Kaspersky Lab se une a los líderes de la industria para ofrecer una guía técnica procesable para múltiples partes interesadas en el IoT.

En colaboración con otros miembros del Industrial Internet Consortium (IIC), los expertos de Kaspersky Lab han formulado la Guía del Profesional del Modelo de Madurez de Seguridad (SMM). Esto ayuda a los operadores de IoT a definir el nivel de madurez de seguridad que necesitan alcanzar en función de sus metas y objetivos de seguridad, así como de su apetito de riesgo.

La SMM se basa en los conceptos identificados en el Marco de Seguridad de la Internet Industrial de la CII publicado en 2016. El SMM es el primero de su tipo, que discute el enfoque de madurez de seguridad recientemente establecido para el IoT. El modelo identifica un marco de seguridad para las partes interesadas en la IO en función de sus niveles de seguridad, y evalúa la madurez de los sistemas de IO de una organización examinando la gobernanza, la tecnología y la gestión del sistema. Otros modelos pueden abordar un sector concreto, como el de la IO pero no el de la seguridad, o el de la seguridad pero no el de la IO. El SMM cubre todos estos aspectos y destaca elementos de los modelos existentes, en su caso, para tomar nota del trabajo existente y evitar la duplicación.

La guía se ha elaborado teniendo en cuenta una gran variedad de partes interesadas en la IO. No solo los expertos en seguridad ponen gran énfasis en mejorar la seguridad de la infraestructura que conecta los sistemas de información con los objetos físicos, sino también los operadores de instalaciones industriales, los desarrolladores de software de propósito especial, los propietarios de empresas relevantes y las autoridades reguladoras. Por lo tanto, el SMM de la IO, a diferencia de las normas y requisitos habituales de los reguladores, tiene en cuenta los intereses y las necesidades de seguridad de todas las organizaciones y personas que participan en las operaciones de la IO y las gestionan.

Además, la guía del profesional contiene tres casos prácticos que ayudan a los interesados en la IO a aplicar el Modelo de Madurez de la Seguridad. Entre ellos se encuentran una línea de embotellado más inteligente basada en datos, una pasarela para automóviles que admite actualizaciones OTA y cámaras de seguridad utilizadas en entornos residenciales.

La guía ayuda a los operadores de IoT a comprender su estado actual, su estado objetivo y los pasos que deben dar para alcanzar su objetivo. Después de evaluarlos, y con el paso del tiempo, las organizaciones pueden mejorar su estado de seguridad si siguen haciendo evaluaciones de su sistema de IoT, y realizando mejoras basadas en los 36 parámetros enumerados, hasta su nivel requerido.

«La priorización de las medidas de seguridad, el establecimiento de objetivos y el desarrollo de una estrategia para hacer que un sistema sea «suficientemente seguro» es un objetivo que afecta a la planificación económica a largo plazo de las organizaciones, junto con la inversión, la elección del programa de seguros o cualquier otra tarea con estímulos conflictivos. El enfoque moderno de estas tareas incluye el uso del llamado «nudge», es decir, la creación de una arquitectura de elección que apoye la toma de decisiones eficientes en un área determinada. El IoT SMM es un marco para dicha arquitectura de elección (nudge) en el ámbito de la seguridad de la información del IoT. Permite a los actores dar el primer paso (y luego el segundo, el tercero, etc.) en el camino hacia un sistema seguro, ya sea una instalación de fabricación a gran escala o una pulsera de fitness», afirma Ekaterina Rudina, analista de sistemas senior de Kaspersky Lab ICS CERT.

El grupo de expertos ha estado trabajando en el proyecto durante casi dos años: a principios de 2017, el equipo de aplicabilidad de la seguridad que se centra en el uso de las prácticas de seguridad en las aplicaciones de IoT de la vida real dentro del CII comenzó a explorar un modelo de madurez. La Guía del Profesional de SMM es una pieza complementaria del Libro Blanco IoT SMM: Descripción y uso previsto, que se publicó a principios de 2018.

La Guía del Profesional del Modelo de Madurez de Seguridad (SMM) completa se puede encontrar aquí.

Para obtener más información sobre la experiencia en ciberseguridad industrial de Kaspersky Lab, visite ics-cert.kaspersky.com