Las posibilidades de conducir a las organizaciones y gobiernos hacia una exitosa transformación digital

Daniel Raskin, vicepresidente senior, ForgeRock

Para ser honestos, la Internet de los Objetos (IoT) está resquebrajada desde el punto de vista de la seguridad. Los ejemplos de alto perfil acerca de las enormes fallas de seguridad de la IoT incluyen los siguientes:

Vehículos: En julio pasado un hacker aparentemente tomó el control del Jeep Cherokee de un periodista y cortó la transmisión del vehículo mientras estaba en movimiento.

Equipos domésticos: En enero de 2014, Proofpoint publicó un reporte revelando lo que algunos califican como el primer ataque contra la IoT relacionado con equipos domésticos conectados a Internet. La campaña global de ataques, que incluyó unos 100,000 dispositivos de consumo conectados, como routers, televisores y por lo menos un refrigerador, envió más de 750,000 emails maliciosos dirigidos a empresas e individuos en todo el mundo. En muchos casos, los hackers pudieron controlar esos dispositivos porque sus dueños utilizaron contraseñas predeterminadas que dejaron los dispositivos expuestos en redes públicas.

Dispositivos médicos: En agosto la FDA alertó que una bomba de infusión Hospira Symbiq conectada a Internet era vulnerable a ataques y recomendó descontinuar su uso porque un dispositivo comprometido podía permitir que un atacante controlara el dispositivo y alterara la dosis suministrada.

Cámaras de video en el hogar: En noviembre se lanzó un sitio web que daba acceso a más de 70,000 cámaras de seguridad no protegidas en 256 países. Cualquier persona en el mundo estaría en capacidad de observar en tiempo real las oficinas y hogares de la gente, incluso los dormitorios. Lo que hizo que ese hackeo fuera tan fácil de ejecutar era que, al igual que en el ataque sobre equipos domésticos referido arriba, nadie se preocupó por cambiar las contraseñas predeterminadas cuando instalaron sus cámaras de “seguridad”.

Fueron blanco de otros hackeos de IoT los teléfonos y televisores inteligentes, termostatos, refrigeradores, routers en el hogar, y también impresoras. En Google usted puede escribir las palabras “IoT” y “Hack”, y encontrará casi un millón de resultados que incluyen esos ejemplos y otros más. Si usted es dirigente de una organización que quiere adoptar dispositivos IoT como un medio para ofrecer nuevos servicios a los clientes, ha de preocuparse seriamente por estas estadísticas. Según la firma de análisis de la industria Gartner, a fines de 2015 se utilizaban 4,900 millones de esos “objetos” conectados y a menudo desprotegidos. Y se piensa que esa cifra llegue a 25,000 millones para 2020.

Los negocios y gobiernos que quieren añadir la IoT a sus ecosistemas digitales como parte de una transformación digital, deben considerar si su plataforma de identidad puede manejar los desafíos que conlleva la IoT. La única forma de proteger los miles de millones de dispositivos conectados, y de gestionar los miles de millones de relaciones digitales que conlleva la transformación digital es con una plataforma de gestión de identidad digital creada para la escala de la IoT: asegurar la IoT, entender el contexto y promover la privacidad.

Asegurar la IoT

La IoT ha puesto en línea miles de millones de nuevos usuarios, servicios de nube y dispositivos conectados. Los sistemas tradicionales de identidad no fueron diseñados para gestionar relaciones digitales a tan gran escala, por lo que han dejado las nuevas iniciativas IoT vulnerables ante ataques maliciosos.

La solución para las organizaciones digitales es seleccionar una plataforma de identidad que sea flexible, escalable y capaz de conectar las identidades de los usuarios, los dispositivos y los servicios de nube en un ecosistema digital. La habilidad para gestionar miles de relaciones dentro de un ecosistema de identidad digital permite que las organizaciones registren usuarios, servicios de nube y dispositivos conectados, autoricen y desautoricen su acceso a datos, y apliquen políticas de seguridad y personalización.

Tan solo hemos arañado la superficie de lo que puede hacer la Internet de los Objetos. Los dispositivos conectados ya están ayudando a los negocios y gobiernos a vincular de forma segura los mundos físico y digital. Los gobiernos pueden usar sensores inteligentes para gestionar el flujo de tráfico, mientras que los negocios pueden crear dispositivos IoT para conectarse, por ejemplo, con hogares inteligentes. La identidad es la fuerza impulsora tras el uso de la IoT para mejorar las vidas a un nivel personal, institucional y cívico. En todos estos sectores, la plataforma correcta de identidad le permitirá a las organizaciones prestar servicios a miles de millones de dispositivos y objetos conectados de manera segura y escalable.

Entender el contexto

Los continuos hackeos de sistemas corporativos y de gobierno destacan la enorme amenaza de los ataques digitales y las violaciones de datos. Las instituciones confrontan significativas consecuencias financieras, legales y de reputación si los datos personales de los usuarios se filtran al público o si son hackeados por cibercriminales. Las relaciones cultivadas durante años se pierden en segundos cuando queda comprometida la confianza de los clientes o ciudadanos. La seguridad para las organizaciones digitales tiene que ir más allá de la simple comprobación de nombre de usuario y contraseña. La IoT es particularmente vulnerable porque todavía están estableciéndose los estándares de seguridad e identidad para los dispositivos conectados.

Los negocios y gobiernos tienen que estar en capacidad de extender la identidad digital a todos los dispositivos IoT con el fin de asegurar sus ecosistemas digitales. La plataforma correcta de identidad digital proporciona una seguridad permanente en todos los usuarios, dispositivos y servicios de nube. Las credenciales ya no bastan para asegurar la identidad. Ahora se requiere el contexto para comprender la verdadera naturaleza de la interacción digital. ¿El cliente suele conectarse desde Noruega? ¿Tiene un dispositivo vestible que tiene permiso para a sus datos de salud? ¿Aproximadamente a qué hora es que se produce usualmente el inicio de sesión, y qué tipo de sistema utiliza? Las interacciones de los clientes y los ciudadanos deben ser monitoreadas constantemente.

Además de utilizar indicios contextuales para evaluar el comportamiento del usuario, la identidad del usuario y los derechos de acceso deben ser verificables a través de SMS, e-mail, preguntas de seguridad, o biometría. Si se detecta un comportamiento sospechoso, pueden asegurarse los datos de usuario.

Proteger los datos personales es esencial para mantener la confianza de los clientes y los ciudadanos. Con miles de millones de dispositivos IoT conectándose a Internet y con incontables relaciones digitales desarrollándose, todas las identidades deben autenticarse continuamente en el ecosistema digital.

Evaluación constante de los riesgos

Para elevar la seguridad, los negocios y gobiernos deben considerar constantemente el contexto de las interacciones de los usuarios dentro de sus ecosistemas digitales. Mediante el control permanente del contexto, las organizaciones pueden crear perfiles adaptativos para los usuarios, clasificando el riesgo de una dirección IP, ubicación, tiempo de inicio de sesión, y otros indicios contextuales sobre el usuario, con el fin de generar una puntuación de riesgo.

Las puntuaciones más altas de riesgo accionarán mayores medidas de seguridad y requerirán autenticación multifactor. El puntaje de riesgo también puede hacer que los usuarios verificados accedan con más facilidad a los servicios digitales al reducir la seguridad cuando el riesgo es bajo. Si el usuario tiene una puntuación de bajo riesgo y se conecta desde una ubicación reconocida en una dirección IP corporativa, puede que incluso ni necesite ingresar una contraseña.

La tecnología avanzada que va aprendiendo en base al conocimiento puede aplicarse también con el tiempo para crear un perfil de riesgo más completo del usuario mediante el análisis de su comportamiento, como puede ser la forma de teclear, ganando así más comprensión de los hábitos y patrones del usuario. Con ese conocimiento del comportamiento típico del usuario, los negocios están en mejor capacidad de responder con medidas de seguridad para el usuario incrementadas o reducidas en tiempo real. Para proteger a los negocios y gobiernos de hackeos y violaciones, la seguridad continua proporciona formas adaptativas para mitigar el riesgo, lo que es un requisito en el actual ecosistema digital.

Promover la privacidad

Los negocios y gobiernos se apresuran a proteger la privacidad, ya que un creciente número de usuarios, servicios de nube y dispositivos conectados están conectándose a Internet. La IoT ha conducido a una explosión de datos de usuario, y obtener y compartir esa información es un componente fundamental de las organizaciones digitales exitosas. Sin embargo, si la relación entre la organización y el usuario no es segura y confiable, los clientes y ciudadanos no van a compartir su información. Las organizaciones perderán una valiosa visión sobre la historia, gustos y preferencias del usuario, lo cual es crucial para crear experiencias personalizadas demandadas por los clientes y ciudadanos.

Las organizaciones tienen que crear una relación digital de confianza con sus usuarios, que priorice la privacidad y el consentimiento cuando se comparten datos personales. Como mencionamos anteriormente, una violación de los datos de los clientes o ciudadanos puede conllevar pérdida de ingresos y una reputación dañada. Los negocios y gobiernos que crean con éxito ecosistemas digitales, y empoderan a los clientes y ciudadanos para compartir los datos, obtendrán a su vez importante inteligencia sobre los usuarios. Las organizaciones digitales deben seleccionar una plataforma de identidad que sea capaz de establecer relaciones seguras, fiables y transparentes entre los usuarios, los servicios de nube y los dispositivos conectados.

Esa plataforma debe proporcionarle a los clientes y ciudadanos un control sobre sus datos personales con acceso gestionado por el usuario. Eso le proporciona a los clientes y ciudadanos la capacidad para determinar qué usuarios, servicios de nube y dispositivos conectados pueden acceder a sus datos, por cuánto tiempo y bajo qué condiciones. Los ciudadanos puede autorizar compartir datos desde su hogar conectado con empresas de servicios públicos, mientras que los consumidores pueden darle acceso a sus vehículos conectados, por ejemplo, a sus preferencias musicales. La identidad le permite a las organizaciones lograr una transformación digital y desarrollar productos y servicios nuevos e innovadores en relación con la IoT.

Es fundamental que las organizaciones adopten la IoT para desarrollar una plataforma de identidad digital preparada para enfrentar los retos que supone la ampliación de los ecosistemas digitales a millones de dispositivos conectados. La identidad es la clave para el éxito de la transformación digital que permite que los negocios y gobiernos aprovechen de forma segura la Internet de los Objetos.