Post on 26-Nov-2021
Ciberseguridad en IoTRetos y riesgos emergentes
Jeimy J. Cano M., Ph.D, CFEProfesor Asociado
Escuela de Administración
Agenda
• Introducción
• Percepción del riesgo: el reto de lo digital
• Cambio de paradigma: hacia la densidad digital
• Fundamentos del IoT
• Fundamentos de ciberseguridad
• Ciberseguridad en IoT
• Casos recientes: Ciber-inseguridad en IoT
• IoT: Riesgos y retos emergentes
• Reflexiones finales
JCM-18 All rights reserved UR-Escuela de Administración 2
Introducción
JCM-18 All rights reserved UR-Escuela de Administración 3
Preocupaciones de los ejecutivos a nivel global
JCM-18 All rights reserved UR-Escuela de Administración 4
Fuente: https://www.pwc.com/gx/en/ceo-survey/2018/pwc-ceo-survey-report-2018.pdf
Convergencia tecnológica y densidad digital
JCM-18 All rights reserved UR-Escuela de Administración 5
Computación cognitiva
Grandes datos y
analítica
Móviles y Redes
sociales
Impresión 3D
Computación en la nube
Internet de las cosas
Diseño y despliegue de Expectativas, Experiencias y Excelencia con el cliente
DENSIDAD DIGITAL (Dispositivos, conexiones y datos)
Industria 4.0
JCM-18 All rights reserved UR-Escuela de Administración 6
INDUSTRIA 1.0Era de la mecanización
Producción mecánica impulsada por aguay vapor
1784 Primer telar mecánico
INDUSTRIA 2.0Era de la electricidad
Producción masiva impulsada por energíaeléctrica
1870 Primera línea de producción
INDUSTRIA 3.0Era de la automatización
Producción automatizada por dispositivoselectrónicos y TI
1969 Primer controlador lógicoprogramable (PLC)
INDUSTRIA 4.0Era de las redes de humanos, máquinas y cosas
Producción a través de sistemas ciber-físicos
Nivel de complejidad
Inicio del siglo XXFinales del siglo XVIII Inicia en los 70’s Actualmente
Percepción del riesgoEl reto de lo digital
JCM-18 All rights reserved UR-Escuela de Administración 7
Conceptualización del riesgo
JCM-18 All rights reserved UR-Escuela de Administración 8
Experiencia personalAmbigüedad
IncertidumbreEstado de indeterminación entre una causa y susefectos.
ComplejidadResultado de la limitada capacidad para distinguiraspectos concretos de la realidad, que superan los saberes previos de los observadores.
Resultado de las interpretacioneslegítimas basadas en significadossocialmente aceptados y en hechosreales evidenciados.
La historia particular de cadaindividuo interpretada en la cámarasecreta de sus supuestos.
Riesgo: Una situación o un evento en el que algo de valor humano está en juego y donde el resultado es incierto.
Ideas tomadas de: Rosa, E., Renn, O. y McCright, A. (2014) The risk society revisited. Social theory and governance. Philadelphia, Pennsylvania. USA: Temple University Press.
¿Qué significa “ser digital”?
JCM-18 All rights reserved UR-Escuela de Administración 9
Comportamientos y expectativas de clientes
Cultura triple “A”
Anticipar, Adaptar, Arriesgar
Uso de los datos
Nuevas capacidades
Nuevas fronteras del valor
Adaptado de: Dörner, K. y Edelman, D. (2015) What ”digital” really means. Mckinsey Quarterly. July. Recuperdo de: http://www.mckinsey.com/industries/high-tech/our-insights/what-digital-really-means
Cambio de paradigmaHacia la densidad digital
JCM-18 All rights reserved UR-Escuela de Administración 10
Densidad digital
JCM-18 All rights reserved UR-Escuela de Administración 11
Físico
Conexiones
Datos
Con ideas de: Zamora, J. (2017) ¿Es posible programar modelos de negocio? IESE Insight. II Trimestre de 2017. p.27
Densidad digital
JCM-18 All rights reserved UR-Escuela de Administración 12
Zamora, J. (2017) ¿Es posible programar modelos de negocio? IESE Insight. II Trimestre de 2017. p.27
Productos/Servicios digitalmente modificados
JCM-18 All rights reserved UR-Escuela de Administración 13
Po
rter,M
.y
Hep
pelm
ann
,J.
(20
14
)H
ow
Smart,
con
nected
pro
du
ctsare
transfo
rmin
gco
mp
etition
.Ha
rvard
Bu
siness
Review
.No
viemb
re.p.7
Visualización práctica
JCM-18 All rights reserved UR-Escuela de Administración 14
Densidad digital
JCM-18 All rights reserved UR-Escuela de Administración 15
Zamora, J. (2017) ¿Es posible programar modelos de negocio? IESE Insight. II Trimestre de 2017. p.28
Impulsores de Valor
Densidad digital
Anticipación
Eficiencia
Coordinación
Personalización
Privacidad
Fiabilidad Seguridad
Integración
Retos
Fundamentos del IoT
JCM-18 All rights reserved UR-Escuela de Administración 16
Evolución del IoT
JCM-18 All rights reserved UR-Escuela de Administración 17
Era Industrial
1850 1970
Era de la Información
2020
Bo
mb
illa
Mainframe Computing
1 millón de dispositivosconectados a internet
PC / Laptop
Internet & WiFi
Internet Móvil
200019901980 2010
iPh
on
e
iPad
Mic
roso
ft
Win
do
ws
1
Go
ogl
e
Internet de las cosas
50 Billones de dispositivos
conectados a internet
Soci
al
Med
ia
Inte
l mic
rop
roce
sad
ore
s
500 millones de dispositivos conectados a internet
Algunas estadísticas
JCM-18 All rights reserved UR-Escuela de Administración 18
Basado en: https://www.forescout.com/wp-content/uploads/2016/10/iot-enterprise-risk-report.pdf
Definiciones para IoT
JCM-18 All rights reserved UR-Escuela de Administración 19
Ya sea que se llame IoT, la Internet Industrial o los SistemasCiberfísicos (CPS), el término describe una red descentralizadade objetos (o dispositivos), aplicaciones y servicios quepueden detectar, registrar, interpretar, comunicar, procesar, yactuar sobre una variedad de información o dispositivos de controlen el entorno físico.
Basado en: US National Security Telecommunications Advisory Committee – 2014. Recuperado de: https://www.hsdl.org/?abstract&did=789743
Arquitectura básica para IoT
JCM-18 All rights reserved UR-Escuela de Administración 20
Aplicaciones / Industrial
Analítica/ Negocio social
Conectividad / Habilitación de servicios
Plataformas
Sistemas inteligentes
Acoplamiento industrial
Análisis de negocio y cultura social empresarial
Enlaces y servicios
Dispositivos, redes, habilitación de aplicaciones (provisionamiento)
Sensores y sistemas embebidos
Principios del IoT
JCM-18 All rights reserved UR-Escuela de Administración 21
Los dispositivos conectados en red están instrumentados de tal manera que pueden ser
comunicados individualmente.
Los dispositivos se conectan entre sí a través de una plataforma compartida,
como un servicio en la nube.
La programación y la información del mundo físico permite a los
dispositivos realizar actividades por sí mismos o con otros dispositivos.
Plataforma InteligenciaDispositivo
1 2 3
Basado en: US National Security Telecommunications Advisory Committee – 2014. Recuperado de: https://www.hsdl.org/?abstract&did=789743
Temas clave en IoT
JCM-18 All rights reserved UR-Escuela de Administración 22
Cliente
Industria
Estándares
Comunicaciones
Las normas de IoT y de interoperabilidad evolucionarán
gradualmente.
El enfoque en el cliente cambia del hardware y la tecnología, al software y la tecnología de análisis
La tecnología del IoT es extremadamente diversa y difiere según su aplicación
La seguridad y la privacidad de la información desempeñarán un papel clave. Están surgiendo
tecnologías y prácticas más adecuadas.
IoT
Fundamentos de Ciberseguridad
JCM-18 All rights reserved UR-Escuela de Administración 23
InfoSEC Vs CiberSEC
JCM-18 All rights reserved UR-Escuela de Administración 24
Seguridad de la Información
Ciber seguridad
Seguridad de la Información
Ciber seguridad
Ciber seguridad
Seguridad de la información
Ciber seguridad Seguridad de la Información
I II
III
IV
Apuntes conceptuales sobre CiberSEC
JCM-18 All rights reserved UR-Escuela de Administración 25
Tomado de: ISO 27032 – InformationTechnology- Security Techniques – Guidelinesfor cybersecurity.Tomado de: ALXELROD, W.C (2013) Engineering Safe and Secure Software Systems.
Artech House
Security Safety Security+Safety
“Evitar que elmundoexterior afecteal sistema”
“Evitar que elsistema afecteal mundoexterior”
“Asegurar que elsistema sigaoperando, sin afectarel mundo exterior, apesar de los ataques”
Sistema
Mundo Exterior
Ataques
Sistema Sistema
Ataques
Mundo Exterior
Mundo Exterior
Apuntes conceptuales sobre CiberSEC
JCM-18 All rights reserved UR-Escuela de Administración 26
Tomado de: ALXELROD, W.C (2013) Engineering Safe and Secure Software Systems. Artech House
Security Safety Security+Safety
“Evitar que elmundoexterior afecteal sistema”
“Evitar que elsistema afecteal mundoexterior”
“Asegurar que elsistema sigaoperando, sin afectarel mundo exterior, apesar de los ataques”
Sistema
Mundo Exterior
Ataques
Sistema Sistema
Ataques
Mundo Exterior
Mundo Exterior
Ciberseguridad Empresarial
Es una capacidad empresarial definida paradefender y anticipar las amenazas digitalespropias del ecosistema donde laorganización opera, con el fin de proteger yasegurar la resiliencia de las operaciones y lareputación de la empresa.
Apuntes conceptuales sobre CiberSEC
JCM-18 All rights reserved UR-Escuela de Administración 27
Activar
Adaptar
Anticipar
Inteligencia
Cacería de amenazas
Prototipos y riesgos inteligentes
Juegos de guerra
Inteligencia de amenazas
Nuevos normales Nuevas capacidades
Adaptado de: http://www.ey.com/Publication/vwLUAssets/EY-global-information-security-survey-2014/$FILE/EY-global-information-security-survey-2014.pdf
Entendiendo los ciberataques
JCM-18 All rights reserved UR-Escuela de Administración 28
Absorción ágil de las discontinui-dades tecnológicas
Ciberataques
Cambio de percepción:Incertidumbre e inestabilidad
Activos valiososen línea
Redes digitalesabiertas e
interconectadas
Atacantes sofisticados
Ideas adaptadas de: Kaplan, J., Bailey, T., O’Halloran, D., Marcus, A. y Rezek, C. (2015) Beyond cybersecurity. Protecting your digital business. Hoboken, New Jersey. USA: Wiley.
Ecosistemas digitales
Ciberseguridad en IoT
JCM-18 All rights reserved UR-Escuela de Administración 29
IoT: Riesgos de la convergencia tecnológica
JCM-18 All rights reserved UR-Escuela de Administración 30
Ideas de: Ayala L. (2016) Cyber-Physical Attack Recovery Procedures. In: Cyber-Physical Attack Recovery Procedures. Berkeley, CA.USA: Apress.
Entorno digital
Mundo físico
Sistemas legados sin medidas de seguridad y control avanzadas
Diagnósticos y mantenimiento
remoto
Interconexionescon redes
corporativas
Migrción a redesTCP/IP
Sistemasoperativosobsoletos
Configuracionesinadecuadas de los
proveedores
IoT: Marco de Riesgos de Seguridad
JCM-18 All rights reserved UR-Escuela de Administración 31
Fuente: https://www.iotca.org/wp-content/themes/iot/pdf/IoT-Cybersecurity-Alliance-Demystifying-IoT-Cybersecurity.pdf
IoT: Indicadores de posibles ataques
JCM-18 All rights reserved UR-Escuela de Administración 32
Tomado de: Ayala L. (2016) Threats and attacks detection. In: Cyber-Physical Attack Recovery Procedures. Berkeley, CA.USA: Apress.
IoT: Métodos de ataque
JCM-18 All rights reserved UR-Escuela de Administración 33
Forzar parada del sistemaFalla protocolo industrial: Dispositivo en estado de fallarecuperable mayor.
Descarga remota del código de arranqueFunción del protocolo industrial habilitada
Reinicio del dispositivoMal uso de la función que trae el dispositivo
Bloqueo del dispositivoGenerado como producto de una falla del
protocol industrial
Bloqueo de la CPUEnvío mal formado de comandos del protocoloindustrial: Dispositivo en estado de fallarecuperable mayor.
Reescritura del firmware
Abuso de la capacidad de los protocolosindustriales para escribir datos y archivos
para remover dispositivos
Suplantación del dispositivo
Manipulación de la identificación del dispositivo en la red de control
1
2
3
45
6
7
Con ideas de: Brooks, T. (editor) (2017) Cyber-assurance for Internet of Things. Hoboken, New Jersey. USA: IEEE-John Wiley & Son. 107-108
IoT: Fundamentos de diseño confiable
JCM-18 All rights reserved UR-Escuela de Administración 34
Adaptado de: Donaldson, S., Siegel, S., Williams, C. y Aslam, A. (2015) Enterprise Security. How to build a successful cyberdefense program against advanced threats. New York, USA: Apress. P. 22
Asuma que un atacanteinteligente podría supercar todas las medidas defensivas
Diseñe defensas para detectar y demorar los
ataques
Incluya niveles de defensa para contener los ataques y proveerredundancia en la protección. Use defensas activas para
capturar y repeler losataques después que inician
y antes que tengan éxito.
Axiomaspara el diseño
IoT: Algunos marcos de ciberseguridad
JCM-18 All rights reserved UR-Escuela de Administración 35
IoT Cybersecurity Alliance - https://www.iotca.org/ Online Trust Alliance IoT Trust Framework - https://otalliance.org
IoT: Algunos marcos de ciberseguridad
JCM-18 All rights reserved UR-Escuela de Administración 36
CISCO Securing IoT - https://bit.ly/2zpBpeN ENISA Baseline security recommendations for IoT- https://bit.ly/2Bebzf0
Algunos marcos de ciberseguridad
JCM-18 All rights reserved UR-Escuela de Administración 37
Tomado de: Donaldson, S., Siegel, S., Williams, C. y Aslam, A. (2015) Enterprise Security. How to build a successful cyberdefense program against advanced threats. New York, USA: Apress. P. 29
Algunos marcos de ciberseguridad
JCM-18 All rights reserved UR-Escuela de Administración 38
NIST Cybersecurity Framework -https://www.nist.gov/cyberframework
ISA/IEC 62443 - https://bit.ly/2qBPfqX
Casos recientes: Ciber-inseguridad en IoT
JCM-18 All rights reserved UR-Escuela de Administración 39
CASO Mirai
JCM-18 All rights reserved UR-Escuela de Administración 40
¿Qué es MIRAI?Mirai es una pieza de malware para IoT quebusca enrutadores inseguros, cámaras, DVR y otrosdispositivos de Internet de las Cosas (IoT) quetodavía usan sus contraseñas predeterminadas yluego las agrega a una red de bots, que se usadespués para lanzar ataques DDoS en sitios web einfraestructura de Internet.
AutoresParas Jha (de 21 años de Nueva Jersey), JosiahWhite (de 20 años de edad, Washington) yDalton Norman (de 21 años de Louisiana)fueron acusados formalmente en diciembre de 2017por un tribunal de Alaska con cargos múltiples porsu papel en los ciberataques masivos llevados a caboutilizando la botnet Mirai.
Tomada de: https://www.securityartwork.es/wp-content/uploads/2017/10/Informe_Mirai_2.pdf
Ad
apta
do
de:
Các
eres
, J.
(2
01
7)
Tres
hac
kers
se
dec
lara
n c
ulp
able
s d
e cr
ear
la b
otn
etM
irai
DD
oS
bas
ada
en la
IoT.
Rec
up
erad
o d
e :h
ttp
s://
bit
.ly/2
qvI
zdY
CASO Mirai
JCM-18 All rights reserved UR-Escuela de Administración 41
Fuente: https://bit.ly/2Bebzf0
IoT: Riesgos y retos emergentes
JCM-18 All rights reserved UR-Escuela de Administración 42
IoT: Evolución y retos
JCM-18 All rights reserved UR-Escuela de Administración 43
Contexto de la vulnerabilidad digital
JCM-18 All rights reserved UR-Escuela de Administración 44
El imperativo de las API
JCM-18 All rights reserved UR-Escuela de Administración 45
Con ideas de: Calabro, L., Púrpura, C., Vasa, V. & Perinkolam, A. (2018) El imperativo de API. Desde preocupación de TI hasta mandato de negocios. Deloitte Insights. Recuperado de: https://bit.ly/2HB5I73
Reflexiones finales
JCM-18 All rights reserved UR-Escuela de Administración 46
IoT: La tormenta perfecta
JCM-18 All rights reserved UR-Escuela de Administración 47
Con ideas de: Kranz, M. (2017) Internet of things. Construye nuevos modelos de negocio. Madrid, España: LID Editorial
TI – Tecnología de Información.OT – Operaciones de Tecnología.
IoT
Inicialmente contratación en la nubey ahora computación en la niebla.
Inicialemente monitoreo y seguimientoremoto, y ahora control y manejo de objetos remoto.
Inicialmente mundos separados TI y OT y ahora convergencia de TI y OT con DevOps.
Inicialmente estándares de TI y OT, y ahora incorporación de capacidadesen objetos ciber-físicos.
JCM-18 All rights reserved UR-Escuela de Administración 48
Transformacióndigital
Mayores exigencias de innovación y agilidad para superar lasexpectativas de los clientes.
Convergenciatecnológica
Acelerada integración de tecnologías y usos intensivos de datospara crear experiencias distintas.
Múltiples fuentesde vulnerabilidades
Uso intensivo de ambientes descentralizados, móviles, virtualizados, en la nube y con tecnologías inteligentes.
Evolución de los perfiles de los
atacantes
Mutación acelerada de motivaciones de los atacantes: Monetización de la información.
Interdependenciade proveedores
Mayor dependencia de terceros para asegurar la operación y proteger las información de las empresas y personas.
Ideas tomadas de: Sigma (2017) Cyber: Getting to grips with complex risk. Swiss Re Institute. Economic Research & Consulting. No. 1. Recuperado de:http://institute.swissre.com/research/overview/sigma/01_2017.html
JCM-18 All rights reserved UR-Escuela de Administración 49Imagen tomada de: https://i1.wp.com/www.kachwanya.com/wp-content/uploads/2015/02/CyberattacksExit.jpg
Para continuar reflexionando …
JCM-18 All rights reserved UR-Escuela de Administración 50
Referencia académica:
Cano, J. (2016) Manual de un CISO. Reflexiones noconvencionales sobre la gerencia de la seguridadde la información en un mundo VICA (Volátil,Incierto, Complejo y Ambiguo). Bogotá, Colombia:Ediciones de la U.
Enlace en la página de la Editorial: (Formato Ebook)https://edicionesdelau.com/producto/manual-de-un-ciso-2/
JCM-18 All rights reserved UR-Escuela de Administración
La ciberseguridad en IoT no es sólo unejercicio de implementación deprácticas de seguridad y control, esuna apuesta empresarial quedesarrolla capacidades para defendery anticipar riesgos emergentes en unentorno digitalmente modificado.
Jeimy J. Cano M.
@itinsecure51
Jeimy J. Cano M., Ph.D, CFEProfesor Asociado
Escuela de Administración
Blog:
http://insecurityit.blogspot.com.co
@itinsecure
Ciberseguridad en IoTRetos y riesgos emergentes
“Si el objetivo más alto de un capitán fuera preservar su barco, lo mantendría en el
puerto por siempre”.
Santo Tomás de Aquino
Jeimy J. Cano M., Ph.D, CFE
jeimy.cano@urosario.edu.co
@itinsecure