Internet of thing (IoT) o Internet de las cosas (en español) se refiere a la interconexión digital de dispositivos cotidianos con internet, por ejemplo, imagina que la refrigeradora, la lavadora, el aire acondicionado, etc. envíen información a internet bajo tu supervisión para que tomes una decisión respecto a su comportamiento. Ahora imaginemos que los dispositivos de una clínica como la máquina de atención al cliente para otorgamiento de citas, los dispositivos rayos X, esterilizadores digitales, protesis y hasta marcapasos, envíen información a través de internet y además su comportamiento sea controlado por el usuario. De hecho que la cantidad de información procesada y almacenada será voluminosa, pero a la vez muy vulnerable. Imagínate que un hacker tenga acceso a los marcapasos de los pacientes de un hospital.

Protección innata de los dispositivos IoT

La nivel de construcción interna del dispositivo IoT generalmente comienza de manera madura concentrando su unicidad en un chip, este chip utiliza los protocolos necesarios para acceder a los recursos o hardware del dispositivo, credenciales de acceso a circuitos, entre otros y en algunos casos la contraseña de las credenciales se encuentra embebido con un valor por defecto en el código, esto se debe a que no existen estándares generales para la construcción de estos dispositivos, ni tampoco implicaciones legales por no usarlos. Por lo tanto, si una organización pretende utilizar dispositivos de IoT deberá crear sus propios estándares y normas respecto al uso de los mismos.

Medidas en la organización

Como otros dispositivos de la red, estos suelen ser blancos de ataques bajo la modalidad MiTM (Man in The Middle, Hombre en el medio), por lo que para aumentar la protección será necesario llevar el control de un inventario de los dispositivos IoT dentro de la organización y siempre haciendo calzar este control en el programa de gestión de activos de la organización, además de ello establecer políticas y estándares empresariales respecto a la seguridad de los dispositivos IoT. Si todo esto está gestionado se podrá llevar a cabo una mejor implementación de controles de seguridad. Uno de ellos puede ser el testing tras la adquisición de dispositivos IoT.

Gobierno IoT en la salud

Hasta el momento se ha hablado de manera general, pero enfocándonos en el sector salud, existen datos tan delicados como la de los pacientes, tratamientos, dictámenes de operaciones, medicamentos asignados, historias clínicas, etc. cobran una vital importancia en el ámbito de las IoT debido a sus consecuencias mortales. Por lo tanto para evitar estos riesgos, podemos mencionar de manera general las siguientes medidas: Conocer a tu equipo de gestión de proyectos IoT, los usuarios finales interesados en el uso de dispositivos IoT, la infraestructura de las tecnologías de la información con datos, y el soporte de TI que brindará.

Consejo audit

Como en toda industria se deberá contar con una estrategia de riesgos para controlar las amenazas latentes en la organización, lo preocupante es que la introducción de las tendencias de tecnologías de la información como IoT (no madura aún) escape del control establecido en la organización. Mucho tendrá que ver la regularización obligatoria que establezcan las autoridades estatales o entidades regulatorias al respecto sobre el uso de normas o estándares de seguridad de la información.