los
dispositivos clásicos (por ejemplo, las etiquetas RFID) y por ende requieren un
mantenimiento específico, hemos considerado que el control puede aplicarse de
igual manera a ellos, salvando las distintas particularidades de cada caso.
 Control A.11.2.6 sobre la seguridad de los equipos fuera de las instalaciones, que
propone las medidas de seguridad a tener en cuenta en los equipos situados fuera
de las instalaciones de la organización. Se ha considerado que el planteamiento de
la guía de implantación es suficiente para el ámbito de Internet de las Cosas.
 Control A.11.2.8 sobre equipos de usuarios desatendidos, que mantiene su
aplicación directa al estar focalizado en los equipos personales de los usuarios,
donde la llegada del paradigma IoT no resulta disruptiva en exceso.

38
  Control A.11.2.9 sobre política de puesto de trabajo despejado y pantalla limpia,
sobre el cual hemos considerado que mantiene su aplicación directa al ámbito de
IoT por no suponer éste paradigma grandes cambios en el contexto de control.

4.3.8 Protección contra el software malicioso

El software malicioso o malware supone uno de los mayores problemas en Internet tanto
para usuarios individuales como organizaciones. La cada vez mayor complejidad de
Internet y el enorme volumen de comunicaciones son aprovechados por los creadores de
este tipo de programas para su distribución, infectando un gran número de dispositivos
sin que sus propietarios sean conscientes de ello, en la mayoría de los casos. La
rentabilidad económica de la creación y explotación del malware motiva que cada día
aparezcan miles de versiones nuevas de estos programas, tales como troyanos, gusanos o
el infame ransomware, que cifra los archivos del usuario afectado pidiendo al usuario un
rescate económico para poder recuperarlos. La adopción de la Internet de las Cosas
acrecienta la exposición y el impacto potencial del malware, dada la amplia superficie de
ataque y el elevado número de dispositivos interconectados que podrían ser explotados
por estos programas.

Como respuesta a las amenazas que el malware genera sobre las organizaciones, la norma
UNE-ISO/IEC 27001:2014 propone el control A.12.2.1, el cual determina que se deberían
implementar los controles de detección, prevención y recuperación que sirvan como
protección contra el código malicioso, además de concienciar al usuario. La guía de
implantación de este control tiene en cuenta el establecimiento de una política de
prohibición de software no autorizado y el uso de mecanismos que permitan detectarlo,
la gestión de vulnerabilidades técnicas, la instalación y actualización periódica de
software de detección de código malicioso y el establecimiento de medidas de
recuperación en caso de desastre, entre otros.

Consideramos que tanto el objetivo de control como la metodología de implantación

propuesta son válidos y aplicables a IoT, no obstante, y de manera similar a como ocurre
con otros controles, creemos que deberían realizarse las siguientes mejoras:
 La concienciación de los usuarios resulta vital para prevenir infecciones de
malware, por lo que este control debería estar directamente relacionado con el
A.7.2.2 para incluir formación específica en la planificación de la organización.
 En vista del elevado número de dispositivos que componen la red, el malware en
IoT podría enfocarse a la creación de enormes redes de ordenadores controladas
por el atacante (botnets) para lanzar ataques de denegación de servicio, por lo que
se debería hacer alusión a sistemas de monitorización de tráfico anómalo en
relación a los controles propuestos en la categoría A.4.3.9.

4.3.9 Gestión de la seguridad de redes

La seguridad en las redes de comunicaciones es uno de los factores clave cuando

hablamos de una implantación de la Internet de las Cosas bajo el modelo de defensa en
profundidad. El aumento en la cantidad del tráfico y la complejidad de éste requerirá
nuevos y grandes esfuerzos tanto a nivel técnico como organizacional para asegurar que
la comunicación se realiza de manera segura.

39
Al respecto de seguridad de redes, la norma UNE-ISO/IEC 27001:2014 define una serie
de controles al respecto dentro de la categoría de control de Seguridad de las
Comunicaciones (A.13).

El control A.13.1.1 determina que las redes deberían ser gestionadas y controladas para
proteger la información en los sistemas y aplicaciones. En la guía de implementación de
este control se comentan algunos aspectos de interés para este análisis:
 Deberían establecerse controles especiales para salvaguardar la confidencialidad
e integridad de los datos provenientes de redes públicas/inalámbricas y proteger
los sistemas conectados y sus aplicaciones.
 Debería realizarse un registro adecuado de eventos y monitorización de la red.
 Los sistemas de la red deberían ser autenticados y la conexión de los sistemas a la
red debería ser restringido.

Mediante la aplicación de estos controles sobre una red de comunicación estaremos

ayudando a garantizar la confidencialidad, la integridad y la disponibilidad de los datos,
además de proporcionando los mecanismos necesarios para controlar el acceso y forzando
la autenticación cuando así se requiera. Todo lo anterior es válido dentro del contexto
IoT, sin embargo, no abarca todo el espectro de necesidades de esta tecnología.

El control debería tener en cuenta la necesidad de aplicar medidas de respuesta proactiva

ante incidentes, basándose para ello en la enorme cantidad de información gestionada en
los nodos de manera individual y sin que estas acciones requieran, en la mayoría de los
casos, la intervención de un operador humano [36]. Adicionalmente, deberá tenerse en
cuenta que, debido a la elevada cantidad de tráfico e información generada en este tipo
de sistemas, deberán implementarse sistemas de monitorización y recopilación de eventos
inteligentes, cercanos al mundo del “Big Data”.

El control A.13.1.2 trata sobre la seguridad de los servicios de red y determina que los
mecanismos de seguridad, niveles de servicio y requisitos de gestión de todos los
servicios de la red deberían ser identificados e incluidos en acuerdos de servicio de red.
Este control es relevante para el contexto de aplicación de la Internet de las Cosas, siendo
especialmente importante la identificación de los niveles de servicio y las capacidades
técnicas de seguridad que ofrecen los distintos proveedores de la organización.

Por último, el control A.13.1.3 trata sobre la segregación de redes, determinando que los
grupos de servicios de información, los usuarios y los distintos sistemas de información
deberían estar segregados en redes distintas. En la guía de implantación se recomienda la
división de la red en dominios separados basados en niveles de confianza, unidades
organizativas o una combinación de ambos a través de redes VPN o el uso de diferentes
redes físicas.

Si bien es cierto que el objetivo de control es directamente aplicable a la Internet de las

Cosas, la recomendación de implantación propuesta en UNE-ISO/IEC 27002:2015 no
resulta adecuada a este tipo de escenarios, en que las políticas de segmentación deberán
estar sujetas a la sensibilidad de los datos, al tipo de los dispositivos y a los protocolos
utilizados en la red en un momento dado, teniendo en cuenta además que éste variará de
manera frecuente.

40
En este sentido, la guía de implementación podría recomendar la aplicación de
tecnologías de Red Definida por Software (SDN, Software Defined Network) para lograr
una mejor gestión dinámica de los segmentos de red en entornos heterogéneos y
complejos, mejorando la eficiencia y la capacidad de administración de la red además de
su seguridad [37]. Un esquema explicativo de red SDN en el contexto IoT se puede ver
en la Ilustración 12.

Ilustración 12 - Modelo de arquitectura SDN sobre IoT [37]

4.3.10 Seguridad en las relaciones con proveedores

En los últimos años las Tecnologías de la Información han experimentado una creciente
tendencia hacia la nube y las plataformas virtuales, generando un enorme auge en los
modelos de infraestructuras y software como servicio. Los servicios en la nube se
caracterizan por ofrecer un menor coste fijo y una mayor flexibilidad a las organizaciones,
que pueden de esta manera ajustar de manera variable su capacidad en función de la
demanda en un momento dado.
Desde el punto de vista de la Seguridad de la Información, el uso de este tipo de
tecnologías puede suponer un empeoramiento en la capacidad de control de las
organizaciones sobre la información almacenada y en tránsito. Para tener en cuenta la
problemática asociada a este tipo de servicios, la norma UNE-ISO/IEC 27001:2014
plantea en la categoría de control A.15.1 de su Anexo A una serie de controles sobre la
seguridad en las relaciones con proveedores, que vamos a analizar a continuación.

El control A.15.1.1 y el control A.15.1.2 tratan sobre la política de Seguridad de la

Información en las relaciones con proveedores y los requisitos de seguridad en contratos
con terceros. La aplicación de estos controles implica en primer lugar que los requisitos
de Seguridad de la Información para mitigar los riesgos asociados con el acceso del
proveedor a la información deben acordarse con el proveedor y quedar documentados, y
en segundo lugar que deberían establecerse todos los controles de seguridad necesarios
sobre aquellos servicios ofertados por terceros en el ámbito de las Tecnologías de la
Información. El control A.15.1.3 determina que los acuerdos con proveedores deberían
incluir requisitos para hacer frente a los riesgos de seguridad de la información

41
relacionados con las Tecnologías de la Información y la cadena de suministro de
productos.

Bajo el enfoque de la Internet de las Cosas, los tres controles anteriores resultan de
aplicación directa. En este tipo de redes caracterizadas por la ubicuidad y la escasa
capacidad de computación de muchos de los dispositivos que la componen, serán
habituales los proveedores externos que ofrezcan infraestructura y capas de virtualización
a través de distintos servicios para la organización.

La alta aplicabilidad de estos controles con respecto a las tecnologías en la nube y la

Internet de las Cosas se justifica con la gran sensibilización sobre la Seguridad de la
Información en relación con terceras partes suministradoras que tuvo lugar en la
actualización de la norma del año 2013 (2014 si tenemos en cuenta la homóloga española
UNE-ISO/IEC 27001:2014), que incluyó por vez primera un dominio de control de
relación con proveedores.

4.3.11 Cumplimiento de los requisitos legales y contractuales

A medida que las Tecnologías de la Información han ido ganando importancia en los
procesos de las empresas, el cumplimiento de las consideraciones y requisitos legales ha
obtenido un mayor peso de manera proporcional. Las distintas organizaciones se ven más
afectadas que nunca por regulaciones de protección de datos como la LOPD, leyes del
comercio electrónico como la LSSI o reglamentación financiera que afecta a las empresas
cotizadas en bolsa, por ejemplo, SOX.

La entrada en escena del paradigma IoT incrementa la exposición de las organizaciones

a incumplimientos legales y contractuales que pueden derivar en cuantiosas pérdidas
económicas derivadas de la aplicación de sanciones, además de la pérdida de
oportunidades y competitividad en el mercado por un empeoramiento de la imagen
corporativa.

La norma UNE-ISO/IEC 27001:2014 tiene en consideración los requisitos legales en

materia de Seguridad de la Información, proponiendo una serie de controles de
cumplimiento normativo en el apartado 18 de su Anexo A con el objetivo de evitar
incumplimientos de obligaciones legales, estatutarias, reglamentarias o contractuales
relativas a la Seguridad de la Información. De los controles aquí propuestos, resultan de
especial interés para el ámbito IoT aquellos descritos en el apartado A.18.1, que se van a
analizar a continuación:

El control A.18.1.1 trata sobre la identificación de la legislación aplicable y los requisitos

contractuales, determinando que todos los requisitos pertinentes deberían definirse de
manera explícita, documentarse y mantenerse actualizados para cada sistema de
información de la organización. El control es equiparable el nuevo contexto de la Internet
de las Cosas, no obstante, la identificación de legislación aplicable en este caso puede
resultar más compleja que en el ámbito tradicional, debiendo tenerse en cuenta los
requerimientos específicos de otros países si las redes IoT de la organización tienen
alcance internacional. En este sentido y dada la complejidad de la identificación
entendemos que sería necesario definir una guía de recomendación general que apoye la
implantación de este control en distintos escenarios geográficos y contextos tecnológicos.

42
El control A.18.1.4 sobre protección y privacidad de la información de carácter personal
establece que debe garantizarse la protección y la privacidad de los datos según establezca
la legislación y la reglamentación aplicables. En la guía de implantación de este control
de la norma UNE-ISO/IEC 27002:2015 se propone la implantación de una política de
privacidad y protección de la información de carácter personal, así como el nombramiento
de un responsable de protección de datos que vele por la seguridad de la información
personal.

Lo anterior es aplicable e incluso más necesario en los nuevos escenarios de la Internet

de las Cosas, sin embargo, el gran número de dispositivos RFID conectados a la red
aumenta los peligros relativos a la privacidad y a la protección de datos de carácter
personal, haciendo relativamente sencillo para un atacante acceder de manera física a
ellos y obtener la información que contienen. Este hecho motiva la necesidad de aplicar
medidas técnicas que ayuden a cumplir la política de protección y privacidad de datos,
como las tecnologías Contactless Privacy Manager (CPM, Gestor de Privacidad Sin
Contacto), que permite interceptar intentos de lectura no autorizados y bloquear la
etiqueta atacada de manera temporal impidiendo que se extraiga de ella la información de
manera ilícita. [38]

El control A.18.1.5 trata sobre la regulación de los controles criptográficos. Según la

norma, estos controles se deben utilizar de acuerdo con todos los contratos, leyes y
regulaciones pertinentes. De manera análoga a lo contemplado en el análisis del control
A.18.1.1, este control será aplicable de manera directa a un escenario de Internet de las
Cosas, pero deberá tenerse en consideración las particularidades criptográficas del
modelo descritas en la sección 4.3.4.

Por último y de manera similar a lo visto anteriormente, esta categoría de control provee
de controles sobre los cuales se ha considerado que no requieren cambios significativos
para su aplicación en un escenario IoT:
 El control A.18.1.2 trata sobre los derechos de propiedad intelectual, definiendo
que deberían ser implementados procedimientos adecuados para para garantizar
el cumplimiento de requisitos legales en materia de propiedad intelectual y en uso
de software patentado.
 El control A.18.1.3 sobre protección de los registros de la organización, que
especifica que todos los registros deberán estar protegidos ante la pérdida,
destrucción o acceso no autorizado, entre otros, de acuerdo a los requisitos legales
y contractuales de la organización.

4.4 Conclusiones

En esta sección se muestra una tabla resumen que sintetiza las conclusiones obtenidas tras
el análisis de aplicabilidad a la Internet de las Cosas de los controles definidos en el Anexo
A de la norma UNE-ISO/IEC 27001:2014 y las recomendaciones para su implantación
definidas en UNE-ISO/IEC 27002:2015.

43
 Tabla 2 - Resumen del análisis de aplicabilidad

Controles propuestos en el anexo A de la norma Resultado del análisis de

UNE-ISO/IEC 27001:2014 [22] aplicabilidad a IoT
A.5 Políticas de seguridad de la
5.
información
A.5.1 Directrices de gestión de la
5.1
seguridad de la información
El control es aplicable, pero
Políticas para la seguridad de la debería tener en cuenta la
A.5.1.1
información necesidad de establecer políticas
de bajo nivel específicas para IoT
Revisión de las políticas para la
A.5.1.2 El control es aplicable
seguridad de la información
A.6 Organización de la Seguridad
6.
de la Información
6.1 A.6.1 Organización Interna
Roles y responsabilidades en
A.6.1.1 El control es aplicable
seguridad de la información
A.6.1.2 Segregación de tareas El control es aplicable

A.6.1.3 Contacto con las autoridades El control es aplicable

Contacto con grupos de interés
A.6.1.4 El control es aplicable
especial
El control es aplicable, pero
debería puntualizar que las
Seguridad de la información en la políticas de seguridad definidas
A.6.1.5
gestión de proyectos deberían ser adecuadas e incluir
puntos relativos al nuevo
contexto IoT (ver A.5.1.1)
A.6.2 Los dispositivos móviles y el
6.2
teletrabajo
El control es aplicable, pero
debería subrayar la necesidad de
A.6.2.1 Política de dispositivos móviles que la política de dispositivos
móviles tenga en consideración
las necesidades de IoT
A.6.2.2 Teletrabajo El control es aplicable
A.7 Seguridad relativa a los
7.
recursos humanos
7.2 A.7.2 Durante el empleo

A.7.2.1 Responsabilidades de gestión El control es aplicable

Concienciación, educación y
A.7.2.2 capacitación en seguridad de la El control es aplicable
información

A.7.2.3 Proceso disciplinario El control es aplicable

44
 Controles propuestos en el anexo A de la norma Resultado del análisis de
UNE-ISO/IEC 27001:2014 [22] aplicabilidad a IoT
8. A.8 Gestión de activos
A.8.1 Responsabilidad sobre los
8.1
activos
El control es aplicable, pero
debería tener en cuenta las
A.8.1.1 Inventario de activos
dificultades a la hora de gestionar
un inventario de activos en IoT
El control es aplicable, pero
debería proponer asignaciones de
A.8.1.2 Propiedad de los activos propietario dinámicas y
generalmente por grupos de
dispositivos
A.8.1.3 Uso aceptable de los activos El control es aplicable

A.8.1.4 Devolución de activos El control es aplicable

9. A.9 Control de acceso
A.9.4 Control de acceso a
9.4
sistemas y aplicaciones
Restricción del acceso a la
A.9.4.1 El control es aplicable
información
El control es parcialmente
aplicable, ya que no tiene sentido
Procedimientos seguros de inicio su implantación en escenarios
A.9.4.2
de sesión donde únicamente los
dispositivos acceden a sistemas y
aplicaciones
El control es parcialmente
aplicable, ya que no tiene sentido
su implantación en escenarios
A.9.4.3 Sistema de gestión de contraseñas
donde únicamente los
dispositivos acceden a sistemas y
aplicaciones
El control es parcialmente
aplicable, ya que no tiene sentido
Uso de utilidades con privilegios su implantación en escenarios
A.9.4.4
del sistema donde únicamente los
dispositivos acceden a sistemas y
aplicaciones
Control de acceso al código fuente
A.9.4.5. El control es aplicable
de los programas
10. A.10 Criptografía
10.1 A.10.1 Controles criptográficos
Política de uso de los controles
A.10.1.1 El control es aplicable
criptográficos
El control es aplicable, pero
debería tener en cuenta las
A.10.1.2 Gestión de claves
particularidades de la IoT en
cuanto a técnicas criptográficas.

45
 Controles propuestos en el anexo A de la norma Resultado del análisis de
UNE-ISO/IEC 27001:2014 [22] aplicabilidad a IoT
A.11 Seguridad física y del
11.
entorno
11.2 A.11.2 Seguridad de los equipos
El control es parcialmente
aplicable, ya que la limitación de
Emplazamiento y protección de espacio físico será imposible de
A.11.2.1
equipos llevar a cabo en muchos casos
debido a la ubicuidad
característica de las redes IoT.

A.11.2.2 Instalaciones de suministro El control es aplicable

El control es parcialmente
aplicable, ya que sólo será útil en
aquellos entornos en los que se
A.11.2.3 Seguridad del cableado mantenga la infraestructura
tradicional (p. ej, CPD) además
de una infraestructura propia del
paradigma IoT.
A.11.2.4 Mantenimiento de los equipos El control es aplicable

Retirada de materiales propiedad de El control no es aplicable por su

A.11.2.5
la empresa inviabilidad técnica.

Seguridad de los equipos fuera de

A.11.2.6 El control es aplicable
las instalaciones
El control es aplicable, pero
debería reforzarse mediante la
Reutilización o eliminación segura inclusión de una nueva política
A.11.2.7
de equipos de gestión y destrucción de
dispositivos IoT (generalmente
RFID)
A.11.2.8 Equipo de usuario desatendido El control es aplicable

Política de puesto de trabajo

A.11.2.9 El control es aplicable
despejado y pantalla limpia
A.12 Seguridad de las
12.
operaciones
A.12. Protección contra el
12.2
software malicioso (malware)
El control es aplicable, pero
debería incluir una referencia
explícita a la formación técnica
Controles contra el código sobre malware y establecer los
A.12.2.1
malicioso requerimientos de monitorización
para evitar el uso de las redes IoT
como generadoras de ataques de
denegación de servicio.

46
 Controles propuestos en el anexo A de la norma Resultado del análisis de
UNE-ISO/IEC 27001:2014 [22] aplicabilidad a IoT
A.13 Seguridad de las
13.
comunicaciones
A.13.1 Gestión de la seguridad de
13.1
redes
El control es aplicable, pero
debería ampliarse para hacer
A.13.1.1 Controles de red
frente a las amenazas particulares
de las redes IoT
A.13.1.2 Seguridad de los servicios de red El control es aplicable
El control es aplicable, pero
debería recomendarse el uso de
tecnologías SDN para mejorar la
A.13.1.3 Segregación en redes
segregación de las redes en
escenarios de la Internet de las
Cosas.
15. A.15 Relación con proveedores

A.15.1 Seguridad en las

15.1
relaciones con proveedores
Política de seguridad de la
A.15.1.1 información en las relaciones con El control es aplicable
los proveedores
Requisitos de seguridad en
A.15.1.2 El control es aplicable
contratos con terceros
Cadena de suministro de tecnología
A.15.1.3 de la información y de las El control es aplicable
comunicaciones
18. A.18 Cumplimiento

A.18.1 Cumplimiento de los

18.1
requisitos legales y contractuales
El control es aplicable, pero
Identificación de la legislación debería definirse una guía de
A.18.1.1 aplicable y de los requisitos identificación de legislación
contractuales aplicable en escenarios
internacionales
Derechos de propiedad intelectual
A.18.1.2 El control es aplicable
(DPI)

Protección de los registros de la

A.18.1.3 El control es aplicable
organización
El control es aplicable, pero
deberían comentarse nuevos
Protección y privacidad de la
A.18.1.4 medios técnicos para evitar el
información de carácter personal
acceso no autorizado a datos de
carácter personal, como el CPM.

47
 Controles propuestos en el anexo A de la norma
UNE-ISO/IEC 27001:2014 [22]
Regulación de los controles
A.18.1.5
criptográficos
Resultado del análisis de
aplicabilidad a IoT
El control es aplicable, pero
debería tener en cuenta las
particularidades de la IoT en
cuanto a técnicas criptográficas
48
 5. Conclusiones
5.1 Conclusiones obtenidas

La importancia de la Seguridad de la Información en las organizaciones se ha acrecentado

en los últimos años motivada por la cada vez mayor penetración de las Tecnologías de la
Información en sus métodos de negocio. La adopción e integración de técnicas propias
de la Internet de las Cosas aumentará el área de exposición a amenazas de seguridad,
remarcando aún más la necesidad de Seguridad de la Información.

Las nuevas necesidades de seguridad en IoT se pueden resumir como las tradicionales a
las que estamos acostumbrados dentro de la Internet clásica sumadas a aquellas
específicas para hacer frente a las amenazas concretas del modelo de interconexión total
de este paradigma. La manera más eficaz de proteger las redes IoT es la de garantizar la
seguridad del conjunto de nodos en lugar de centrarse en bastionar cada dispositivo por
separado, siguiendo un modelo de defensa en profundidad. Aplicando este esquema se
busca que los fallos o incidentes de seguridad que se produzcan en un componente puedan
ser subsanados por otro elemento de la propia red en lugar de propagarse por la misma.

Con el fin de mantener un nivel aceptable de seguridad, un número creciente de

organizaciones está optando por implementar Sistemas de Gestión de Seguridad de la
Información basados en la norma ISO/IEC 27001. En aras de evaluar la aplicabilidad de
esta norma al modelo de defensa en profundidad propuesto para la Internet de las Cosas
se han identificado aquellos controles relevantes para el modelo. Una vez identificados,
se ha realizado un análisis sobre su posible adaptación y uso en la Internet de las Cosas,
llegando a la conclusión de que en líneas generales dichos controles son acertados y
resultan útiles, pero requerirán algunas mejoras y actualizaciones para ser más adecuados
a los nuevos escenarios.

Los controles propuestos en relación a las políticas, procesos y organización del SGSI
son los que mejor se adaptan al nuevo contexto de la Internet de las Cosas por estar
situados en un plano de gestión donde el cambio técnico no tiene un impacto tan elevado,
lo que confirma que este modelo de gestión de la seguridad debería ser lo suficientemente
flexible para este paradigma.

Las salvaguardas orientadas a la concienciación y la formación de los empleados tienen

un gran peso dentro de la Internet de las Cosas, donde se incrementa la necesidad de
proporcionar la formación sobre las amenazas y riesgos de seguridad a los que se exponen
los empleados en el desarrollo de sus tareas, así como de recalcar la importancia de
mantener un nivel aceptable de Seguridad de la Información en de la organización. En
este sentido y debido el elevado volumen de malware distribuido, debería hacerse énfasis
en la protección ante el software malicioso, proporcionando medios y mecanismos para
evitar ataques de Ingeniería Social que se valgan del usuario como puerta de entrada.

La seguridad de red tiene una fuerte presencia en la norma, lo que encaja con una de las
mayores necesidades de protección para la IoT. La implantación de medidas técnicas de
monitorización, segregación de redes y criptografía deberán estar contempladas por la
norma para garantizar que la confidencialidad y la integridad se mantienen a través de la

49
red. Por otra parte, deberán hacerse esfuerzos para adaptar las ideas en materia de control
de acceso y seguridad física que se aplican a día de hoy a estos nuevos escenarios. Deberá
tenerse en cuenta que el elevado número de dispositivos, la heterogeneidad y la ubicuidad
de los mismos impide que se sigan manteniendo las medidas de limitación de acceso y la
protección física de cada uno de ellos, siendo necesarias nuevas precauciones al respecto.

Los controles relacionados con el cumplimiento normativo y la relación con proveedores

parecen, del mismo modo que las políticas y procesos, estar bastante alineados con las
necesidades del paradigma IoT. Debe tenerse en cuenta que en los próximos años será
especialmente importante respetar la legislación en materia de protección de datos y evitar
las fugas de información, por lo que disponer de una base jurídica fuerte y controlar los
servicios externos resultará vital en un entorno de IoT.

En definitiva, tras la realización del análisis consideramos que la implantación de un SGSI

complementa el modelo de defensa en profundidad, proporcionándole el marco de gestión
que necesita para implantar, monitorizar y gestionar medidas de carácter técnico que en
conjunto permita mantener un nivel aceptable de seguridad en la Internet de las Cosas,
aunque deberá trabajarse en algunos puntos para adaptar mejor el contenido de los
controles al nuevo paradigma.

5.2 Trabajo futuro

En base al análisis realizado y a los objetivos alcanzados, pueden plantearse una serie de
ideas de trabajo futuro que permitan extender los resultados de este Proyecto Fin de
Máster.

En primer lugar, se plantea ampliar este análisis a aquellas categorías de control que han
quedado fuera por no considerarse incluidas en el modelo de defensa en profundidad. Del
mismo modo, debería profundizarse en la guía de implementación de cada control para
evaluar si en los casos en que el control se determina como aplicable, también lo es la
recomendación para desplegarlo.

En vista del nuevo enfoque de la norma ISO/IEC 27001:2013 que permite ser integrada
como un modelo de marco de gestión junto a otras normas, se plantea realizar una
evaluación de aplicabilidad de otros estándares ISO a este paradigma de manera similar
al que ocupa este Proyecto, por ejemplo:
 ISO 9001 sobre Sistemas de Gestión de la Calidad. [39]
 ISO 22301 sobre Gestión de la Continuidad de Negocio. [40]
 ISO/IEC 27005 sobre Gestión de Riesgos de Seguridad de la Información.
 ISO/IEC 27033 sobre Seguridad en Redes. [41]

Por último, se plantea realizar análisis similares con otros estándares de seguridad
focalizados en la parte técnica en lugar de la gestión de la Seguridad de la Información,
como la guía de seguridad OWASP para IoT [42], de modo que se pueda tener una
valoración de aplicabilidad respecto a una visión más enfocada a la ciberseguridad.

50
6. Referencias bibliográficas

[1] Ponemon Institute, 2014 Global Report on the Cost of Cyber Crime, 2014.
[2] Gartner, «Gartner's 2015 Hype Cycle for Emerging Technologies,» 2015.
[3] K. Ashton, «That Internet of Things Thing,» RFID Journal, 2009.
[4] D. Evans, «The Internet of Things. How the next Evolution of the Internet is Changing
Everything,» Cisco Systems, 2011.
[5] Unión Internacional de Telecomunicaciones, «Recomendación UIT-T Y.2060: Descripción
general de Internet de los objetos,» 2012.
[6] Unión Internacional de Telecomunicaciones, «Descripción general de Internet de los
objetos,» Ginebra, 2012.
[7] L. Atzori, A. Iera y G. Morabito, «The Internet of Things: A survey,» Computer Networks,
p. 19, 2010.
[8] National Intelligence Council, «Six Technologies with Potential Impacts on US Interests
Out to 2025,» de Disruptive Technologies Global Trends 2025, 2008.
[9] D. Miorandi, S. Sicari, F. De Pellegrini y I. Chlamtac, «Internet of Things: Vision,
applications and research challenges,» Ad Hoc Networks, p. 20, 2012.
[10] K. Zhao y L. Ge, «A survey on the Internet of Things Security,» de 2013 Ninth
International Conference on Computational Intelligence and Security, Guangxi, 2013.
[11] International Organization for Standardization, «Standards,» [En línea]. Available:
http://www.iso.org/iso/home/standards.htm.
[12] F. G. Gutiérrez, «Análisis de las normas de seguridad para los controles, las
comunicaciones y otros equipos críticos de la red de energía,» Proyecto Fin de Carrera.
EPS-UAM, 2014.
[13] V. Cuamatzi, «LA SEGURIDAD DE LA INFORMACIÓN,» 2014. [En línea]. Available:
http://maldonasjd.blogspot.com.es/.
[14] International Organization for Standardization, «About ISO,» [En línea]. Available:
http://www.iso.org/iso/home/about.htm.
[15] International Telecommunication Union, «ICT Security Standards Roadmap,» [En línea].
Available: http://www.itu.int/en/ITU-T/studygroups/2013-
2016/17/ict/Pages/default.aspx.
[16] National Institute of Standards and Technology, «NIST General Information,» [En línea].
Available: http://www.nist.gov/public_affairs/general_information.cfm.
[17] National Institute of Standards and Technology, «NIST SPECIAL PUBLICATIONS (SP),» [En
línea]. Available: http://csrc.nist.gov/publications/PubsSPs.html.
[18] AENOR, «Misión, Visión y Valores de AENOR,» [En línea]. Available:
http://www.aenor.es/aenor/aenor/mision/mision.asp#.Vzdtr7iLQdU.
[19] International Organization for Standardization, «International Organization for
Standardization,» [En línea]. Available:
http://www.iso.org/iso/home/standards/management-standards/iso27001.htm.
[20] International Organization for Standardization, ISO/IEC 27000, 2014.
[21] AENOR, UNE-ISO/IEC 27000, 2014.
[22] AENOR, UNE-ISO/IEC 27001, 2014.

51
[23] AENOR, UNE-ISO/IEC 27002, 2015.
[24] International Organization for Standardization, ISO/IEC 27003, 2010.
[25] International Organization for Standardization, ISO/IEC 27004, 2009.
[26] International Organization for Standardization, ISO/IEC 27005, 2011.
[27] International Organization for Standardization, ISO/IEC 27001, 2008.
[28] International Organization for Standardization, ISO 31000, 2009.
[29] Consejo Superior de Administración Electrónica, MAGERIT versión 3: Metodología de
Análisis y Gestión de Riesgos de los Sistemas de Información, Ministerio de Hacienda y
Administraciones Públicas, 2012.
[30] V. Poole, Information Security Management: Why the emerging ISO 20000 series are vital
for business resilience, 2008.
[31] A. López Neira y J. Ruiz Spohr, «El portal de ISO 27001 en Español,» [En línea]. Available:
http://www.iso27000.es/certificacion.html.
[32] International Organization for Standardization, "ISO Survey 2014," 2014.
[33] R. H. Weber, «Internet of Things - New security and privacy challenges,» Computer Law &
Security Review, pp. 23-30, 2010.
[34] A. Jha y S. M C, «Security considerations for Internet of Things,» L&T Technology Services
Whitepaper, 2014.
[35] M. Katagi y S. Moriai, «Lightweight Cryptography for the Internet of Things,» Sony
Corporation, 2011.
[36] Oltsik, «The Internet of Things: A CISO and Network Security Perspective,» de Enterprise
Strategy Group Whitepaper , 2014.
[37] P. Martinez-Julia y A. F. Skarmeta, «Empowering the Internet of Things with Software
Defined Networking».
[38] O. Savry y F. Vacherand, «Security and Privacy Protection of Contactless Devices,» de The
Internet of Things: 20th Tyrrhenian Workshop on Digital Communications, D. Giusto, A.
Iera, G. Morabito y L. Atzori, Edits., 2010.
[39] International Organization for Standardization, ISO 9001, 2008.
[40] International Organization for Standardization, ISO 22301, 2012.
[41] International Organization for Standardization, ISO 27033, 2015.
[42] OWASP, «IoT Security Guidance,» 2016. [En línea]. Available:
https://www.owasp.org/index.php/IoT_Security_Guidance.
[43] International Organization for Standardization, ISO/IEC 27001, 2013.
[44] International Organization for Standardization, ISO/IEC 27002, 2013.

52