Artículo tomado de: ISO Focus #118.
Como consumidores y usuarios de la tecnología estamos tan absortos en las sorprendentes características que ofrece el Internet de las Cosas que ni siquiera dedicamos un minuto a pensar en lo que esto significa para nuestra privacidad y seguridad. Espiar a extraños al azar es ahora más sencillo que nunca. Todo lo que se necesita es un motor de búsqueda como Shodan – el Google del Internet de las Cosas– que, para poner de relieve el riesgo de esta tecnología, rastrea la red captando imágenes de los dispositivos desprotegidos. El interior de nuestros hogares, nuestras mascotas, incluso nuestros refrigeradores, están a tan sólo un clic de distancia.
El Internet de las Cosas engloba miles de millones de dispositivos inteligentes conectados que intercambian de forma rutinaria volúmenes de datos relativos a nuestra forma de vivir“. Queremos creer en estas tecnologías por todo lo que nos permiten hacer, pero tenemos que ser conscientes de las consecuencias para la seguridad y la privacidad de nuestros datos”, afirmó el profesor Edward Humphreys, Coordinador del Grupo de Trabajo de ISO/IEC dedicado a los sistemas de gestión de seguridad de la información.
La cuestión es que la mayoría de nosotros espera que las empresas y los legisladores hayan tenido en cuenta estos riesgos y hayan hecho algo al respecto. Pero si los clientes no entienden la privacidad de los datos o no demuestran interés por ella, los fabricantes tampoco lo harán porque saben que no vamos a basar nuestras decisiones de compra en esas características; es más probable que compremos una cámara por su aspecto. Una investigación realizada por Consumers International muestra que un comprador medio dedica seis segundos a leer los términos y condiciones antes de marcar la casilla de consentimiento. Siendo así, ¿para qué van a molestarse las empresas?
“En lo que se refiere a la legislación, lo que hacemos en nuestros hogares rara vez cuenta con una protección comparable a la de los datos de una organización”, señaló Pete Eisenegger, un experto en consumo que trabaja en temas de privacidad en los planos internacional y europeo. En un mundo híper-conectado los riesgos son altos. Si no se protege un dispositivo, otros pueden verse afectados.
En 2013, unos piratas informáticos robaron millones de números de tarjetas de crédito de un gran minorista estadounidense, accediendo a sus sistemas a través de la calefacción conectada a Internet. Los dispositivos vulnerables se pueden utilizar para atacar a otros dispositivos. “Esta es la razón por la que hay que insistir una y otra vez en la importancia de usar normas de seguridad y privacidad de la información”, explicó Humphreys.
Las normas como ISO/IEC 27001 e ISO/IEC 27002 proporcionan un lenguaje común para tratar cuestiones relacionadas con el control, el riesgo y la conformidad de la seguridad de la información. ISO/IEC 27031 e ISO/IEC 27035 ayudan a las organizaciones a responder a los ciberataques, repelerlos y recuperarse de ellos de un modo eficaz. También hay normas ISO/IEC que definen mecanismos de cifrado que se pueden integrar en los productos y las aplicaciones para proteger las transacciones en línea, el uso de tarjetas de crédito y los datos almacenados.
La cuestión no es realmente si debemos exponer tanto nuestra vida privada, sino si entendemos las implicaciones de lo que estamos haciendo y si podemos controlar los datos que se recopilan sobre nosotros.
El comité de ISO sobre política de los consumidores (ISO/COPOLCO) está introduciendo estos temas en la agenda de normalización. “El conocimiento, las actitudes y los valores del consumidor con respecto a las necesidades de seguridad y privacidad son una pieza muy importante”, afirmó Bill Dee, representante de ISO/COPOLCO.
ISO/COPOLCO se ha propuesto desarrollar una norma para dar prioridad a la privacidad integrada en el diseño de los productos y servicios, y de esta manera que surjan menos vulnerabilidades que se tengan que resolver a posteriori. “Si pudiéramos desarrollar un proceso de diseño de privacidad inspirado en el ciclo de mejora continua ISO 9001, como ISO 10377 ha hecho ya con la seguridad de los productos, estaríamos dando un gran paso hacia adelante”, añadió Eisenegger.
Así que aunque en la actualidad disponemos de un amplio conjunto de normas de seguridad cibernética, todavía queda mucho trabajo para ISO en el Internet de las Cosas. La familia de normas ISO/IEC 27001 es realmente buena para ayudar a las organizaciones a mantener la información protegida una vez que se ha recopilado. Pero tenemos que desarrollar soluciones dirigidas específicamente a los riesgos relacionados con el IoT. Las normas son una forma eficaz de llevar estos temas a la agenda internacional. Nuestros hogares, nuestras actividades y nuestra información personal están irreversiblemente entrelazados y conectados con los de miles de millones de personas a través de los dispositivos de uso diario. Para mantener nuestra vida a salvo de miradas indiscretas, tenemos que cerrar la puerta y poner un candado en ella.
Consulta el artículo completo en: https://www.iso.org/iso/es/isofocus_118.pdf