Un reciente estudio realizado por BI Intelligence pronostica que Internet de las Cosas (IoT) consistirá en 2020 de 24 mil millones de dispositivos conectados a la red. Este formidable crecimiento sugiere cambios dramáticos para la forma en que vivimos, la forma en que las empresas se conectan con los clientes, y los procedimientos que aplican a su gestión. Sin embargo, el mayor problema radica en que IoT no alcanzará su verdadero potencial a menos que su seguridad esté garantizada, y ésta es precisamente la principal barrera para la adopción de IoT.
Forrester pronostica que durante el presente año 500.000 dispositivos IoT se verán afectados por una brecha de seguridad. Esta preocupante estadística pone de relieve el hecho que hoy en día para los atacantes es un procedimiento estándar acceder a los datos o realizar una intrusión suplantando la identidad de un usuario legítimo. La consultora también recalca la importancia de la autenticación IoT; es decir, si usted no está seguro con qué entidad se está comunicando, simplemente no puede proteger los datos potencialmente confidenciales que se comparten, ni las transacciones que se están llevando a cabo.
Las brechas de seguridad pueden tener consecuencias devastadoras, como pérdidas monetarias, filtración de datos confidenciales, incluso alteración de expedientes de salud personal. Las noticias sobre el tema abundan en los titulares internacionales. La mayor brecha de seguridad, de nivel histórico, fue anunciada recientemente por Yahoo, que con una demora de tres años reveló que mil millones de cuentas de sus usuarios habían sido hackeadas en agosto de 2013.
En el mundo de IoT, las brechas de seguridad tienen el potencial de poner en peligro la vida humana. Por ejemplo, un automóvil autónomo intervenido podría causar un accidente mortal. O un equipo de sanidad doméstica, de importancia vital para un paciente, podrían dejar de funcionar. Anteriormente, la principal preocupación solía ser la confidencialidad de los datos; en IoT, la integridad de los datos representa el mayor desafío.
Con IoT surge un gran número de dispositivos, desde pulseras de fitness y hogares conectados hasta sensores electrónicos que miden el nivel de agua en los embalses. Cada uno de ellos tiene su propia identidad digital. Cuando la identidad del dispositivo es conectada a la identidad de un ser humano surge el verdadero valor de IoT. Los beneficios son cuantiosos, ya que los grandes volúmenes de datos generados también pueden ser utilizados para obtener información importante y mejorar la eficacia y experiencia personalizada de cada cliente.
Sin embargo, con el acceso a los datos surge el enigma de la privacidad. Los consumidores han expresado su preocupación sobre quién tiene acceso a los datos, cada vez más personales, que los dispositivos IoT están en condiciones de recolectar, especialmente los aparatos relacionados con la salud y los aparatos de uso doméstico. En un reciente estudio de Altimeter, las preocupaciones por la privacidad presiden la lista de los usuarios al tratarse de dispositivos conectados.
Para las empresas es necesario contar con tecnología que les permita administrar, asegurar y utilizar responsablemente todos estos datos sin violar la privacidad de las personas. Aparte de la logística técnica necesaria para tal administración, las organizaciones deben asegurarse de estar aplicando la normativa legal vigente en todos los dispositivos. También necesitan considerar formas de obtener y cumplir con las preferencias del cliente y, por cierto, obtener su consentimiento en caso de compartir sus datos personales con socios comerciales del ecosistema IoT.
Para abordar con eficacia estos retos se necesita algo más que agregar más seguridad a los sistemas de gestión de acceso e identidad. La gestión de identidad en IoT es diametralmente diferente a la gestión de personal y requiere una solución de gestión de identidad que incorpore, en su esencia, las siguientes cinco características:
1. Cifrado de extremo a extremo que proteja los datos en la red, en el dispositivo, y en todas las etapas del transporte.
2. Rendimiento escalable y capacidad de manejar los enormes volúmenes de datos generados por IoT.
3. Gestión de privacidad, preferencias y consentimiento, para permitir a los usuarios controlar su experiencia IoT.
4. Capacidad de gestionar las relaciones entre los dispositivos y los usuarios durante todo el ciclo de vida.
5. Autenticación adaptativa y gestión de acceso a los datos basada en políticas para un control contextual preciso.
Existe además la oportunidad de habilitar nuevas formas de autenticación de usuarios mediante los distintos dispositivos. El uso del smartphone para autenticación de dos factores es indicativo de esta tendencia.
El teléfono inteligente constituye un potente factor de autenticación porque, para la mayoría de los usuarios, siempre está en su poder y es fácilmente accesible. Sin embargo, esta cualidad de estar estrechamente unido a un usuario es aún más patente para la clase emergente de wearables utilizados para vigilar el estado físico de las personas, su sueño y otras métricas personales.
Cuando se trata de IoT, la seguridad es simplemente demasiado importante para ser tratada como una idea secundaria. Cuando las características de seguridad se agregan como capa a una solución de administración de identidad existente, se sacrifican capacidades importantes. La seguridad de los datos de identidad para los entornos IoT es compleja, por lo que debe ser un componente fundamental.
Sólo estamos explorando la superficie de IoT. para hacer realidad su potencial, es necesario que desde ya entendamos y aplicamos correctamente su seguridad.
Por Hans Zandbelt, senior technical architect, Ping Identity
Versión en español exclusiva para Diario TI
