Documentos de Académico
Documentos de Profesional
Documentos de Cultura
TFM1 27000 en Internet de Las Cosas DOA Completo
TFM1 27000 en Internet de Las Cosas DOA Completo
JULIO 2016
Aplicabilidad de las normas ISO 27000 en el
contexto de la Internet de las Cosas
Julio de 2016
III
Resumen
La Internet de las Cosas es la red de objetos físicos, habitualmente conocidos como
“cosas”, que integran la electrónica, el software y los sensores necesarios para permitir la
comunicación entre ellos. Este paradigma, propuesto por primera vez por Kevin Ashton
en el año 1999, plantea la interconexión de los objetos cotidianos que nos rodean
generando una malla de objetos interrelacionados que obtienen información del entorno,
la procesan y son capaces de transmitirla a otros objetos y, en algunos casos, llevar a cabo
acciones de manera autónoma.
La unión del mundo virtual con el mundo físico supondrá sin lugar a dudas un cambio
radical en la manera en que entendemos la red. Dicha interconexión permitirá adquirir
datos de nuestro entorno de forma automática y sistematizada, apartando al ser humano
de su papel como principal generador de información digital y permitiendo de este modo
la aparición de nuevas tecnologías en materia de automatización e inteligencia artificial
sobre las que se sustentan las ideas de la Industria 4.0 y las Ciudades Inteligentes. La
revolución que supone la Internet de las Cosas ha levantado grandes expectativas en las
empresas, que ven en este modelo una manera de enfocar sus procesos de negocio y
acceder a nuevos mercados.
A pesar del interés acerca de las nuevas oportunidades de negocio que implica la Internet
de las Cosas, es fundamental tener en cuenta que este tipo de redes tienen unos
requerimientos de seguridad particulares para garantizar la confidencialidad, integridad y
disponibilidad de la información. Las medidas que a día de hoy se toman en la red
tradicional no serán efectivas o suficientes en este tipo de entornos.
Palabras clave
V
Abstract
Internet of things is the network of physical objects, also known as “things”, which
incorporate the electronics, software and sensors required in order to permit
communication among them. This paradigm, initially proposed by Kevin Ashton in 1999,
brings up the interconnection of everyday items that surround us, creating a mesh of
interconnected objects that obtain environmental information and process it. Besides, they
are able to transmit such information to other objects, and in some cases, they are also
able to perform actions in an autonomous way.
The virtual and physical world union will mean, without any doubt, a radical change in
the way we understand the network. The previously mentioned interconnection will allow
acquiring our environmental data in an automatic and systematic way, separating the
human being from its role as principal digital information generator and allowing the
appearance of new technologies in terms of automation and artificial intelligence above
which Industry 4.0 and smart cities ideas are supported. The revolution that the Internet
of Things poses has raised expectations from major enterprises, as they foresee in this
model a new way to focus their business procedures and to gain access to new markets.
From the Information Security point of view, the rise of Internet of Things coincides with
the moment when it has a major weight inside the organizations. The companies’
processes integration inside the Information Technology context has led to an
unprecedented exposition to security threats, seriously risking the enterprise capital, its
public image and sometimes even the business continuity.
In this context of technological change, many organizations are choosing to introduce and
to maintain Information Security Management Systems that serve them, in terms of
support, to maintain safely their information assets, such as the copyright, the financial
information and their business knowledge. The most widespread Information Security
Management System at a global level is the one proposed inside the family of ISO 27000
standards, transposed in Spain in family UNE-ISO 27000, which are grounded in the
information assets risk analysis, the safeguard implementation and the threat mitigation
controls.
Despite the interest in the new business opportunities that the Internet of Things provides,
it is essential to bear in mind that these network types have some specific requirements
in order to guarantee the confidentiality, the trustworthiness and the information
availability. The measures taken nowadays on the traditional network will not be effective
or enough in this type of environments.
On this Final Master Thesis, the applicability of the standards included on the ISO 27000
family to the new Internet of Things paradigm will be analysed, focusing on the Security
of Information controls proposed for this type of infrastructures.
Index terms
VI
Agradecimientos
Con este Proyecto Fin de Máster se cierra otro capítulo de mi vida como estudiante.
Durante este último año he tenido la suerte de poder ampliar mis conocimientos de
Seguridad de la Información, campo que me apasiona y donde espero poder desarrollar
mi carrera profesional. Con estas breves líneas quiero agradecer a todas aquellas personas
que han contribuido a que esto sea posible.
En primer lugar, a los principales responsables de que hoy esté redactando esto; mi padre,
Tomás; mi madre, Mª Ángeles y mi hermana, Sara. Os lo debo todo y espero poder
haceros sentir orgullosos. También a mi pareja, Izar, por proporcionarme un apoyo
impagable en los momentos de desánimo y por su capacidad para aguantar todo un año
sin planes de ocio los fines de semana.
A todos mis compañeros de la sexta promoción de este Máster, de los que me llevo nuevas
perspectivas, muchas experiencias y un fantástico recuerdo. Mención especial a Hugo
Cedillo, cuyo conocimiento de los estándares ISO 27000 me ha ayudado en más de una
ocasión en este Proyecto Fin de Máster.
Por último, pero no menos importante, a la Dirección y Administración del Máster por
trabajar duro para que este tipo de formación sea posible y por haberme dado la
oportunidad de participar de manera aún más marcada en el desarrollo del curso a través
de una beca de colaboración.
A todos, gracias.
VII
ÍNDICE DE CONTENIDOS
1. Introducción ........................................................................................................ 1
1.1 Motivación ........................................................................................................................................................................... 1
1.2 Objetivos.............................................................................................................................................................................. 3
1.3 Fases de realización del proyecto ................................................................................................................................... 4
1.4 Estructura del documento ................................................................................................................................................. 5
5. Conclusiones .................................................................................................... 49
5.1 Conclusiones obtenidas .................................................................................................................................................. 49
5.2 Trabajo futuro ................................................................................................................................................................... 50
IX
ÍNDICE DE ILUSTRACIONES
ILUSTRACIÓN 1 - COSTE DEL CIBERCRIMEN EN EMPRESAS A NIVEL GLOBAL [1] ......................................... 1
ILUSTRACIÓN 2 – CICLO DE EXPECTATIVAS SOBRE TECNOLOGÍAS EMERGENTES [2] .................................. 2
ILUSTRACIÓN 3 - DIAGRAMA DE GANTT DEL PROYECTO ............................................................................. 4
ILUSTRACIÓN 4 - EVOLUCIÓN DEL NÚMERO DE PERSONAS Y DE DISPOSITIVOS CONECTADOS [4] ............ 7
ILUSTRACIÓN 5 - LAS TRES VISIONES DE IOT Y SU INTERSECCIÓN [7] .......................................................... 9
ILUSTRACIÓN 6 - MODELO DE CAPAS DE LA ARQUITECTURA DE SEGURIDAD IOT [10] ............................. 12
ILUSTRACIÓN 7 - DIMENSIONES DE LA SEGURIDAD DE LA INFORMACIÓN [13] ........................................ 16
ILUSTRACIÓN 8 - RELACIÓN ENTRE LAS FAMILIAS DE ESTÁNDARES DE ISO27000 [20] ............................. 18
ILUSTRACIÓN 9 - ESQUEMA DE METODOLOGÍA DE AR BASADA EN ISO 27005 [30] ................................. 23
ILUSTRACIÓN 10 - EVOLUCIÓN ANUAL DE LA CERTIFICACIÓN DE ISO27001 [32] ...................................... 26
ILUSTRACIÓN 11 - ESTRATEGIA DE DEFENSA EN PROFUNDIDAD PARA LA INTERNET DE LAS COSAS [34] 28
ILUSTRACIÓN 12 - MODELO DE ARQUITECTURA SDN SOBRE IOT [37]....................................................... 41
ÍNDICE DE TABLAS
TABLA 1 - CORRESPONDENCIA ENTRE LOS CONTROLES DE LA NORMA ISO 27001 Y EL MODELO DE
DEFENSA EN PROFUNDIDAD.............................................................................................................. 30
TABLA 2 - RESUMEN DEL ANÁLISIS DE APLICABILIDAD .............................................................................. 44
XI
GLOSARIO
AENOR Asociación Española de Normalización y Certificación, entidad
española dedicada a la normalización y la certificación en los sectores
industriales y de servicios.
BYOD Bring Your Own Device (Trae Tu Propio Dispositivo), política que
fomenta que los empleados utilicen sus dispositivos personales para
tener acceso a recursos de la empresa.
CMDB Configuration Management Database (Base de Datos de
Configuración), Base de Datos donde se almacenan datos de gestión de
los dispositivos de la organización para facilitar su administración.
CPM Contactless Privacy Manager (Gestor de Privacidad sin Contacto),
herramienta que permite controlar accesos no autorizados a
dispositivos RFID.
IoT Internet of Things (Internet de las Cosas), paradigma de comunicación
en el que los objetos cotidianos se conectan a la red de Internet
IoT-GSI Internet of Things Global Standards Initiative (Iniciativa global para la
estandarización de la Internet de las Cosas), grupo de trabajo centrado
en promover estándares para la IoT
IRM Information Rights Management (Gestión de Derechos de
Información), tecnologías que protegen información sensible de
accesos no autorizados en el ámbito empresarial.
ISM3 Information Security Management Maturity Model 3 (Modelo de
Madurez de la Gestión de la Seguridad de la Información 3), estándar
para la creación de sistemas de gestión de la seguridad de la
información
ISO International Organization for Standardization (Organización
Internacional de Normalización), organismo encargado de buscar la
estandarización de normas de productos y seguridad para empresas y
organizaciones a nivel internacional
ITU International Telecommunication Union (Unión Internacional de
Telecomunicaciones), organismo de las naciones unidas especializado
en las Tecnologías de la Información y Comunicación.
LOPD Ley Orgánica de Protección de Datos, ley orgánica española que
regula lo concerniente al tratamiento de los datos personales de
personas físicas.
LSSI Ley de Servicios de la Sociedad de la Información, Ley 34/2002, de 11
de julio, de servicios de la sociedad de la información y de comercio
electrónico.
MAGERIT Metodología de Análisis y Gestión de Riesgos de los Sistemas de
Información, metodología de análisis y gestión de riesgos elaborada
por el Consejo Superior de Administración Electrónica.
NIST National Institute of Standards and Technology (Instituto Nacional de
Estándares y Tecnología), agencia de Estados Unidos que desarrolla y
promueve estándares tecnológicos.
OWASP Open Web Application Security Project (Proyecto Abierto de
Seguridad de Aplicaciones Web), proyecto sin ánimo de lucro que
busca el desarrollo, compra y mantenimiento de aplicaciones seguras.
XIII
PDCA Plan-Do-Check-Act (Planear, Hacer, Comprobar, Actuar), estrategia
de mejora continua de la calidad en cuatro pasos
RFID Radio Frequency Identification (Identificación por Radio Frecuencia),
tecnología de etiquetado de objetos que permite transmitir la identidad
de los mismos mediante radiofrecuencia
SDN Software Defined Networking (Redes Definidas por Software),
conjunto de técnicas cuyo objetivo es facilitar la implementación de
redes de manera determinista, dinámica y escalable.
SG20 Study Group 20 (Grupo de Estudio 20), comisión de estudio de la
organización ITU-T, centrada en el estudio de los requisitos de
estandarización de IoT
SGSI Sistema de Gestión para la Seguridad de la Información, conjunto de
procesos y políticas que aseguran la protección de los activos de
información de una organización.
SOX Sarbanes-Oxley Act of 2002 (Ley Sarbanes-Oxley), ley estadounidense
para la monitorización de empresas que cotizan en bolsa.
TIC Tecnologías de la Información y la Comunicación, conjunto de
tecnologías desarrolladas para la gestión y transmisión de la
información.
TSAG Telecommunication Standardization Advisory Group (Grupo Asesor
de Estándares de Telecomunicación), organismo encargado de asesorar
a los miembros y grupos de estudio de ITU-T.
UNE Una Norma Española, identificador que define a aquellas normas
tecnológicas creadas por comités técnicos de normalización.
VPN Virtual Private Network (Red Privada Virtual), tecnología que permite
la extensión segura de la red de área local sobre una red pública.
XIV
1. Introducción
1.1 Motivación
La popularización del concepto de la Internet de las Cosas (IoT, Internet of Things) viene
motivada en gran parte por el espectacular incremento en el número de dispositivos
conectados a Internet en la última década, el aumento del ancho de banda disponible en
las comunicaciones y los avances tecnológicos logrados en los materiales empleados en
electrónica, que han permitido reducir el tamaño de los dispositivos y hacerlos más
eficientes desde el punto de vista energético. El estudio anual de Gartner sobre el ciclo de
expectativas de la tecnología sitúa a la IoT en el punto álgido en el año 2015, como puede
observarse en la Ilustración 2. [2]
Bajo este paradigma se hace posible desarrollar nuevas tecnologías en materias tan
amplias como la telemedicina, la formación online, los vehículos inteligentes o la
monitorización ambiental, lo que ha generado mucho interés en las empresas, que ven en
la Internet de las Cosas la oportunidad de desarrollar nuevos modelos de negocio. El
cambio del modelo tradicional de Internet a uno basado en la Internet de las Cosas
conlleva, sin embargo, uno de los mayores retos de la historia en materia de Seguridad de
la Información. El aumento del número de dispositivos dentro de la red, la imposibilidad
de proteger todos los nodos mediante mecanismos software, la necesidad de garantizar la
privacidad en los datos y la posibilidad de que se produzcan ataques con efecto sobre el
mundo real son sólo algunos de los problemas con los que nos encontraremos en un futuro
cercano, por lo que será de capital importancia trabajar para solventarlos antes de realizar
el salto definitivo de un modelo al otro.
La motivación de este Proyecto Fin de Máster es, por tanto, estudiar la aplicabilidad del
modelo de Sistema de Gestión de Seguridad de la Información (SGSI) recogido en la
familia de normas UNE-ISO/IEC 27000 al nuevo contexto de la conectividad total
derivado de la aplicación de la Internet de las Cosas, identificar las carencias que puedan
presentar ante los cambios que éste implica y proponer soluciones que consigan garantizar
la implementación correcta de un SGSI sobre la IoT.
2
1.2 Objetivos
Los resultados finales del proyecto que se pretenden conseguir a partir de estos objetivos
son los siguientes:
La perspectiva del estado del arte actual en materia de Internet de las Cosas,
recogiendo su idea principal, el potencial tecnológico que conlleva y los cambios
que su implementación global implica respecto al modelo clásico de Internet,
especialmente en materia de seguridad.
3
1.3 Fases de realización del proyecto
Para el desarrollo y correcta consecución de este Proyecto, se han seguido una serie de
fases que se detallan a continuación:
Planificación 15
Documentación 45
Redacción de la memoria 90
4
1.4 Estructura del documento
1. En el capítulo 2 se presentará una revisión del estado del arte en lo que se refiere
a la Internet de las Cosas, haciendo una breve introducción histórica del mismo y
proporcionando al lector una visión técnica de alto nivel sobre este paradigma. En
este capítulo se mencionarán también los retos y desafíos a los que se enfrenta la
Internet de las Cosas, enfocando de manera especial a la problemática de
seguridad que deriva de su aplicación. Por último, se extraerán las conclusiones
que permitan enlazar el apartado con el objetivo final del Proyecto Fin de Máster.
5
2. Internet de las Cosas
2.1 Introducción histórica de la IoT
La primera mención sobre la Internet de las Cosas la realizó el investigador del MIT
Kevin Ashton en el año 1999. En una presentación para la compañía Procter & Gamble,
Kevin postuló la predicción de que en el futuro Internet dejaría de depender de la creación
y el procesamiento de datos por parte de los seres humanos, quedando estos relegados a
un segundo plano por debajo de los objetos conectados a la red. Uno de los factores clave
para que se produzca esta transición del tradicional modelo cliente-servidor a uno
centrado en las Cosas es el gran incremento en el número de nodos de la red. Este
aumento, que hoy parece un hecho asumido por todos, no resultaba tan evidente en el
contexto temporal en el que se lanzó la idea, debido a las limitaciones de computación,
ancho de banda, tamaño y coste de los dispositivos electrónicos de la época. [3]
A pesar de que a principios del milenio Internet ya se imponía a buen ritmo a escala
global, ni siquiera las perspectivas más optimistas pudieron predecir el espectacular
crecimiento en el número de nodos conectados a la red. En el año 2003 había quinientos
millones de dispositivos conectados y seis mil trescientos millones de personas, lo que
suponía un ratio de 0,08 dispositivos por persona. Doce años más tarde, en 2015, ya hay
conectados doce mil quinientos millones de dispositivos y seis mil ochocientos millones
de personas en el mundo, lo que nos da un ratio de 3,47 dispositivos por persona y
confirma la predicción de Kevin realizada una década antes. Un resumen de esta
tendencia puede verse en la ilustración 4. [4]
7
En el año 2011 se crea el grupo “Internet of Things Global Standards Initiative” (IoT-
GSI) de la Unión Internacional de Telecomunicaciones (ITU), con el objetivo de
promover una aproximación unificada para el desarrollo de estándares que permitiera
establecer la Internet de las Cosas de manera general. En este ámbito se crea la
recomendación ITU-T Y.2060 [5], la cual proporciona una visión general de la Internet
de los Cosas en la que se define su concepto y alcance, se identifican las características
fundamentales y los requisitos de alto nivel y se describe el modelo de referencia IoT. La
recomendación también incluye un anexo del ecosistema y los modelos orgánicos típicos
[6]. En el año 2015, y siguiendo la recomendación del “Telecommunication
Standardization Advisory Group” (TSAG), el grupo IoT-GSI de la ITU cesó sus
actividades y pasó a integrarse en el “Study Group 20” (SG20).
Actualmente, y gracias a los esfuerzos realizados en los últimos años por estas entidades,
la Internet de las Cosas como evolución de Internet es comúnmente conocida y aceptada.
Sin embargo, para convertirse en una realidad todavía está pendiente la resolución de
varios problemas tecnológicos que dificultan su puesta en marcha. Deben tenerse en
cuenta, además, las posibles consecuencias sociales de su aplicación generalizada.
La amplitud de la idea de IoT suscita cierta controversia y hace complicado dar una
perspectiva clara del estado del arte actual. A pesar de que hay múltiples puntos de vista
en discusión al respecto, la idea más aceptada en la literatura es una visión global de
Internet de las Cosas como resultado de la intersección de tres perspectivas diferentes:
“orientada a los objetos”, “orientada a internet” y “orientada a semántica”. [7]
8
transmitir datos. En algunas ocasiones, además, estos objetos llevarán a cabo actuaciones
en el mundo físico a partir de la información que se está procesando.
La visión orientada a Internet se centra en los conceptos de la red IoT, que se caracteriza
como un conjunto muy grande de nodos en un sistema distribuido. Los nodos, que se
corresponden con las Cosas de la visión orientada a objetos, traducen la información que
procesan a una serie de flujos digitales para enviarlos a través de la red. Al tener un
elevado número de elementos interconectados, la red deberá ser capaz de manejar un alto
volumen de peticiones y respuestas de datos entre los diferentes puntos. Será importante,
por tanto, proveer a la red de medios que garanticen su escalabilidad y estabilidad.
Por último, la visión semántica es la que se encarga de proveer los mecanismos para
buscar, almacenar, conectar y representar toda la información procesada dentro de la red.
Dada la variedad en la naturaleza de los objetos a los que se requiere dotar de conectividad
para ser incluidos en el paradigma IoT, podemos prever que será necesario mantener un
grupo de nodos de características muy dispares enviando, recibiendo y almacenando
información. Para hacer frente a esta heterogeneidad, en esta visión se tratan también los
temas de estandarización y definición de lenguajes que permitan la comunicación entre
dispositivos IoT.
9
2.2.2 Problemática
10
comparación con la Internet tradicional. En aras de automatizar los procesos y
minimizar la intervención de los seres humanos, será necesario proveer a la red
de un sistema de inteligencia a través del cual se resuelva la casuística básica de
localización, descubrimiento de nuevos nodos, gestión de las distintas funciones
y necesidades de cada uno y transmisión de la información de manera ordenada.
Cabe remarcar que todas estas funciones deberán responder de manera adaptativa
y gradual a los cambios en el entorno físico en el que estén situados, por lo que de
nuevo se hace necesario el estudio de la aplicación de sistemas de Inteligencia
Artificial sobre la IoT.
Gestión de la información: El altísimo volumen de datos que se va a recolectar
implica la necesidad de tener sistemas que conviertan los datos en crudo en
información útil para el sistema y en última instancia para los seres humanos,
teniendo en cuenta también las limitaciones en la capacidad de algunos elementos
de la red. Para ello será fundamental la aplicación de formatos generalizados y
metadatos, que permitirán la automatización de la toma de decisiones a través de
mecanismos de aprendizaje automático sobre la información existente.
Seguridad: Uno de los problemas más importantes que aparece junto a la IoT viene
de la mano de la Seguridad de la Información en sus tres vertientes:
confidencialidad, integridad y disponibilidad. Dada la naturaleza y el enfoque de
este Proyecto Fin de Máster, el estudio de la problemática de la seguridad en la
Internet de las Cosas se desarrollará en profundidad en la siguiente sección.
La Seguridad de la Información supone uno de los mayores retos que plantea la aplicación
de la Internet de las Cosas. Dada la ubicuidad e interconexión total que plantea la
arquitectura IoT, los problemas de privacidad y seguridad en los datos pueden suponer
un fuerte impacto sobre todas las partes interesadas en esta tecnología. [10]
La escasa capacidad de procesamiento de los distintos nodos que conforman la red IoT
también va en detrimento de la seguridad del conjunto, ya que implica la necesidad de
utilizar algoritmos y herramientas de autenticación más ligeros que los habituales en la
red tradicional. En este punto entra en juego también una relación de compromiso entre
la seguridad y el coste de los nodos, ya que a pesar de que una opción sencilla para
solventar este problema pasaría por mejorar el rendimiento de los elementos de la red, el
coste de su despliegue y mantenimiento aumentará significativamente.
Otro de los factores que agravan los problemas de seguridad de la Internet de las Cosas
es la heterogeneidad de las redes, la cual aumenta los vectores de ataque disponibles para
los atacantes y dificulta la aplicación de un marco único de seguridad. Los esfuerzos en
11
materia de estandarización en las arquitecturas y protocolos tienen como uno de sus
principales objetivos mitigar este problema. Adicionalmente, existe una relación directa
entre la complejidad de la red y la aparición de vulnerabilidades que puedan ser
explotadas.
Es conveniente resaltar que la Internet de las Cosas también se ve afectada por ataques
típicos de la capa de red de Internet clásica, como ataques de denegación de servicio
mediante el envío de un alto número de peticiones dirigidas contra uno o varios nodos del
sistema.
Para abordar de manera óptima los distintos retos mencionados, se puede aplicar una
aproximación a la arquitectura de IoT mediante un modelo de tres capas que permita aislar
los problemas de seguridad en su contexto. Este modelo consta de capa de aplicación, una
de red y capa de percepción, dispuestas como se muestra en la Ilustración 6.
12
Adicionalmente, esta capa comprende también ataques de repetición de paquetes y
explotación de vulnerabilidades de rutado.
Los problemas de seguridad que se atribuyen a esta capa tienen que ver con ataques ya
conocidos en la Internet tradicional, como ataques de denegación de servicio, ataques
man-in-the-middle pasivos y activos y ataques por exploit. La ya comentada
heterogeneidad añade complejidad a la red, haciendo más difícil controlar este tipo de
ataques y aumentando el número de vulnerabilidades disponibles. En relación a la
privacidad, la ingeniería social cobra fuerza sobre esta capa por el cada vez mayor
volumen de información de carácter personal que circula por la red y que puede ser
recogida por un atacante aprovechándose del propio usuario.
Por último, la capa de aplicación plantea retos de seguridad variables en función del
entorno de utilización, ya que la sensibilidad de las distintas aplicaciones es muy variable.
Los principales problemas de esta capa tienen que ver con la autenticación y el acceso,
que permita acceder a la información a los usuarios correctos de un conjunto muy grande.
Aparecen también problemas de privacidad y protección de datos similares a los de la
capa de red, además de vulnerabilidades en el software de capa de aplicación que puedan
ser explotadas por los atacantes, por ejemplo, ataques por desbordamiento de buffer.
2.4 Conclusiones
La Internet de las Cosas implica un importante avance en las TIC y sienta las bases para
una revolución en la manera en que entendemos la comunicación, tanto a nivel personal
como profesional. El desarrollo y las expectativas de las partes interesadas sobre este
paradigma parecen encontrarse en un punto álgido, pero es importante tener presente los
diversos obstáculos que deben solventarse para garantizar que su implementación se
realiza correctamente.
Dentro de los problemas mencionados, la seguridad reviste una especial importancia. Por
las propias condiciones de amplitud y generalidad de la Internet de las Cosas, garantizar
la seguridad se hace esencial y supone el mayor reto de la historia en materia de Seguridad
de la Información.
13
3. Estándares de Seguridad
3.1 Introducción
3.2 Estándares
Las organizaciones que utilizan estándares en sus procesos de negocio reducen riesgos
operacionales y de seguridad, obtienen mejores oportunidades en escenarios
internacionales y son capaces de reducir costes de producción. Los clientes, por su parte,
albergan una mayor confianza en los productos y servicios obtenidos, por lo que la
aplicación de estándares por las compañías es una práctica cada vez más adoptada.
Con el fin de poder garantizar estas máximas de protección, cuya intersección puede
observarse en la Ilustración 7, los organismos, empresas y las distintas partes interesadas
en los mercados involucrados en el proceso de transformación digital, han desarrollado
criterios para garantizar que el proceso de especificación, implementación y evaluación
de un producto en cuanto a Seguridad de la Información que lleva asociado se produce de
acuerdo a sus necesidades. Estos criterios vienen definidos de manera rigurosa dentro de
estándares de seguridad. [12]
Las entidades certificadoras pueden evaluar los productos y servicios ofertados por los
proveedores desde un punto de vista imparcial, normalizado y extensible a distintos tipos
de organización. El papel de los estándares de Seguridad de la Información es, por tanto,
proporcionar un marco de referencia que permita la normalización y la evaluación en
materia de seguridad, aportando confianza y objetividad a todas las partes implicadas.
16
distintos sectores. ISO es la mayor entidad de normalización en el mundo, y desde
su fundación en el año 1946 ha publicado más de 21000 estándares internacionales
en todos los ámbitos, siendo quizá los más relevantes los relacionados con
tecnología, industria alimentaria y agricultura [14]. ISO dispone de una serie de
estándares disponibles en materia de Seguridad de la Información, la serie ISO
27000, basada en la norma británica previa BS 7799.
En el estudio de este Proyecto Fin de Máster nos centraremos en los estándares de la serie
ISO/IEC 27000 por ser uno de los más desplegados a nivel global y por tener una mayor
17
relevancia en las empresas del ámbito europeo. En los casos en los estén disponibles, se
utilizarán las normas traducidas al español por AENOR en su serie UNE-ISO/IEC 27000.
ISO 27000 es una familia de estándares pensados para ayudar a las organizaciones a
mantener seguros sus activos de información, tales como la propiedad intelectual, la
información financiera y la información perteneciente al negocio. La idea de estos
estándares es la implantación de un Sistema de Gestión de Seguridad de la Información
(SGSI) basado en el análisis de riesgos de los activos de información con la consiguiente
aplicación de salvaguardas, lo que aumenta la confianza de terceras partes sobre los
procesos relativos a la seguridad de la información en la organización. [19]
La familia ISO 27000 se compone de una serie de estándares con diferentes propósitos
dentro de un mismo contexto. Estos estándares se pueden clasificar en los cuatro grupos
siguientes; aquellos que describen el SGSI y su terminología, los que determinan los
requisitos sus requisitos, los que proporcionan metodologías genéricas para su
implementación y los que proporcionan metodologías específicas para un sector. El
listado completo de estándares de ISO 27000 y su categorización en familias se puede ver
en la Ilustración 8.
18
En el contexto de estudio de este Proyecto Fin de Máster, se destacan los siguientes
documentos:
ISO/IEC 27003: Guía para una implementación exitosa del SGSI de acuerdo a la
norma ISO/IEC 27001. Describe el proceso de creación, diseño y ejecución del
SGSI desde la concepción del mismo, proporcionando herramientas que aseguren
su correcto despliegue. Su última versión corresponde al año 2010. [24]
19
3.4 ISO 27001
3.4.1 Introducción
20
entorno social, político, reglamentario, financiero tecnológico y natural en la que
se encuentre ubicada la entidad. Del mismo modo que el contexto interno, el
análisis del contexto externo influirá de manera notable en el Análisis de Riesgos.
El alcance del SGSI deberá ser establecido por la organización a partir de los puntos
anteriores, quedando éste disponible para su consulta dentro de la información
documentada.
3.4.2.2 Liderazgo
La dirección debe estar comprometida con el SGSI y liderar los esfuerzos que se realicen
en este aspecto. Para cumplir con este objetivo, la alta gerencia debe garantizar que la
política de Seguridad de la Información está alineada con la estrategia de la organización
y asegurar la integración de los requisitos del SGSI dentro de sus procesos. Además, el
órgano directivo debe encargarse de proporcionar los recursos necesarios, avalar la
mejora continua del sistema y cerciorarse de que se están alcanzando los resultados
previstos.
Además de las cuestiones de compromiso por la dirección, el estándar ISO 27001 define
dentro del apartado de liderazgo los requisitos que debe cumplir la ya mencionada política
de Seguridad de la Información, que debe ser adecuada a los propósitos de la organización
e incluir objetivos de Seguridad de la Información o el marco para establecerlos. Esta
política debe estar documentada dentro de la información del SGSI y ser comunicada y
de libre acceso para todos los empleados y las partes externas interesadas.
Por último, el punto de liderazgo hace mención específica acerca del requerimiento de
que de los roles, responsabilidades y autoridades correspondientes a los roles de la
Seguridad de la Información se asignen y comuniquen debidamente dentro de la
organización.
3.4.2.3 Planificación
21
Establecer y mantener criterios sobre los riesgos de la Seguridad de la
Información, especialmente el nivel de riesgo aceptado por la dirección, de modo
que aquellos riesgos calculados que excedan el umbral aceptable deberán ser
mitigados a través de la aplicación de controles y salvaguardas.
Asegurar que las sucesivas apreciaciones de riesgos producen resultados
consistentes, válidos y comparables.
Identificar los riesgos de la Seguridad de la Información sobre las tres
componentes de la Seguridad de la Información e identificar al dueño de los
riesgos.
Analizar los riesgos de la Seguridad de la Información, valorando la probabilidad
de ocurrencia de los eventos identificados, valorando sus posibles consecuencias
y en base a ambas determinando el nivel de riesgo asociado.
Evaluar los riesgos de la Seguridad de la Información, comparando los resultados
del Análisis de Riesgos con el nivel de riesgo aceptado por la dirección.
Una vez realizada la evaluación de los riesgos, la cláusula 6.1.3 define los requisitos a
seguir en el tratamiento de los riesgos de Seguridad de la Información, que se resumen en
la selección de las opciones más adecuadas para mitigar los niveles de a través de la
determinación de los controles necesarios para la mitigación de los riesgos. Los controles
elegidos deben compararse con el listado de controles que provee el Anexo A para que la
organización pueda aseverar que no se han omitido controles necesarios, justificando la
inclusión y la no inclusión de los controles elegidos en un documento de Declaración de
Aplicabilidad. Por último, en base a estos controles se debe formular un plan de
tratamiento de riesgos que tendrá que ser aprobado formalmente por los dueños de los
riesgos.
Es importante tener en cuenta que a pesar de que la norma UNE-ISO/IEC 27001 se basa
en el Análisis de Riesgos para implementar un SGSI, ésta no fija un método concreto para
la evaluación de riesgos, sino que lo deja a elección de las organizaciones para que
dispongan de la flexibilidad de escoger el que mejor se adapte a sus necesidades y
recursos. Para el desarrollo de la metodología de Análisis de Riesgos, las organizaciones
disponen de herramientas como ISO/IEC 27005, ISO 31000 [28] o Magerit [29], que
proporcionan orientación sobre las actividades para la gestión, incluyendo el
asesoramiento para la evaluación, tratamiento, aceptación, comunicación, control y
revisión de riesgos [30]. La metodología más empleada en Sistemas de Gestión de
Seguridad de la Información basados en ISO/IEC 27001 es la descrita en el estándar
ISO/IEC 27005, cuyo flujo puede observarse en la Ilustración 9.
22
Ilustración 9 - Esquema de metodología de AR basada en ISO 27005 [30]
3.4.2.4 Soporte
Otro de los requisitos exigidos por el SGSI que define UNE-ISO/IEC 27001 es el soporte,
que detalla las bases en las que el sistema se fundamenta. Dentro de esta cláusula es
especialmente importante el control de la documentación, que implica la adecuada
creación, desarrollo y actualización de los documentos que componen la estructura del
sistema. Esta cláusula de la norma se divide en varios apartados, siendo:
Recursos: La organización deberá asegurar que se dispone de los recursos
necesarios para asegurar el correcto establecimiento, implementación,
mantenimiento y mejora continua del SGSI. Estos recursos no son solamente
materiales, sino que engloba también al capital humano implicado, los
procedimientos documentados y las metodologías a utilizar.
Competencia: La organización deberá garantizar que las personas implicadas en
el SGSI disponen de los conocimientos necesarios para llevar a cabo de manera
correcta las actividades que caen bajo su responsabilidad. Para ello, deberá
estudiar las competencias necesarias y asegurar que las personas dentro del SGSI
las poseen.
Concienciación: Las personas bajo el control de la organización deben ser
conscientes de la política de Seguridad de la Información, su contribución a la
23
eficacia del SGSI y las consecuencias del incumplimiento de los requisitos
estipulados.
Comunicación: La organización debe determinar la necesidad de las
comunicaciones externas e internas pertinentes al SGSI, teniendo en cuanta el
contenido de la comunicación, el momento de la comunicación y los
interlocutores en la comunicación.
Información documentada: El SGSI debe incluir el conjunto de información
documentada que se marca como requerido en la norma UNE-ISO/IEC 27001 y
la información documentada que la organización ha catalogado como necesaria
para el sistema en cuestión. En el momento de crear la documentación, la
organización debe asegurar que ésta contenga una correcta identificación y
descripción, un formato adecuado y que se aprueba su idoneidad. Por último, los
documentos requeridos por el SGSI deben estar bajo control para asegurar que
están disponibles cuando sean necesarios y que estén protegidos adecuadamente
ante pérdidas de integridad y confidencialidad.
3.4.2.5 Operación
24
Auditoría interna: La organización deberá planificar auditorías internas que
permitan obtener evidencias sobre el cumplimiento de los requisitos del SGSI y
su correcta implementación.
Revisión por la dirección: La organización deberá asumir la responsabilidad de
revisar el sistema a intervalos regulares, de manera que se asegure que las acciones
de mejora planteadas se están llevando a cabo correctamente, que se tienen en
cuenta los cambios en los contextos pertinentes y que se toman en consideración
los resultados de las auditorías, el seguimiento interno y la retroalimentación de
las partes interesadas.
3.4.2.7 Mejora
3.4.3 Certificación
Esta norma es certificable tras superar una auditoría llevada a cabo por una entidad
externa, acreditada e independiente, de manera que las organizaciones que consigan dicha
certificación puedan demostrar el cumplimiento de los requisitos del estándar y aportar
un valor añadido a sus procesos y servicios.
25
Para mantener la certificación, la organización tendrá que pasar por una auditoría de
recertificación cada tres años además de una auditoría de seguimiento semestral o anual,
con carácter menos exhaustivo que la de certificación. [31]
3.5 Conclusiones
26
4. Aplicabilidad de la norma ISO 27000 a la
Internet de las Cosas
4.1 Introducción
Una vez introducidas las cuestiones técnicas y situado el marco normativo actual de los
estándares ISO 27000, en el capítulo actual se va a realizar un análisis exhaustivo sobre
la aplicabilidad de estas normas en su estado actual a los nuevos modelos especializados
que surgen de la aparición de la Internet de las Cosas y otras tecnologías relacionadas.
De acuerdo a las ideas ya mencionadas, parece claro que la Internet de las Cosas requerirá
un gran esfuerzo en seguridad para asegurar la confidencialidad, la disponibilidad y la
integridad de la información. Si se analizan los procesos de negocio bajo el prisma de IoT
surge la necesidad de garantizar, además de estas tres condiciones básicas, los siguientes
puntos: [33]
Resiliencia a ataques: La seguridad de IoT debe evitar los puntos únicos de fallo
y tratar que los efectos de los ciberataques se limiten al nodo afectado, evitando
que sus efectos se propaguen por la red.
Autenticación de datos: La información recogida, procesada y enviada debe poder
ser autenticada y garantizar, cuando sea necesario, el no repudio del emisor.
Control de accesos: Los proveedores de información y los administradores de los
activos deben ser capaces de implementar mecanismos de control de acceso sobre
ellos, evitando que terceras personas no autorizadas tengan posibilidad de acceder
a la información.
27
En base a estas ideas, la estrategia con mayor aceptación para bastionar un entorno de
estas características consiste en buscar la protección del conjunto de dispositivos en lugar
de la protección individual de las distintas partes de la red, de modo que cuando una
amenaza de seguridad como las mencionadas en el capítulo 2 se materialice, se pueda
subsanar el problema en otro nodo o capa. Este enfoque, conocido como defensa en
profundidad, requiere que cada nodo conectado a la red cumpla por sí mismo las
condiciones básicas de confidencialidad, integridad y disponibilidad que componen la
Seguridad de la Información, además de técnicas de seguridad específicas aplicadas al
conjunto. [34]
28
políticas y los procesos de seguridad, que permiten gobernar las Tecnologías de la
Información de manera eficaz y alineada con el negocio.
Se ha considerado que el desarrollo de código seguro, a pesar de formar parte del modelo
de defensa en seguridad, escapa al alcance del análisis de aplicabilidad de la norma
ISO/IEC 27000 a la Internet de las Cosas.
Tabla 1 - Correspondencia entre los controles de la norma ISO 27001 y el modelo de defensa en profundidad
Al respecto de las políticas, la norma UNE-ISO/IEC 27001:2014 define como una de sus
cláusulas de obligado cumplimiento el liderazgo de la organización, siendo uno de los
requisitos impuestos en dicha cláusula la definición de políticas y directrices de gestión
30
de seguridad de la información que proporcionen apoyo a la gestión de la seguridad. El
control A.5.1.1 del Anexo A de esta misma norma establece que la política debería
redactarse bajo la premisa del alineamiento con los objetivos de la organización,
situándose al nivel más alto asumible para la dirección.
Los controles A.6.1.3 y A.6.1.4 establecen que deberían mantenerse los contactos
apropiados con las autoridades pertinentes y con los grupos de interés especial para el
SGSI, respectivamente. La tenencia y mantenimiento de procedimientos que determinen
cómo, cuándo y con qué autoridades se debe contactar, además de la participación activa
en asociaciones o grupos especiales de seguridad, resultan de igual manera aplicables a
una organización que opere bajo el paradigma de la Internet de las Cosas.
Ya que una de las características de IoT es la alta movilidad de los nodos que componen
la red, la política y las medidas de seguridad en este contexto deben ser reconsideradas
para que se adapten a la nueva infraestructura. Será necesario, por tanto, definir en esta
política el uso de medidas avanzadas de control de acceso, separación de redes, cifrado
criptográfico ligero y configuración segura de los dispositivos y otras técnicas que sean
relevantes.
32
El control A.6.2.2 sobre el teletrabajo resultará de aplicación directa en IoT, siempre y
cuando se tengan en cuenta los nuevos requerimientos de seguridad de los dispositivos
móviles referidos en el análisis anterior sobre el control A.6.2.1.
Los Recursos Humanos constituyen uno de los componentes más importantes y a menudo
menos tenido en cuenta dentro de las necesidades de la Seguridad de la Información. Los
empleados tendrán acceso, en mayor o menor medida dependiendo de su perfil, a los
activos de información de la organización, por lo que resulta de vital importancia asegurar
que se selecciona al personal con las competencias adecuadas y que todo el conjunto de
empleados conoce las medidas de protección definidas por la compañía.
Ya que uno de los puntos clave dentro del modelo de defensa en profundidad es la
educación en seguridad de los usuarios, el análisis de aplicabilidad a la Internet de las
Cosas de este estándar se centra en los controles propuestos para su aplicación durante el
empleo, que incluyen lo relativo al plan de concienciación de la organización.
El control 7.2.1 determina que la dirección debería exigir a sus empleados la aplicación
de medidas de Seguridad de la Información de acuerdo a las políticas y procedimientos
establecidos en la organización. Para ello se proponen ciertas responsabilidades a tener
en cuenta por parte de la gerencia, entre las que se incluyen:
Asegurar que los empleados conocen sus roles y responsabilidades antes de
concederles acceso a información sensible.
Motivar a los empleados para cumplir las políticas de seguridad definidas.
Asegurar que el personal dispone de un nivel de concienciación sobre Seguridad
de la Información adecuado a sus funciones y responsabilidades.
Observar que los empleados mantengan en el tiempo el perfil profesional y las
cualificaciones que sean necesarias para las funciones que desempeñan.
El control A.7.2.2, por su parte, establece que todos los empleados de la organización
deben recibir de manera periódica educación, concienciación y capacitación sobre las
políticas y procedimientos de la organización según aplique para su puesto. Para cumplir
este control, la guía de implantación disponible en UNE-ISO/IEC 27002:2015
recomienda generar un plan de concienciación y un plan de formación, de forma
relacionada con lo propuesto en el control A.7.2.1.
33
El plan de concienciación tal y como se define en la guía de implantación debería
enfocarse al perfil de los empleados y contar con una planificación en la que se incluyan
actividades y material que les permita tomar conciencia de sus responsabilidades en
materia de Seguridad de la Información. Dentro de este plan, la guía propone que se
imparta formación y capacitación en aspectos generales de Seguridad de la Información,
el compromiso de la alta dirección con ella y la responsabilidad personal del empleado a
la hora de conocer y cumplir con las normas y obligaciones aplicables al respecto.
Los controles A.7.2.1 y A.7.2.2 siguen siendo aplicables en el contexto IoT por la amplia
necesidad de competencias y concienciación en los empleados, teniendo en cuenta la
importancia de que se planifiquen y lleven a cabo nuevos planes formativos que orienten
al personal en las amenazas y riesgos a las que se expone la información en un ámbito
IoT. Por otra parte, hemos considerado que el proceso disciplinario sobre los empleados
que incumplan sus responsabilidades de Seguridad de la Información definido en el
control A.7.2.3 no implica diferencias con el cambio de paradigma y, por tanto, se ha
considerado inmediata su aplicabilidad.
El primer control especificado a tal efecto es el A.8.1.1 sobre inventario de activos, donde
se determina que tanto la información como los activos asociados a ella deberían estar
identificados y apropiadamente inventariados. Dicho control está íntimamente ligado al
A.8.1.2 sobre propiedad de los activos, que establece que los activos inventariados
deberían tener asignado un propietario.
Ambos controles son necesarios en la Internet de las Cosas, con la salvedad de que en
este tipo de escenarios la gestión del inventario se complica por el elevado número de
dispositivos conectados. Para tener en cuenta estos problemas, los controles deberían
tener en cuenta:
Dificultad para actualizar y gestionar el listado de activos, por su complejidad,
extensión y dinamismo. En este tipo de redes, contar con una herramienta CMDB
resulta prácticamente imprescindible, de cara a la realización dinámica de
cambios en el inventario.
Complejidad en la asignación de propietarios de los activos por la heterogeneidad
característica de IoT. En la mayoría de los casos será necesario agrupar los activos
34
y asignar el propietario al conjunto en lugar de al activo individual, reduciendo
así la granularidad de la que se disponía en la Internet tradicional.
Los controles A.8.1.3 y A.8.1.4 tratan respectivamente sobre el uso aceptable de los
activos y la devolución de los mismos, por lo que se ha considerado que el despliegue del
paradigma IoT no impacta en su objetivo de control.
El control A.9.4.2 establece que el acceso a los sistemas y aplicaciones deberá ser
controlado por un procedimiento seguro de inicio de sesión cuando así lo requiera la
política de control de acceso. La guía de implementación propone un procedimiento para
minimizar la revelación de información sobre el sistema, pero está muy enfocada a los
accesos de operadores humanos. Para su correcta aplicación sobre escenarios IoT, el
control debería separar los accesos a aplicaciones y sistemas por parte de humanos de los
que se producen de manera automática por los dispositivos, teniendo en cuenta que en
estos últimos deberían aplicarse medidas técnicas para asegurar que la autenticación se
realiza de manera segura.
El control A.9.4.3 determina que los sistemas para la gestión de contraseñas deberían ser
interactivos y establecer contraseñas robustas y seguras, permitiendo elegir a los usuarios
las contraseñas a elegir y forzando que las contraseñas se cambien cada cierto tiempo y
no puedan reutilizarse las anteriores. Desde el punto de vista IoT, donde los dispositivos
funcionan de manera autónoma, no tiene sentido que sea el usuario el que elija las
contraseñas de acceso. En su lugar, será necesario implementar medidas técnicas que
permitan asignar y cambiar periódicos de contraseñas en aquellos dispositivos IoT de la
red que no sean operados por humanos, así como un registro de las mismas protegido por
una clave maestra. De manera adicional, el control debería establecer que las contraseñas
por defecto de los distintos dispositivos de la red se cambien en su primer uso para evitar
accesos no autorizados empleando credenciales definidas por el fabricante.
35
El control A.9.4.4 establece que debería restringirse y controlarse el uso de utilidades que
permitan invalidar los controles del sistema y de la aplicación. De manera similar al
control anterior, no tiene sentido aplicar esta salvaguarda en escenarios en los que los
dispositivos operan de manera autónoma, no obstante, debería seguir siendo empleada en
equipos controlados directamente por humanos para evitar que se eliminen o deshabiliten
controles establecidos por la organización.
Por último, el control A.9.4.5 determina que el acceso al código fuente de los programas
debería estar restringido para evitar cambios no intencionados y la introducción de
funcionalidades no deseadas. Se ha considerado que este control resulta de aplicación
directa en IoT, ya que los requisitos de protección de los repositorios de código fuente no
se ven afectados por las características de este tipo de escenarios.
4.3.6 Criptografía
El primer control dentro de esta categoría, A.10.1.1, trata sobre la política de uso de los
controles criptográficos, determinando que se debería desarrollar e implementar una
política sobre el uso de este tipo de controles para proteger la información. La guía de
implantación de este control definida en la guía UNE-ISO/IEC 27002:2015 establece que
dentro de esta política se debe tener en cuenta, entre otros:
El enfoque de la Dirección con respecto al uso de controles criptográficos.
La identificación del nivel de protección necesario a través de la elección de un
tipo, fortaleza y calidad del algoritmo de cifrado. Esta identificación debe llevarse
a cabo basándose en el Análisis de Riesgos.
El uso del cifrado en canales de comunicación y dispositivos móviles.
La gestión de claves.
Las funciones y responsabilidades en materia de criptografía.
El control A.10.1.2, por su parte, presenta la gestión de claves y determina que se debería
desarrollar e implementar una política sobre el uso, la protección y la duración de las
claves de cifrado a lo largo de todo su ciclo de vida. Este control se aplica a través de la
creación y mantenimiento del conjunto de políticas y procedimientos para generar,
almacenar, actualizar, distribuir y eliminar claves, entre otras.
En vista de que la necesidad de contar con una política sobre uso de criptografía y con
una serie de procedimientos de gestión de claves se mantiene en el contexto IoT,
36
consideramos que los controles previamente descritos resultan de aplicación directa para
la Internet de las Cosas. No obstante, es conveniente puntualizar que debido a la escasa
capacidad de procesamiento y memoria de la mayoría de los dispositivos que componen
el entramado de IoT, los métodos a utilizar en este tipo de redes serán en su mayoría
técnicas de criptografía ligera y esto deberá tenerse en cuenta dentro tanto en las políticas
como en los mecanismos de gestión de claves de la organización.
El uso de criptografía ligera contribuye a la seguridad de las redes IoT por su eficiencia,
teniendo por características principales: [35]
1. Las comunicaciones extremo a extremo se hacen mediante un algoritmo de clave
simétrica, lo que reduce el ancho de banda y el consumo de energía.
2. La criptografía ligera tiene unos requisitos mínimos mucho menos exigentes que
otras técnicas tradicionales, pudiendo llegar a implementarse en dispositivos
pequeños o de bajo costo que no dispongan de las especificaciones suficientes
para utilizar métodos clásicos.
Este control es aplicable sólo hasta cierto punto dentro del contexto de Internet de las
Cosas, ya que la condición de ubicuidad de los sistemas de información dificulta la
aplicación de la salvaguarda de limitación de acceso físico. En la red tradicional es posible
garantizar que los activos sensibles se almacenan en un emplazamiento con unas
capacidades determinadas, pero la entrada en el sistema de múltiples dispositivos móviles
implica que en la mayoría de los casos éste control no será la manera más adecuada de
proporcionar control de acceso a la información. Por otra parte, la protección física y
ambiental contemplada dentro del control sigue siendo válida y es de hecho un
componente necesario en las redes IoT.
El control A.11.2.2 sobre instalaciones de suministro determina que los equipos deberían
estar protegidos contra fallos de alimentación y otras alteraciones causadas por fallos en
las instalaciones de suministro. Este control resulta prácticamente de obligado
cumplimiento en entornos IoT, donde ya se ha determinado que la gestión eficiente de la
energía resulta de vital importancia para asegurar el funcionamiento de los sistemas. El
37
control contempla la disposición de múltiples fuentes con canales de alimentación
independientes y el uso de alarmas para detectar fallos en su funcionamiento, con lo que
se cubriría la necesidad de disponer de fuentes de energía alternativa para los dispositivos
y la gestión de incidentes de energía en los mismos.
El control A.11.2.3 sobre la seguridad del cableado determina que el cableado eléctrico y
de telecomunicaciones que se emplea para la transmisión de datos ha de estar protegido
frente a interceptaciones o interferencias. Debido a la propia naturaleza inalámbrica de
los escenarios IoT, se ha considerado en este análisis que el control no es aplicable a la
Internet de las Cosas.
38
Control A.11.2.9 sobre política de puesto de trabajo despejado y pantalla limpia,
sobre el cual hemos considerado que mantiene su aplicación directa al ámbito de
IoT por no suponer éste paradigma grandes cambios en el contexto de control.
El software malicioso o malware supone uno de los mayores problemas en Internet tanto
para usuarios individuales como organizaciones. La cada vez mayor complejidad de
Internet y el enorme volumen de comunicaciones son aprovechados por los creadores de
este tipo de programas para su distribución, infectando un gran número de dispositivos
sin que sus propietarios sean conscientes de ello, en la mayoría de los casos. La
rentabilidad económica de la creación y explotación del malware motiva que cada día
aparezcan miles de versiones nuevas de estos programas, tales como troyanos, gusanos o
el infame ransomware, que cifra los archivos del usuario afectado pidiendo al usuario un
rescate económico para poder recuperarlos. La adopción de la Internet de las Cosas
acrecienta la exposición y el impacto potencial del malware, dada la amplia superficie de
ataque y el elevado número de dispositivos interconectados que podrían ser explotados
por estos programas.
Como respuesta a las amenazas que el malware genera sobre las organizaciones, la norma
UNE-ISO/IEC 27001:2014 propone el control A.12.2.1, el cual determina que se deberían
implementar los controles de detección, prevención y recuperación que sirvan como
protección contra el código malicioso, además de concienciar al usuario. La guía de
implantación de este control tiene en cuenta el establecimiento de una política de
prohibición de software no autorizado y el uso de mecanismos que permitan detectarlo,
la gestión de vulnerabilidades técnicas, la instalación y actualización periódica de
software de detección de código malicioso y el establecimiento de medidas de
recuperación en caso de desastre, entre otros.
39
Al respecto de seguridad de redes, la norma UNE-ISO/IEC 27001:2014 define una serie
de controles al respecto dentro de la categoría de control de Seguridad de las
Comunicaciones (A.13).
El control A.13.1.1 determina que las redes deberían ser gestionadas y controladas para
proteger la información en los sistemas y aplicaciones. En la guía de implementación de
este control se comentan algunos aspectos de interés para este análisis:
Deberían establecerse controles especiales para salvaguardar la confidencialidad
e integridad de los datos provenientes de redes públicas/inalámbricas y proteger
los sistemas conectados y sus aplicaciones.
Debería realizarse un registro adecuado de eventos y monitorización de la red.
Los sistemas de la red deberían ser autenticados y la conexión de los sistemas a la
red debería ser restringido.
El control A.13.1.2 trata sobre la seguridad de los servicios de red y determina que los
mecanismos de seguridad, niveles de servicio y requisitos de gestión de todos los
servicios de la red deberían ser identificados e incluidos en acuerdos de servicio de red.
Este control es relevante para el contexto de aplicación de la Internet de las Cosas, siendo
especialmente importante la identificación de los niveles de servicio y las capacidades
técnicas de seguridad que ofrecen los distintos proveedores de la organización.
Por último, el control A.13.1.3 trata sobre la segregación de redes, determinando que los
grupos de servicios de información, los usuarios y los distintos sistemas de información
deberían estar segregados en redes distintas. En la guía de implantación se recomienda la
división de la red en dominios separados basados en niveles de confianza, unidades
organizativas o una combinación de ambos a través de redes VPN o el uso de diferentes
redes físicas.
40
En este sentido, la guía de implementación podría recomendar la aplicación de
tecnologías de Red Definida por Software (SDN, Software Defined Network) para lograr
una mejor gestión dinámica de los segmentos de red en entornos heterogéneos y
complejos, mejorando la eficiencia y la capacidad de administración de la red además de
su seguridad [37]. Un esquema explicativo de red SDN en el contexto IoT se puede ver
en la Ilustración 12.
En los últimos años las Tecnologías de la Información han experimentado una creciente
tendencia hacia la nube y las plataformas virtuales, generando un enorme auge en los
modelos de infraestructuras y software como servicio. Los servicios en la nube se
caracterizan por ofrecer un menor coste fijo y una mayor flexibilidad a las organizaciones,
que pueden de esta manera ajustar de manera variable su capacidad en función de la
demanda en un momento dado.
Desde el punto de vista de la Seguridad de la Información, el uso de este tipo de
tecnologías puede suponer un empeoramiento en la capacidad de control de las
organizaciones sobre la información almacenada y en tránsito. Para tener en cuenta la
problemática asociada a este tipo de servicios, la norma UNE-ISO/IEC 27001:2014
plantea en la categoría de control A.15.1 de su Anexo A una serie de controles sobre la
seguridad en las relaciones con proveedores, que vamos a analizar a continuación.
41
relacionados con las Tecnologías de la Información y la cadena de suministro de
productos.
Bajo el enfoque de la Internet de las Cosas, los tres controles anteriores resultan de
aplicación directa. En este tipo de redes caracterizadas por la ubicuidad y la escasa
capacidad de computación de muchos de los dispositivos que la componen, serán
habituales los proveedores externos que ofrezcan infraestructura y capas de virtualización
a través de distintos servicios para la organización.
A medida que las Tecnologías de la Información han ido ganando importancia en los
procesos de las empresas, el cumplimiento de las consideraciones y requisitos legales ha
obtenido un mayor peso de manera proporcional. Las distintas organizaciones se ven más
afectadas que nunca por regulaciones de protección de datos como la LOPD, leyes del
comercio electrónico como la LSSI o reglamentación financiera que afecta a las empresas
cotizadas en bolsa, por ejemplo, SOX.
42
El control A.18.1.4 sobre protección y privacidad de la información de carácter personal
establece que debe garantizarse la protección y la privacidad de los datos según establezca
la legislación y la reglamentación aplicables. En la guía de implantación de este control
de la norma UNE-ISO/IEC 27002:2015 se propone la implantación de una política de
privacidad y protección de la información de carácter personal, así como el nombramiento
de un responsable de protección de datos que vele por la seguridad de la información
personal.
Por último y de manera similar a lo visto anteriormente, esta categoría de control provee
de controles sobre los cuales se ha considerado que no requieren cambios significativos
para su aplicación en un escenario IoT:
El control A.18.1.2 trata sobre los derechos de propiedad intelectual, definiendo
que deberían ser implementados procedimientos adecuados para para garantizar
el cumplimiento de requisitos legales en materia de propiedad intelectual y en uso
de software patentado.
El control A.18.1.3 sobre protección de los registros de la organización, que
especifica que todos los registros deberán estar protegidos ante la pérdida,
destrucción o acceso no autorizado, entre otros, de acuerdo a los requisitos legales
y contractuales de la organización.
4.4 Conclusiones
En esta sección se muestra una tabla resumen que sintetiza las conclusiones obtenidas tras
el análisis de aplicabilidad a la Internet de las Cosas de los controles definidos en el Anexo
A de la norma UNE-ISO/IEC 27001:2014 y las recomendaciones para su implantación
definidas en UNE-ISO/IEC 27002:2015.
43
Tabla 2 - Resumen del análisis de aplicabilidad
Concienciación, educación y
A.7.2.2 capacitación en seguridad de la El control es aplicable
información
44
Controles propuestos en el anexo A de la norma Resultado del análisis de
UNE-ISO/IEC 27001:2014 [22] aplicabilidad a IoT
8. A.8 Gestión de activos
A.8.1 Responsabilidad sobre los
8.1
activos
El control es aplicable, pero
debería tener en cuenta las
A.8.1.1 Inventario de activos
dificultades a la hora de gestionar
un inventario de activos en IoT
El control es aplicable, pero
debería proponer asignaciones de
A.8.1.2 Propiedad de los activos propietario dinámicas y
generalmente por grupos de
dispositivos
A.8.1.3 Uso aceptable de los activos El control es aplicable
45
Controles propuestos en el anexo A de la norma Resultado del análisis de
UNE-ISO/IEC 27001:2014 [22] aplicabilidad a IoT
A.11 Seguridad física y del
11.
entorno
11.2 A.11.2 Seguridad de los equipos
El control es parcialmente
aplicable, ya que la limitación de
Emplazamiento y protección de espacio físico será imposible de
A.11.2.1
equipos llevar a cabo en muchos casos
debido a la ubicuidad
característica de las redes IoT.
El control es parcialmente
aplicable, ya que sólo será útil en
aquellos entornos en los que se
A.11.2.3 Seguridad del cableado mantenga la infraestructura
tradicional (p. ej, CPD) además
de una infraestructura propia del
paradigma IoT.
A.11.2.4 Mantenimiento de los equipos El control es aplicable
46
Controles propuestos en el anexo A de la norma Resultado del análisis de
UNE-ISO/IEC 27001:2014 [22] aplicabilidad a IoT
A.13 Seguridad de las
13.
comunicaciones
A.13.1 Gestión de la seguridad de
13.1
redes
El control es aplicable, pero
debería ampliarse para hacer
A.13.1.1 Controles de red
frente a las amenazas particulares
de las redes IoT
A.13.1.2 Seguridad de los servicios de red El control es aplicable
El control es aplicable, pero
debería recomendarse el uso de
tecnologías SDN para mejorar la
A.13.1.3 Segregación en redes
segregación de las redes en
escenarios de la Internet de las
Cosas.
15. A.15 Relación con proveedores
47
Controles propuestos en el anexo A de la norma Resultado del análisis de
UNE-ISO/IEC 27001:2014 [22] aplicabilidad a IoT
El control es aplicable, pero
Regulación de los controles debería tener en cuenta las
A.18.1.5
criptográficos particularidades de la IoT en
cuanto a técnicas criptográficas
48
5. Conclusiones
5.1 Conclusiones obtenidas
Las nuevas necesidades de seguridad en IoT se pueden resumir como las tradicionales a
las que estamos acostumbrados dentro de la Internet clásica sumadas a aquellas
específicas para hacer frente a las amenazas concretas del modelo de interconexión total
de este paradigma. La manera más eficaz de proteger las redes IoT es la de garantizar la
seguridad del conjunto de nodos en lugar de centrarse en bastionar cada dispositivo por
separado, siguiendo un modelo de defensa en profundidad. Aplicando este esquema se
busca que los fallos o incidentes de seguridad que se produzcan en un componente puedan
ser subsanados por otro elemento de la propia red en lugar de propagarse por la misma.
Los controles propuestos en relación a las políticas, procesos y organización del SGSI
son los que mejor se adaptan al nuevo contexto de la Internet de las Cosas por estar
situados en un plano de gestión donde el cambio técnico no tiene un impacto tan elevado,
lo que confirma que este modelo de gestión de la seguridad debería ser lo suficientemente
flexible para este paradigma.
La seguridad de red tiene una fuerte presencia en la norma, lo que encaja con una de las
mayores necesidades de protección para la IoT. La implantación de medidas técnicas de
monitorización, segregación de redes y criptografía deberán estar contempladas por la
norma para garantizar que la confidencialidad y la integridad se mantienen a través de la
49
red. Por otra parte, deberán hacerse esfuerzos para adaptar las ideas en materia de control
de acceso y seguridad física que se aplican a día de hoy a estos nuevos escenarios. Deberá
tenerse en cuenta que el elevado número de dispositivos, la heterogeneidad y la ubicuidad
de los mismos impide que se sigan manteniendo las medidas de limitación de acceso y la
protección física de cada uno de ellos, siendo necesarias nuevas precauciones al respecto.
En base al análisis realizado y a los objetivos alcanzados, pueden plantearse una serie de
ideas de trabajo futuro que permitan extender los resultados de este Proyecto Fin de
Máster.
En primer lugar, se plantea ampliar este análisis a aquellas categorías de control que han
quedado fuera por no considerarse incluidas en el modelo de defensa en profundidad. Del
mismo modo, debería profundizarse en la guía de implementación de cada control para
evaluar si en los casos en que el control se determina como aplicable, también lo es la
recomendación para desplegarlo.
En vista del nuevo enfoque de la norma ISO/IEC 27001:2013 que permite ser integrada
como un modelo de marco de gestión junto a otras normas, se plantea realizar una
evaluación de aplicabilidad de otros estándares ISO a este paradigma de manera similar
al que ocupa este Proyecto, por ejemplo:
ISO 9001 sobre Sistemas de Gestión de la Calidad. [39]
ISO 22301 sobre Gestión de la Continuidad de Negocio. [40]
ISO/IEC 27005 sobre Gestión de Riesgos de Seguridad de la Información.
ISO/IEC 27033 sobre Seguridad en Redes. [41]
Por último, se plantea realizar análisis similares con otros estándares de seguridad
focalizados en la parte técnica en lugar de la gestión de la Seguridad de la Información,
como la guía de seguridad OWASP para IoT [42], de modo que se pueda tener una
valoración de aplicabilidad respecto a una visión más enfocada a la ciberseguridad.
50
6. Referencias bibliográficas
[1] Ponemon Institute, 2014 Global Report on the Cost of Cyber Crime, 2014.
[2] Gartner, «Gartner's 2015 Hype Cycle for Emerging Technologies,» 2015.
[3] K. Ashton, «That Internet of Things Thing,» RFID Journal, 2009.
[4] D. Evans, «The Internet of Things. How the next Evolution of the Internet is Changing
Everything,» Cisco Systems, 2011.
[5] Unión Internacional de Telecomunicaciones, «Recomendación UIT-T Y.2060: Descripción
general de Internet de los objetos,» 2012.
[6] Unión Internacional de Telecomunicaciones, «Descripción general de Internet de los
objetos,» Ginebra, 2012.
[7] L. Atzori, A. Iera y G. Morabito, «The Internet of Things: A survey,» Computer Networks,
p. 19, 2010.
[8] National Intelligence Council, «Six Technologies with Potential Impacts on US Interests
Out to 2025,» de Disruptive Technologies Global Trends 2025, 2008.
[9] D. Miorandi, S. Sicari, F. De Pellegrini y I. Chlamtac, «Internet of Things: Vision,
applications and research challenges,» Ad Hoc Networks, p. 20, 2012.
[10] K. Zhao y L. Ge, «A survey on the Internet of Things Security,» de 2013 Ninth
International Conference on Computational Intelligence and Security, Guangxi, 2013.
[11] International Organization for Standardization, «Standards,» [En línea]. Available:
http://www.iso.org/iso/home/standards.htm.
[12] F. G. Gutiérrez, «Análisis de las normas de seguridad para los controles, las
comunicaciones y otros equipos críticos de la red de energía,» Proyecto Fin de Carrera.
EPS-UAM, 2014.
[13] V. Cuamatzi, «LA SEGURIDAD DE LA INFORMACIÓN,» 2014. [En línea]. Available:
http://maldonasjd.blogspot.com.es/.
[14] International Organization for Standardization, «About ISO,» [En línea]. Available:
http://www.iso.org/iso/home/about.htm.
[15] International Telecommunication Union, «ICT Security Standards Roadmap,» [En línea].
Available: http://www.itu.int/en/ITU-T/studygroups/2013-
2016/17/ict/Pages/default.aspx.
[16] National Institute of Standards and Technology, «NIST General Information,» [En línea].
Available: http://www.nist.gov/public_affairs/general_information.cfm.
[17] National Institute of Standards and Technology, «NIST SPECIAL PUBLICATIONS (SP),» [En
línea]. Available: http://csrc.nist.gov/publications/PubsSPs.html.
[18] AENOR, «Misión, Visión y Valores de AENOR,» [En línea]. Available:
http://www.aenor.es/aenor/aenor/mision/mision.asp#.Vzdtr7iLQdU.
[19] International Organization for Standardization, «International Organization for
Standardization,» [En línea]. Available:
http://www.iso.org/iso/home/standards/management-standards/iso27001.htm.
[20] International Organization for Standardization, ISO/IEC 27000, 2014.
[21] AENOR, UNE-ISO/IEC 27000, 2014.
[22] AENOR, UNE-ISO/IEC 27001, 2014.
51
[23] AENOR, UNE-ISO/IEC 27002, 2015.
[24] International Organization for Standardization, ISO/IEC 27003, 2010.
[25] International Organization for Standardization, ISO/IEC 27004, 2009.
[26] International Organization for Standardization, ISO/IEC 27005, 2011.
[27] International Organization for Standardization, ISO/IEC 27001, 2008.
[28] International Organization for Standardization, ISO 31000, 2009.
[29] Consejo Superior de Administración Electrónica, MAGERIT versión 3: Metodología de
Análisis y Gestión de Riesgos de los Sistemas de Información, Ministerio de Hacienda y
Administraciones Públicas, 2012.
[30] V. Poole, Information Security Management: Why the emerging ISO 20000 series are vital
for business resilience, 2008.
[31] A. López Neira y J. Ruiz Spohr, «El portal de ISO 27001 en Español,» [En línea]. Available:
http://www.iso27000.es/certificacion.html.
[32] International Organization for Standardization, "ISO Survey 2014," 2014.
[33] R. H. Weber, «Internet of Things - New security and privacy challenges,» Computer Law &
Security Review, pp. 23-30, 2010.
[34] A. Jha y S. M C, «Security considerations for Internet of Things,» L&T Technology Services
Whitepaper, 2014.
[35] M. Katagi y S. Moriai, «Lightweight Cryptography for the Internet of Things,» Sony
Corporation, 2011.
[36] Oltsik, «The Internet of Things: A CISO and Network Security Perspective,» de Enterprise
Strategy Group Whitepaper , 2014.
[37] P. Martinez-Julia y A. F. Skarmeta, «Empowering the Internet of Things with Software
Defined Networking».
[38] O. Savry y F. Vacherand, «Security and Privacy Protection of Contactless Devices,» de The
Internet of Things: 20th Tyrrhenian Workshop on Digital Communications, D. Giusto, A.
Iera, G. Morabito y L. Atzori, Edits., 2010.
[39] International Organization for Standardization, ISO 9001, 2008.
[40] International Organization for Standardization, ISO 22301, 2012.
[41] International Organization for Standardization, ISO 27033, 2015.
[42] OWASP, «IoT Security Guidance,» 2016. [En línea]. Available:
https://www.owasp.org/index.php/IoT_Security_Guidance.
[43] International Organization for Standardization, ISO/IEC 27001, 2013.
[44] International Organization for Standardization, ISO/IEC 27002, 2013.
52