Ciberseguridad en el Internet de las cosas

Todas las empresas se verán afectadas por la Internet de las cosas (IoT), el creciente fenómeno por el que no solo las personas, sino también «cosas» (vehículos, equipos comerciales e industriales, dispositivos médicos, sensores remotos en entornos naturales) se conectan a redes conectadas a Internet. Espere que el impacto en su negocio sea profundo.

En particular, espere que desafíe su concepción de la ciberseguridad y su capacidad para ofrecerla en las redes digitales compatibles con el IoT, sus operaciones comerciales y sus ecosistemas de socios. Paradójicamente, el mismo principio que hace que la IoT sea tan poderosa —la posibilidad de compartir datos al instante con todos y con todo (es decir, con todas las entidades autorizadas) — crea una enorme amenaza de ciberseguridad.

Al igual que el consumerización de la TI generó el BYOD Actividad (traiga su propio dispositivo) que está poniendo a prueba gravemente los regímenes de ciberseguridad en la actualidad, el IoT también generará un brote de «democratización de los datos», en el que los datos se compartirán más ampliamente que nunca, en tiempo real. El IoT exigirá otra ronda de revisión de la estrategia de gestión de riesgos, nuevas herramientas de evaluación de la seguridad de las redes y revisiones del modelo de negocio. Como todos los cambios importantes en el entorno comercial, este generará desafíos, pero también oportunidades para que las empresas se beneficien de las nuevas demandas de ciberseguridad de la IoT.

¿Por qué decimos que el IoT requiere una nueva forma de pensar en la ciberseguridad? Principalmente por el nivel de intercambio de datos que implica. Se trata de una función del IoT que evoluciona rápidamente y en torno a la cual los mercados de equipos industriales aún no se han alineado. Tenga en cuenta que podemos rastrear los orígenes del IoT hasta los primeros esfuerzos de los ingenieros de los fabricantes de equipos originales (OEM) por encontrar formas de monitorear, de manera objetiva y en tiempo real, el rendimiento real de las máquinas que diseñaron para los clientes. Solían utilizar los términos telemática y gestión de recursos móviles. Sin embargo, pronto quedó claro lo valiosos que serían esos datos para sus colegas de marketing de productos y, a su vez, para el servicio de atención al cliente y el soporte técnico. En cuanto a los propios clientes, recibían algunas ventajas, como las alertas de mantenimiento, pero, en términos generales, tenían acceso a pocos datos en tiempo real y era difícil trabajar con ellos cuando los tenían.

Hoy en día, cada vez más clientes reconocen cómo esos datos podrían informar sus propias operaciones, e incluso piensan que son suyos por derecho, lo que lleva a batallas sobre quién es el propietario de los datos y tiene acceso a ellos, quién es responsable de protegerlos y una larga lista de otras cuestiones relacionadas. Es más, a medida que los sistemas creados por diferentes OEM interactúan, se producen luchas internas entre ellos en cuanto a lo que constituye inteligencia sensible o competitiva. Al mismo tiempo, todos deben abordar la cuestión de cómo el acceso compartido a los datos los expone a nuevas responsabilidades legales con sus socios comerciales.

Se necesitan nuevos enfoques de ciberseguridad para abordar el acceso a estos datos compartidos y su despliegue. Los participantes tienen que garantizarse mutuamente que no habrá ninguna infracción con tantas partes móviles en tantas redes y organizaciones diferentes.

Al mismo tiempo que los datos compartidos del IoT crean nuevos problemas para la ciberseguridad, su uso en determinadas aplicaciones hace que la necesidad de garantizar la seguridad sea aún más urgente. Tenga en cuenta que el 85% de los Estados Unidos infraestructura crítica — la red eléctrica, los gasoductos y oleoductos, los puentes y los túneles se encuentran en el sector privado, donde la ciberseguridad es fragmentada y desigual. Estos mercados están muy interesados en el potencial comprobado de ahorro de costes y mejora del rendimiento del IoT. Sin embargo, esta compleja red solo se puede proteger de forma colaborativa, ya que varias partes interesadas comparten intereses en activos comunes. Es más, los recursos del gobierno, con sus propios mandatos únicos de ciberseguridad, son fundamentales. No es exagerado decir que el funcionamiento de la infraestructura de la sociedad y nuestro acceso a suficiente energía dependen del establecimiento de nuevos regímenes de ciberseguridad orientados al Internet de las cosas.

Reduzcamos esto a la forma en que usted, como empresa, experimentará el IoT a medida que comience a invertir en él. Predecimos que se diferenciará de sus anteriores incursiones en la TI tradicional, los dispositivos móviles y las redes sociales en tres aspectos, y todos ellos tienen implicaciones en su visión de la seguridad de los datos:

Su modelo de negocio de IoT no incluirá ofertas «freemium». El IoT le brinda una oportunidad irresistible de ofrecer impulsado por la relación calidad-precio, servicios. Pero los clientes que paguen exigirán un mayor acceso y control a «sus» datos, a diferencia de lo que exigen la mayoría de las redes sociales y muchas soluciones móviles, simplemente porque «ellos» pagan.

Sus políticas de privacidad habituales no funcionan. De nuevo, el IoT será de democratización de los datos. Por lo tanto, no se aceptará el tipo de «acuerdo de usuario» opaco que autorice al proveedor de servicios a volver a comercializar o redistribuir los datos de los usuarios. Su nueva política será más parecida a «quienes despliegan los dispositivos determinan los derechos de acceso». Los clientes, es decir, y no los proveedores de servicios, determinarán quién tiene derechos sobre qué.

Pasará de la supervisión al control. Para darse cuenta plenamente del valor de la IoT, los dispositivos conectados harán algo más que supervisar, monitorear e informar. También deben ofrecer nuevos niveles de autonomía a las operaciones. Pero esa autonomía requerirá que los dispositivos funcionen en modo punto a punto independiente, aunque coordinado, y que admitan el acceso remoto a las funciones de control. Los desplegadores deberán garantizar una comunicación bidireccional segura entre los dispositivos.

Como empresa que invierta en el IoT, tendrá que establecer nuevos estándares de construcción (es decir, las tecnologías para proteger el IoT) y nuevos normas de conducta (las políticas para proteger el IoT). Su primer paso debería ser familiarizarse con los principios de las redes resilientes. Las redes resilientes son un concepto que explora la red/ciberseguridad en redes digitales más conectadas, automatizadas y dinámicas, es decir, la IoT. Parte de esta obra se ha publicado en un libro blanco [pdf] desarrollado para el Departamento de Seguridad Nacional.

También debería planear dedicar tiempo y reflexión serios a desarrollar políticas en torno a sus inversiones en IoT. Pregunte «por qué» algo debería estar conectado antes de conectarlo. ¿Quién se beneficiará? ¿Cómo? Un conjunto de preguntas clave como estas se convierte en un marco muy útil para trabajar con los socios a fin de elaborar políticas mutuamente acordadas.

El éxito en la era de la IoT dependerá de definir y desplegar no solo las tecnologías de ciberseguridad adecuadas, sino también las políticas y operaciones adecuadas. El potencial del IoT para generar valor para usted, sus clientes y toda la sociedad es enorme. Debemos replantearnos los regímenes de ciberseguridad que amenazan con limitarla.

Datos bajo asedio
Un HBR Insight Center

• ¿Alguien es realmente responsable de la seguridad de los datos de su empresa?
• La cooperación entre el sector público y el privado que necesitamos en materia de ciberseguridad
• Acepte la complejidad de la ciberdefensa
• Por qué las empresas deberían compartir información sobre los ciberataques