Revisión sistemática del estándar ISO IEC 30141 2018 como arquitectura de referencia para la segu PDF

Preview

Summary

ISO IEC...

Description

Revisión sistemática del estándar ISO / IEC 30141: 2018 como arquitectura de referencia para la seguridad en entornos IoT.

Angie Katerine Herrera Novoa Dora Mayerli Alarcón Suarez

Trabajo de Grado presentado para optar al título de Especialista en Seguridad de la Información

Asesor: Raúl Barreño Gutiérrez

Universidad Católica de Colombia Facultad de Ingeniería Especialización en Seguridad de la Información Bogotá D.C., Colombia 2019

Agradecimientos Agradecemos a todos los docentes que estuvieron en nuestro proceso de aprendizaje, por los conocimientos brindados, su orientación y paciencia. A nuestro tutor Raúl Bareño por la asesoría brindada a nuestro proyecto, su apoyo, guía y aporte durante la realización del mismo. Damos gracias a nuestras familias, quienes nos apoyaron moral y motivacionalmente para realizar esta especialización, por los valores inculcados y por su incondicionalidad. A todas aquellas personas que de una u otra forma contribuyeron a nuestro crecimiento profesional.

TABLA DE CONTENIDO

I.

INTRODUCCIÓN ................................................................................................................................... 11

II.

GENERALIDADES.................................................................................................................................. 12

III.

OBJETIVOS ....................................................................................................................................... 14

IV.

MARCOS DE REFERENCIA ................................................................................................................ 15

V.

METODOLOGÍA.................................................................................................................................... 23

VI.

PRODUCTOS A ENTREGAR ............................................................................................................... 26

VII.

DESARROLLO DE LA INVESTIGACIÓN............................................................................................... 26

VIII.

CONCLUSIÓN ................................................................................................................................... 83

IX.

RECOMENDACIONES ....................................................................................................................... 85

REFERENCIAS ............................................................................................................................................... 86

LISTA DE TABLAS Tabla 1 ISO 22417 Casos de uso de IoT ..................................................................................................... 19 Tabla 2 Metodología bárbara Kitchenham .................................................................................................. 23 Tabla 3 Palabras Claves .............................................................................................................................. 27 Tabla 4 Estado selección en la identificación de estudios ........................................................................... 33 Tabla 5 Estado de Selección ........................................................................................................................ 38 Tabla 6 resumen de los documentos seleccionados en el análisis ............................................................... 38 Tabla 7 Resultados artículo 1 ...................................................................................................................... 41 Tabla 8 Resultados artículo 2 ...................................................................................................................... 42 Tabla 9 Resultados artículo 3....................................................................................................................... 44 Tabla 10 Resultados artículo 5..................................................................................................................... 47 Tabla 11 Resultados artículo 6..................................................................................................................... 48 Tabla 12 Resultados artículo 7 .................................................................................................................... 50 Tabla 13 Resultados artículo 8..................................................................................................................... 52 Tabla 14 Resultados artículo 9..................................................................................................................... 55 Tabla 15 Resultados artículo 10................................................................................................................... 56 Tabla 16 Resultados artículo 11................................................................................................................... 58 Tabla 17 Resultados artículo 12 ................................................................................................................. 60 Tabla 18 Resultados artículo 14................................................................................................................... 63 Tabla 19 Resultados artículo 15................................................................................................................... 66 Tabla 20 Resultados artículo 16 .................................................................................................................. 67 Tabla 21 Estándares a nivel mundial ........................................................................................................... 77 Tabla 22 Características de un sistema IoT ................................................................................................. 80

LISTA DE FIGURAS Ilustración 1 Cycle de tecnologías emergentes 2018 ................................................................................. 15 Ilustración 2 Evolución del uso de dispositivos IoT .................................................................................. 16 Ilustración 3 Modelo General de conceptos IoT ......................................................................................... 21 Ilustración 4 Búsqueda de Estándar ISO 30141 .......................................................................................... 25 Ilustración 5 Búsqueda del estándar con Criterios ...................................................................................... 26 Ilustración 6 Búsqueda en Google académico "ISO /IEC 30141" ............................................................. 28 Ilustración 7 Exportación Bases de datos .................................................................................................... 28 Ilustración 8 Resultados Motor de búsqueda Scopus .................................................................................. 29 Ilustración 9 Exportación Base de datos ..................................................................................................... 29 Ilustración 10 Criterios de exclusión e inclusión ......................................................................................... 30 Ilustración 11 Logo aplicación Start Lapes ................................................................................................. 31 Ilustración 12 Creación de nuevo proyecto en Start.................................................................................... 31 Ilustración 13 Creación de protocolos ......................................................................................................... 32 Ilustración 14 Extracción de documentos.................................................................................................... 32 Ilustración 15 Distribución de información de las bases de datos. .............................................................. 33 Ilustración 16 Formato de un archivo en Start. ........................................................................................... 34 Ilustración 17 Criterios de inclusión ........................................................................................................... 35 Ilustración 18 Status de documentos ........................................................................................................... 35 Ilustración 19 Data Seleccionada ................................................................................................................ 36 Ilustración 20 Extracción de información ................................................................................................... 36 Ilustración 21 Documentos aceptados y rechazados .................................................................................. 37 Ilustración 22 Documentos seleccionados .................................................................................................. 37 Ilustración 23 Enfoque de los Documentos ................................................................................................ 69 Ilustración 24 Word Cloud........................................................................................................................... 70 Ilustración 25 Herramienta Vosviewer........................................................................................................ 70 Ilustración 26 Creación del proyecto........................................................................................................... 71 Ilustración 27 Selección de formato para importar BD ............................................................................... 72 Ilustración 28 Importación de base de datos .............................................................................................. 72 Ilustración 29 Ocurrencia y palabras clave.................................................................................................. 73 Ilustración 30 Vista general Vosviewer ....................................................................................................... 73 Ilustración 31 Focalización de seguridad de IoT.......................................................................................... 74 Ilustración 32 focalización Sistema de automatización en casas ................................................................ 74 Ilustración 33 Focalización Arquitecturas de referencia ............................................................................. 75 Ilustración 34 Focalización redes globales .................................................................................................. 75 Ilustración 35 Densidad ............................................................................................................................... 76 Ilustración 36 IoT a nivel mundial ............................................................................................................... 82

RESUMEN El continuo avance tecnológico, y especialmente el de Internet de las cosas, el cual sin duda está siendo tendencia a nivel mundial, ha llevado a buscar integrar de manera eficiente las industrias con los progresos tecnológicos, y, aunque este desarrollo ha aportado de manera importante al entorno empresarial, no sé ha priorizado la seguridad de la información que reposa o viaja por este innovador medio, lo cual genera una brecha en cuanto a seguridad, pues los fabricantes se están preocupando en ofrecer sus dispositivos y distribuirlos, sin garantizar la protección de la información personal que está siendo usada por estos dispositivos, que además, contienen en su estructura sensores y actuadores para su funcionamiento los cuales son necesarios para hablar de estructuras IoT. Para garantizar la seguridad, integridad y disponibilidad de la información, la organización internacional de normalización realizó la primera publicación del estándar que proporciona la arquitectura orientada al IoT, sin embargo, de acuerdo a la búsqueda realizada, los estándares IoT existentes a nivel mundial, aún no se tienen como referencia en los entornos empresariales del país, lo que dificulta proporcionar una adecuada protección de la información, y genera una brecha tecnológica importante. Esta revisión Sistemática presenta un análisis que busca entregar como resultado datos que sean útiles para todos aquellos usuarios, diseñadores y desarrolladores que estén interesados en tener sistemas más fiables, seguros y protegidos. La documentación revisada no supera los dos años de antigüedad, y se valida en los buscadores Google Académico y Scopus con el fin de garantizar una revisión acorde a la actual época, de tal forma que los datos presentados no generen resultados inapropiados o con poco valor y acorde a los avances tecnológicos. Para realizar esta validación se usó la metodología bárbara Kitchenham, la cual es la más apropiada para realizar análisis sistemáticos relacionados con la tecnología. Con esta revisión se busca ofrecer una síntesis de información que permita visualizar de qué forma se está aplicando la arquitectura ISO / IEC 30141: 2018 en el mundo, como se visualiza la seguridad, que abarca, entender si esta se está aplicando actualmente en Colombia, de qué forma se está aplicando, que investigaciones hay en curso, cuáles son sus retos y que se espera que pase en ese campo tecnológico. Como conclusión y resultado se puede decir que actualmente existen muchas soluciones que están disponibles para los seres humanos, y otras que se encuentran en desarrollo; los múltiples

beneficios del uso de estos dispositivos junto con sus avances a pasos abocados hacen de esta tecnología una presa fácil para los ciber delincuentes por lo cual el uso de protocolos y normas ayudan cada vez más a tener una interacción más dinámica, amena, pero sobre todo segura al momento de usar estos dispositivos ofreciendo así tranquilidad al momento de conectarlos a internet. El estándar ISO /IEC 30141 proporciona una arquitectura de referencia que además debe complementarse con otros estándares internacionales para garantizar la protección de los datos, sin embargo las industrias a nivel internacional no dimensionan la importancia de aplicar dichas normas en sus organizaciones, lo que dificulta garantizar la seguridad en estos dispositivos; la tarea de las organizaciones internacionales es evangelizar al mundo sobre la importancia de trabajar todos sobre los mismos lineamientos, y proveer estándares compatibles para cualquier lugar del mundo, proveedor o industria, de tal forma que en un futuro cercano todos apliquen los mismos estándares a la hora de realizar implementaciones, diseños, monitoreo, o cualquier otra actividad relacionada con IoT. Palabras clave: IoT, Estándar, Tecnología, Seguridad, revisión sistemática, metodología Bárbara Kitchenham, ISO/IEC 30141

ABSTRAC

The continuous technological advance, and especially that of the Internet of things, which is undoubtedly being a worldwide trend, has led to an efficient integration of industries with technological advances, and, although this development has contributed in an important way To the business environment, I do not know how to prioritize the security of the information that rests or travels through this innovative medium, which creates a security breach, as manufacturers are worrying about offering their devices and distributing them, without guaranteeing the protection of the personal information that is being used by these devices, which also contain in their structure sensors and actuators for their operation which are necessary to talk about IoT structures. To ensure the security, integrity and availability of information, the international standardization organization made the first publication of the standard that provides the IoT-oriented architecture, however, according to the search performed, the existing IoT standards worldwide, even they are not taken as a reference in the business environments of the country, which makes it difficult to provide adequate information protection, and generates an important technological gap. This Systematic review presents an analysis that seeks to deliver as a result data that is useful for all those users, designers and developers who are interested in having more reliable, secure and protected systems. The revised documentation does not exceed two years old, and is validated in the Google Academic and Scopus search engines in order to guarantee a revision according to the current time, so that the data presented does not generate inappropriate results or with little value and according to technological advances. To carry out this validation, the Kitchenham methodology was used, which is the most appropriate for systematic analyzes related to technology. This review seeks to provide a synthesis of information that allows us to visualize how the ISO / IEC 30141: 2018 architecture is being applied in the world, how security is visualized, which encompasses, to understand if it is currently being applied in Colombia, how it is being applied, what research is ongoing, what its challenges are and what is expected to happen in that technological field. As a conclusion and result it can be said that there are currently many solutions that are available to human beings, and others that are in development; The multiple benefits of using these devices

together with their advances at dedicated steps make this technology an easy prey for cyber criminals, so the use of protocols and norms increasingly helps to have a more dynamic, enjoyable interaction, but over all safe when using these devices thus offering peace of mind when connecting to the internet. The ISO / IEC 30141 standard provides a reference architecture that must also be complemented with other international standards to guarantee data protection, however industries at international level do not dimension the importance of applying these standards in their organizations, which makes it difficult to guarantee security on these devices; The task of international organizations is to evangelize the world about the importance of working all on the same guidelines, and provide compatible standards for any place in the world, supplier or industry, so that in the near future everyone will apply the same standards to the time to carry out implementations, designs, monitoring, or any other activity related to IoT. Keywords: IoT, Standard, Technology, Security, systematic review, Methodology Kitchenham, ISO/IEC 30141

I. INTRODUCCIÓN

Gracias al interés de los entes internacionales, y los profesionales que resaltan la importancia de la seguridad de la información en el internet de las cosas, en los últimos años ISO ha intentado proponer formas de proteger los datos de los dispositivos IoT, puesto que en todos los contextos se está hablando de IoT, y las entidades deben ponerse como objetivos generar confianza entre los usuarios con el fin de obtener credibilidad en su entorno, pues este avance ya no corresponde a algo que podría pasar en el futuro, sino a algo que está pasando en el ahora, y el hecho de no mantenerse actualizado, podría significar desaparecer en el entorno empresarial. El IoT se está usando en ámbitos laborales, fabricas, distribución de mercancía, comunicaciones, hogar, entre otros, lo que demuestra que no está ligado a una industria específica, sino que es relevante en cualquier medio. De hecho, el primer dispositivo IoT usado en el mundo se relaciona con la industria bancaria, y se enfoca en el primer cajero automático, el cual fue incorporado en 1974. [1] En el año 2015, de acuerdo con las investigaciones realizadas por GARTNER, ya existían 5 mil millones de dispositivos IoT, y se espera que para el 2020 existan aproximadamente 21 mil millones de dispositivos IoT conectados a la red, y esto, excluyendo teléfonos inteligentes, tabletas y PC, lo que revela la importancia de garantizar fenómeno la seguridad de estos dispositivos antes de que esta tecnología sea algo incontrolable.

El estándar ISO/IEC 30141 es la p...