CIBERSEGURIDAD CORPORATIVA. II Jornadas sobre Inteligencia EconómicaAlberto P. Urosa Herrero
Internet de las Cosas … Inseguras
2
Objetivos
Saber de que hablamos cuando mencionamos IoT
Por qué está tan relacionado con el
Big Data
Identificar las buenas prácticas desde el punto de
vista de la seguridad
Conocer las mejores peores
prácticas
3
Que es el IoT?
4
5
6
7
8
Monitorización de explotaciones agrícolas
9
IoE – Internet of Everything
10
11
Quien paga la fiesta?
Pago por dispositivos
Pago por uso
Venta de datos
12
Arquitecturas IoT
13
14
Cosas
Backend
Orientado al Cloud
Dispositivo Movil
Red Local
Arquitecturas IoT
Servidores
Accesos Usuario
Analitica y Big Data
SensoresActuadores
Procesadores
Conexión
Internet
15
Datos, Datos, Datos
16
17
18Fuente: Big Data Analysis SAP
19
IoT + Big Data
20
Vidas ConectadasMovilidad en tiempo real
21
Vidas ConectadasLa compra en la era de Internet
22
Vidas ConectadasEl coche, la maleta, el perro, el niño…
23
Vidas ConectadasRecetas para automatizar tu vida
24
Seguridad IoT
25
Seguridad IoT
26
Seguridad de la InformaciónTriada CIA
Seguridad de la
información
Integridad
DisponibilidadConfidencialidad
27
Seguridad de la InformaciónDominios de la Seguridad
P
G
D
R
Gobierno de la Organización para gestionar los riesgosimplantando estructuras de gobierno que permitanmantener y evolucionar sus capacidades de-seguridad.
Detección de las amenazas mediante el uso de lasmúltiples fuentes de ciber-inteligencia con el fin de podergestionarlas proactivamente.
Prevención frente a ciberataques manteniendo lasinversiones y mejorando las medidas para proteger susactivos de información digitales.
Respuesta y Recuperación adecuadas ante unciberataque exitoso, con el fin de poder limitar su impactosobre la Organización.
Procesadores
28
Buenas Prácticas Seguridad
29
Buenas Prácticas SeguridadRecomendaciones CERTSI - Mejores prácticas de seguridad en el diseño y la instalación
•Asegurar que sus dispositivos sean parcheables, que dependan de los protocolos estándar de la industria, que no utilicen contraseñas embebidas en el código o “hardcodeadas” y que no contengan vulnerabilidades de seguridad previamente conocidas, así como desarrollar iniciativas que protejan la privacidad de los usuarios de los dispositivos IoT.
Obligaciones de los proveedores
•desarrollar un conjunto de procedimientos que garanticen la instalación y configuración de forma segura. Obligar a los usuarios a modificar los ajustes de seguridad predeterminados, como por ejemplo la contraseña con la que inicialmente se distribuyen losdispositivos.
Instalación y configuración
•verificar los ajustes de red innecesarios, tales como los puertos de servicios abiertos. Establecer la obligatoriedad del cifrado en todos los tipos de comunicaciones.
Conectividad y servicios
•Seleccionar una suite de cifrado probada o verificar posibles debilidades (tales como los generadores de números pseudoaleatorios), si ha de usarse cifrado de desarrollo propio.
Cifrado
30
Buenas Prácticas SeguridadRecomendaciones CERTSI - Mejores prácticas de seguridad en el diseño y la instalación
•garantizar la protección de los datos privados y confidenciales. Habilitar mecanismos de destrucción de datos y almacenamiento cifrado en dispositivos y puntos terminales donde almacenar estos datos de forma segura.
Cuestiones de privacidad
•adoptar mecanismos seguros para interactuar y establecer conexiones con dispositivos y servicios tales como los servicios en nube.
Autenticación y autorización
•Se recomienda contar con procedimientos de seguridad para garantizar las copias de seguridad y la recuperación total de los datos y del sistema operativo en caso de desastre. El almacenamiento de las copias de seguridad debe estar cifrado.
Copias de seguridad y recuperación ante desastres
•una vez creado el producto y aplicadas las prácticas expuestas en los puntos anteriores, se deben poner a prueba realizando procesos de análisis y verificación que garanticen su eficacia (revisión de hardware, análisis de tráfico de red, verificación de la autenticación, etc).
Verificaciones y pruebas
31
Buenas Prácticas SeguridadRecomendaciones CERTSI - Mejores prácticas de seguridad en la operación y el mantenimiento
•facilitar la desactivación de funciones y servicios que no se usen o no sean necesarios para el funcionamiento concreto que determine el usuario.
Desactivación de funciones innecesarias
•mantener el dispositivo actualizado y bien configurado.
Configuración
•usar contraseñas robustas y modificarlas con regularidad.
Uso de contraseñas
•si los dispositivos de IoT se deben integrar con otra infraestructura, se deben evaluar la conectividad de red y las interacciones de esta con el entorno. De esta manera se evitarán interferencias y exposiciones no deseadas.
Integración ente dispositivos
•hacer un seguimiento de dispositivos IoT que no estén en uso y borrar los datos de aquellos que no volverán a utilizarse.
Borrado de información
32
Buenas Prácticas SeguridadRecomendaciones CERTSI - Mejores prácticas específicas de protección de la privacidad
•las evaluaciones sobre la privacidad (EIP) deben realizarse con anterioridad al lanzamiento de cualquier aplicación nueva en IoT.
Evaluaciones de impacto
•cada parte involucrada en el mundo del IoT debe aplicar los principios de la privacidad desde el diseño y la privacidad por defecto.
Privacidad por diseño
•las partes interesadas del mundo del IoT deben borrar los datos sin procesar inmediatamente después de haber extraído los datos necesarios para el procesamiento.
Información no procesada
• los fabricantes de dispositivos deben informar a los usuarios sobre los tipos de datos que los dispositivos obtienen y después procesan, los tipos de datos que reciben y el modo en que estos serán procesados y combinados. Los dispositivos de IoT deberían brindar una opción de "no obtener datos" para programar o desactivar rápidamente los sensores.
Tratamiento de los datos del usuario
33
Buenas Prácticas SeguridadRecomendaciones CERTSI - Mejores prácticas específicas de protección de la privacidad
• para evitar el rastreo de la ubicación, los fabricantes de dispositivos deberían limitar el uso de huellas digitales deshabilitando las interfaces inalámbricas cuando no estén en uso. Opcionalmente, deberían usar identificadores aleatorios (tales como direcciones MAC aleatorias para escanear redes Wi-Fi) a fin de evitar que se use un identificador persistente para rastrear la ubicación.
Rastreo de ubicación
•es necesario proporcionar al usuario herramientas que les permitan exportar sus datos fácilmente en un formato estructurado común.
Herramientas de exportación
•debería existir un ajuste para diferenciar los distintos usuarios que utilizan un mismo dispositivo, de modo que ninguno pueda obtener información sobre las actividades de los otros.
Diferenciación de usuarios
•los ajustes predeterminados de las aplicaciones sociales basadas en dispositivos IoT deberían solicitar a los usuarios que revisen la información generada, que la editen y que tomen decisiones al respecto antes de la publicación en plataformas sociales.
Redes sociales
•el permiso para usar un dispositivo conectado y para el consecuente procesamiento de datos debe ser expuesto de forma transparente para el usuario.
Recabar consentimiento
34
Hall of Fame Shame
35
Las mejores peores prácticasVtech
36
Las mejores peores prácticasFitbit
37
Las mejores peores prácticasFitbit
38
Las mejores peores prácticasAlarma Simplisafe
39
Las mejores peores prácticasAirbus A380
40
Las mejores peores prácticasJeep
41
Las mejores peores prácticasDispositivos Médicos
42
Las mejores peores prácticasMirai
43
Let’s Play
44
45
Consideraciones FinalesPreocupaciones y Protecciones
46
Consideraciones | Internet of ThingsTendencias tecnológicas y mecanismos de protección
Preocupaciones Protecciones
• Los dispositivos IoT almacenan y transmiten multitud de datos personales
• Los hábitos de consumo de las personas quedan reflejados en sus dispositivos IoT
• Dispositivos de vigilancia (CCTV, micrófonos, controles de acceso…)
• Ausencia de medidas de ciberseguridad en industrias no acostumbradas
• Cifrado / codificación de comunicaciones y almacenamiento
• Protocolos que permitan el control de acceso y la identificación unívoca de dispositivos
• Segmentación de redes con dispositivos IoT
• Incorporación en pruebas de seguridad
• Gestión de vulnerabilidades
• Añadido de capas adicionales de seguridad
47
Consideraciones | Dispositivos móvilesTendencias tecnológicas y mecanismos de protección
Preocupaciones Protecciones
• Es fácil encapsular el acceso a datos de la empresa, pero no a datos personales
• Multitud de canales con distintas casuísticas (GSM, 4G, wifi, etc.)
• Reticencia de los usuarios por considerarlos “dispositivos personales”
• Compartición de datos entre distintas aplicaciones, generalmente con privilegios excesivos
• Concienciación para conocer los ciberriesgos
• Políticas y herramientas para MDM y BYOD
• Encapsulamiento del acceso a datos personales
• Monitorización y análisis de uso y tráfico
• Software de protección contra malware
48
Consideraciones | Big DataTendencias tecnológicas y mecanismos de protección
Preocupaciones Protecciones
• Gran cantidad de datos (su agregación puede permitir la identificación unívoca)
• Acumulan cantidades ingentes de datos personales, lo cual las convierte en objetivos
• Algunos usos de los datos pueden no contar con consentimiento expreso
• Algunos resultados arrojados pueden tener repercusiones negativas sobre las personas
• Seudonimización / despersonalización / enmascarado de datos
• Controlar el acceso a las herramientas
• Clasificar la información para limitar sus usos en función del tipo
• Análisis de vulnerabilidades sobre las plataformas que soportan los servicios
49
Consideraciones | CloudTendencias tecnológicas y mecanismos de protección
Preocupaciones Protecciones
• Compartición de infraestructura (distintos entornos virtuales, mismo hardware)
• Localización geográfica de los datos
• Acumulan cantidades ingentes de datos personales, lo cual las convierte en objetivos
• Ausencia de control sobre las medidas de seguridad que realmente se implantan (acceso privilegiado, cifrado, monitorización, seguridad en los backups, anti-malware)
• Bastionado de los contenedores para los aplicativos en Cloud (dockers)
• Proxy para cifrado de las comunicaciones en los propios sistemas (CASB)
• Incorporación de cláusulas específicas para la gestión de los ciberriesgos asociados
• Definición y auditoría de mecanismos de seguridad a implantar en el proveedor
50
Consideraciones | BlockchainTendencias tecnológicas y mecanismos de protección
Preocupaciones Protecciones
• Se descubren nuevas aplicaciones cada día
• La información de cada bloque es compartida por todos los nodos
• Algunas implementaciones ofrecen opciones de bloqueo pero no borrado de bloques
• Puede haber nodos que se encuentren o se trasladen a geografías no seguras
• Analizar ciberriesgos en nuevas aplicaciones
• Cifrar a los bloques para controlar el acceso
• Definir los bloques con granularidad suficiente para un control de acceso eficaz
• Implementar protecciones que dependan de la ubicación geográfica de los datos
• Tests de penetración contra los sistemas de cifrado e integridad
51
Consideraciones | Redes socialesTendencias tecnológicas y mecanismos de protección
Preocupaciones Protecciones
• Brecha digital (es difícil transmitir los ciberriesgos a las nuevas generaciones)
• Proporcionan información que los atacantes emplean para enfocar sus ataques
• Acumulan cantidades ingentes de datos personales, lo cual las convierte en objetivos
• Numerosos escándalos por venta de datos personales a terceros
• Concienciación para conocer los ciberriesgos
• Análisis de presencia de marca (y empleados) en redes sociales
• Política de comportamiento de empleados en redes sociales
• Búsqueda de datos personales de los que somos responsables en la DeepWeb
52
53
Muchas gracias