Por Alexa Lee, Gerente Senior de Política en ITI
“¿Qué tiempo hace hoy en la ciudad de Nueva York?”
La respuesta a esta pregunta, junto con otros flujos de trabajo cotidianos o tareas realizadas por dispositivos inteligentes, es más fácil gracias a Internet de las cosas (IoT), el término utilizado para describir la conectividad a Internet presente en dispositivos cotidianos como altavoces inteligentes, termostatos e incluso aspiradoras.
A medida que aumenta el número de dispositivos IoT en el mercado y los consumidores disfrutan de los beneficios y las comodidades que brindan estas tecnologías, es importante garantizar que estos dispositivos sean seguros y resistentes a posibles ataques maliciosos.
El taller del Instituto Nacional de Estándares y Tecnología (NIST) de esta semana sobre la Línea de Base de Ciberseguridad de IoT es un paso importante, y ITI se complace en participar. El taller reúne a fabricantes de dispositivos IoT, defensores de los consumidores, investigadores de ciberseguridad, funcionarios gubernamentales y líderes de la industria para recopilar comentarios y describir los próximos pasos.
La seguridad es más que solo el dispositivo
Asegurar un dispositivo IoT es un desafío multifacético que exige un enfoque en capas: la seguridad debe abordarse no solo en dispositivos IoT sino también en la infraestructura de red, arquitecturas en la nube, proveedores de borde y cualquier otro elemento de Internet de las cosas que interactúa con esos dispositivos. Hasta ahora, los formuladores de políticas de todo el mundo han propuesto requisitos, certificaciones y programas de etiquetado para dispositivos conectados, mostrando un enfoque desproporcionado en la seguridad de los productos de IoT o en otras partes individuales del ecosistema.
Aunque estos esfuerzos son bien intencionados, no van lo suficientemente lejos como para abordar por completo las preocupaciones de seguridad. Las partes interesadas deben adoptar un enfoque reflexivo y holístico en la gestión de las diversas partes de redes y ecosistemas complejos que comprenden la seguridad global de IoT. Si los componentes del ecosistema solo se abordan de forma aislada, estos esfuerzos de seguridad finalmente fracasarán.
La importancia de un enfoque liderado por la industria
Aunque centrarse exclusivamente en dispositivos no resuelve todos los problemas de seguridad que enfrenta la tecnología IoT, existe la necesidad de desarrollar un consenso sobre las capacidades de seguridad de referencia para los dispositivos que se fabrican, venden y usan dentro de los Estados Unidos. Otros países, como el Reino Unido y Australia, ya han comenzado a identificar capacidades clave de referencia.
ITI recomienda identificar un conjunto común de mejores prácticas y capacidades seguras que sean ampliamente aplicables y estén impulsadas por la demanda del mercado global. Además, el desarrollo de una línea de base de consenso basada en los estándares internacionales existentes y ampliamente respaldada en toda la industria facilitará una colaboración más eficaz entre el gobierno y la industria en la seguridad de IoT, ayudando a habilitar políticas de seguridad de IoT interoperables en todo el mundo.
Evitar la fragmentación regulatoria
Por último, la certificación de seguridad de IoT distinta u otros requisitos que varían significativamente entre los estados de EE. UU. O jurisdicciones extranjeras pueden fragmentar el panorama de seguridad de IoT global. Dicha fragmentación limitaría el crecimiento de un IoT seguro al reducir las eficiencias de escala en el desarrollo, la evaluación y la conciencia del consumidor de los productos de IoT seguros.
Para combatir el entorno político actualmente divergente, la armonización global y la cooperación reguladora son clave. Los encargados de la formulación de políticas y los reguladores deben reforzar la asociación público-privada en temas de IoT para ayudar a identificar soluciones de ciberseguridad y coordinar mejor los muchos esfuerzos de políticas de seguridad de IoT actualmente en curso en los Estados Unidos y entre socios y partes interesadas extranjeras. El compromiso continuo del NIST con el alcance de la industria en el desarrollo de un marco de seguridad de IoT es un excelente ejemplo de esto, al igual que los esfuerzos similares de la Agencia de la Unión Europea para la Ciberseguridad (ENISA) y los gobiernos del Reino Unido y Japón.
Los esfuerzos de política de seguridad que se orientan hacia estos tres resultados clave (un enfoque en el ecosistema IoT más amplio, líneas de base y estándares impulsados por la industria y evitar la fragmentación regulatoria) proporcionarán soluciones duraderas que permitan estándares de seguridad de IoT más efectivos y mundiales y, por lo tanto, mejores en general Seguridad de IoT.
