Crédito: Shutterstock¿Quién necesita saber «qué», «cuándo» y «cómo» para decírselo? El desafío Existen muchos desafíos para brindar y mantener la ciberseguridad en el mundo conectado de hoy. Si bien los desarrolladores de productos consideran cada vez más la seguridad al diseñar y construir productos, es posible que no siempre comuniquen información crítica de ciberseguridad sobre sus productos conectados. Las brechas de información presentan un desafío para las partes interesadas, especialmente los clientes, que tienen un conocimiento limitado de los procesos, funciones y características de seguridad que protegen los productos, componentes y servicios conectados. La comunicación eficaz es el siguiente paso hacia un ecosistema conectado más seguro. Muchas de nuestras conversaciones sobre productos conectados se centran en la conectividad en el sentido técnico (protocolos, algoritmos, etc.). Promover la confianza entre los participantes del ecosistema y reducir los riesgos de ciberseguridad asociados con el uso de estos productos depende de un tipo diferente de comunicación: el diálogo abierto y el intercambio de información. Esto ayuda a aumentar el conocimiento y mejorar la comprensión de las personas sobre la ciberseguridad de un producto conectado y es una responsabilidad compartida; desde proveedores de componentes de hardware y software hasta desarrolladores de productos, integradores de sistemas, investigadores de seguridad y usuarios finales… cada miembro del ecosistema tiene un papel que desempeñar. Idealmente, los miembros del ecosistema deberían trabajar alineados para mitigar verdaderamente el riesgo, pero todos necesitan información para desempeñar su papel. Comunicarse eficazmente sobre la seguridad también ayuda a mitigar el riesgo y es importante para establecer y mantener la confianza. Por ejemplo, la falta de información sobre las capacidades de seguridad de un producto puede limitar la capacidad del cliente para aprovecharlas. En algunos casos, simplemente no se hace una pregunta (y por lo tanto, la falta de capacidad no se descubre hasta que potencialmente es demasiado tarde). Se aplica la frase “el conocimiento es poder”; saber lo que está disponible es el primer paso para maximizar su valor, y la comunicación se trata de lo que cada audiencia necesita saber. Para considerar los próximos pasos, un marco que alinee el léxico y las expectativas entre las partes podría proporcionar una visión compartida de las mejores prácticas comunes. Todos los públicos podrían beneficiarse de un marco coherente para identificar qué es necesario comunicar, cómo organizar la información y los procesos subyacentes. Las interacciones podrían incluir desarrolladores, fabricantes, proveedores de servicios, integradores de sistemas, investigadores de seguridad, evaluadores de conformidad, reguladores, usuarios finales y… (la lista puede ser muy larga); cada audiencia puede merecer un enfoque diferente. Además, en nuestro mundo interconectado, esta comunicación suele tener una dimensión global, lo que trae consigo variaciones culturales y legales que deben tenerse en cuenta. Por todas estas razones, estamos explorando la idea de un enfoque para crear un Marco de Transparencia en Ciberseguridad para Productos Conectados. Nuestro objetivo sería describir un enfoque estructurado para lograr la comunicación necesaria y adecuada de información relevante sobre ciberseguridad entre los participantes involucrados en la creación, el consumo y el uso de productos conectados. Un marco de este tipo sería una herramienta para compartir información y expectativas en toda la cadena de suministro. Por ejemplo, podría usarse para organizar información e identificar temas clave que deben cubrirse para diversos casos de uso de comunicaciones, como por ejemplo: creadores de productos a clientes; Creadores que se comunican con reguladores, organismos de evaluación de la conformidad y otros terceros que necesitan comprender un producto; y los participantes de la cadena de suministro se comunican con los creadores que utilizan sus componentes. El alcance abarcaría estructura, formato, terminología, proceso y contenido, así como medios de comunicación. La creación de un marco puede ayudar a establecer un léxico y una terminología compartidos para comunicar características y medios para impulsar resultados (reducir riesgos, impulsar resultados de seguridad). En relación con el proceso, el marco podría ayudar a cada participante del ecosistema a definir las partes interesadas, el propósito de la interacción, el modo de comunicación, cómo las comunicaciones pueden respaldarse por medios técnicos y las opciones para implementar la interacción con consideraciones sobre aspectos como el riesgo, relevancia y aplicabilidad. El enfoque marco también podría proporcionar una estructura para establecer mejores prácticas al compartir contenido, como los tipos de información apropiados para las comunicaciones en diferentes niveles de los participantes de la cadena de suministro, el soporte y el uso en el ecosistema de productos conectados. Esto sería amplio y de alto nivel para facilitar la mejora del intercambio de información relacionada con la ciberseguridad en todo el ecosistema del producto (al mismo tiempo que permitiría la personalización, ya que no todos los productos conectados y todos los clientes necesitarán recibir la misma información de la misma manera). NIST SP 800-213A y NIST IR 8259B, que describen capacidades de soporte no técnico para dispositivos IoT, brindan un posible punto de partida para este tipo de discusiones, al igual que los esfuerzos, tanto nacionales como internacionales, que van desde el trabajo global sobre el etiquetado de ciberseguridad de IoT para el consumidor. esquemas a estándares voluntarios como ETSI 303 645 e ISO/IEC 27402 (DIS). Esperamos con interés futuras conversaciones con las partes interesadas sobre este tema tan importante que consideramos fundamental para permitir un ecosistema de productos conectados más seguro. ¿Preguntas o ideas? Si desea opinar sobre este concepto, envíenos un correo electrónico a iotsecurity. [at] nist.gov (seguridad iot[at]nist[dot]gobierno). ¡Nos encantaría saber de usted!