En un mundo totalmente conectado en el que las personas no estén controlando los procesos de intercambio de información que se produzcan entre dispositivos de forma autónoma, Machine to Machine, surge la pregunta inevitable de quién y cómo vigila la seguridad de los datos y, especialmente en servicios delicados que afectan a la salud y las vidas de los usuarios como en eHealth o transportes, es necesario tener previsto como desarrolladores que los equipos han de estar a prueba de incidentes y por supuesto, de intrusos. Hablamos de servicios personales cotidianos como los weareables o la domótica, pero también de sectores empresariales como la Industria 4.0.
Según explican los responsables del proyecto DIAMONDS promovido por la Unión Europea en el programa Eureka: ”Nueve fallos de seguridad de software de cada diez son causados por defectos de software. Por lo general, un pirata informático aprovecha una vulnerabilidad que debería haber sido descubierto durante las pruebas de software tan pronto como sea posible en el proceso de desarrollo,» citando al Dr. Ina Schieferdecker del Instituto Fraunhofer de Alemania FOKUS. «El problema es que la complejidad de estos sistemas, la Open Innovation y la naturaleza dinámica hace que sea difícil de probar. Es extremadamente difícil evaluar cuáles serán los riesgos de seguridad de un nuevo sistema, o probar la seguridad de un sistema cuando está listo para desplegarse.»
Como resultado, concluyen, el mercado para las pruebas de seguridad se espera que llegue a € 4.5 mil millones para el año 2019, duplicando su tamaño en sólo cinco años, sobre todo en la automatización de pruebas de seguridad.
Este mercado, sin embargo, está dominado por grandes empresas de Estados Unidos. El proyecto europeo DIAMONDS ha colocado las pruebas de seguridad de software en una base más sólida y ayudado a varias PYME europeas a desarrollar nuevos productos y servicios.
Buscando el estándar de seguridad IoT
El proyecto auspiciado por la Unión Europea reunió a 22 expertos industriales y científicos de seis países para desarrollar un nuevo paradigma de pruebas de seguridad y la metodología, y demostró con éxito y lo evaluó en ocho localizaciones industriales. “La seguridad del software no es un problema con una única solución. Es un campo demasiado complejo» —dice el doctor Schieferdecker— «En lugar de ello, hemos desarrollado un nuevo paradigma, conocido como pruebas de seguridad basado en modelos, además de una amplia gama de métodos de automatización de pruebas, tras lo cual testamos esas innovaciones a través de los estudios de casos presentados por los socios del proyecto de banca, telecomunicaciones, automoción y otros sectores «. Varios documentos de normalización han sido adoptados por el Instituto Europeo de Normas de Telecomunicaciones, por ejemplo, y se han remitido a los organismos internacionales de normalización. Si quiere saber más sobre el proyecto del clúster puede descargar el PDF.
Cómo participar en una Internet of Things más segura
Open Web Application Security Project —Internet OWASP— es una plataforma colaborativa diseñada para ayudar a los fabricantes, desarrolladores y consumidores a comprender mejor los problemas de seguridad asociados con la Internet de los Objetos, y para permitir a los usuarios en cualquier contexto tomar mejores decisiones de seguridad en la construcción, implementación o evaluación de las tecnologías de la IoT.
El proyecto busca definir una estructura de varios sub-proyectos de M2M, tales como áreas de ataque, pruebas y consejos sobre vulnerabilidades máximas.
Un proyecto OWASP es un conjunto de tareas relacionadas que tienen una hoja de ruta y los miembros del equipo definidos. Los líderes del proyecto OWASP son responsables de la definición de la visión, la hoja de ruta, y tareas para el proyecto. El líder del proyecto también promueve el proyecto y construye el equipo. OWASP tiene actualmente unos 89 proyectos activos, y nuevas aplicaciones de proyectos se presentan cada semana.
¿Quién debe iniciar un proyecto de OWASP? Para sus promotores, deberían implicarse en el proceso los Desarrolladores de aplicaciones, Software Architects, Responsables de Seguridad TI, los que le gustaría el apoyo de una comunidad profesional mundial para desarrollar o probar una idea y cualquier persona que desee tomar ventaja de la organización profesional de los conocimientos que OWASP tiene que ofrecer.
Nuevos entornos, nuevos desafíos
El top ten de vulnerabilidad de las redes y dispositivos conectados a Internet de las Cosas establecido por los miembros de OWASP y para los que hay que buscar soluciones de seguridad, son:
- Interfaces web inseguras
- Insuficiente autenticación/autorización
- Redes inseguras
- Falta de encriptado
- Preocupaciones sobre privacidad
- Inseguridad en la nube
- Inseguridad en dispositivos móviles
- Insuficiente configuración de seguridad
- Inseguridad del firmware/software
- Acceso físico a los dispositivos
[youtube]https://youtu.be/50O6FfdRebw[/youtube]