Dispositivos médicos: Introducción

Download PDF

¿Sabemos cómo empezó la historia de la medicina? Pues se puede decir que la historia de la medicina tal y como la conocemos actualmente, comienza con Hipócrates, que fue el primer gran médico que vivió en Grecia hace 2.400 años y se refieren a él como el <<padre de la medicina moderna>>. [1]

Hasta hace unos trescientos años, la ciencia médica siguió siendo casi la misma de los antiguos. El hombre conocía muy pocas cosas sobre su cuerpo e ignoraba las verdaderas causas de muchas de sus enfermedades.

Afortunadamente, estamos viviendo una gran revolución de la tecnología y junto con ello, el progreso de la medicina. Es un área que ha evolucionado completamente y estos avances tecnológicos son particularmente necesarios para curar, controlar e incluso prevenir muchas enfermedades. Asimismo, dispositivos médicos sofisticados son capaces de hacer un diagnóstico preciso y transmitir información importante sobre el paciente, así como buscar el bienestar general de toda la población.

Pero ¿a qué se le llama un dispositivo IoMT?

La IoT de la salud o Internet of Medical Things es el conjunto de aplicaciones o dispositivos médicos que digitalizan y transforman la atención sanitaria. [2]

Estos dispositivos IoMT están ganando más terreno en el sector salud y cada vez cobran mas relevancia al desempeñar nuevas y valiosas tareas.

El aumento de estos dispositivos médicos electrónicos y portátiles, está mejorando en gran medida los resultados de los pacientes y reduciendo los costes sanitarios. El hecho de modelar pacientes “conectados” será un factor crítico en el continuo éxito de este campo. La demanda de los dispositivos médicos conectados está teniendo un crecimiento exponencial y se espera que alcance los 20.000 millones de dispositivos el año 2020. [3]

Esta nueva forma de gestionar la salud y sus datos está transformando las instituciones y centros médicos ahorrando costes, mejorando su rentabilidad, reduciendo el tiempo de espera y, sobre todo, mejorando la atención y experiencia del paciente.

Las aplicaciones principales de la IoT de la Salud son: [4]

  • Telemedicina: permite la prestación de servicios clínicos a distancia mediante infraestructuras de telecomunicación e intercambio de datos entre distintos centros médicos, también la monitorización del paciente en tiempo real y un ahorro de tiempo y movilidad.
  • Wearables y Big Data:permite medir y monitorizar los datos vitales en tiempo real y análisis de los movimientos corporales u órganos del cuerpo humano.
  • Inteligencia artificial:permite acumular datos que permitan tomar decisiones más exhaustivas en beneficio de la medicina y ofrecer mejores tratamientos para los pacientes.
  • Drones: permite actuar como agentes de refuerzo en emergencias sociales y sanitarias de difícil acceso u operaciones de logística.
  • Realidad aumentada:ver diagnósticos y procedimientos en tiempo real para aprender nuevas habilidades y expandir los conocimientos entre profesionales del sector.
  • Acceso remoto: permite controlar la condición del paciente en forma remota para que ambas partes puedan pasar menos tiempo en el hospital. [5]

 

Medicine doctor hand working with modern computer interface as medical concept

 

Pero ¿Solo hay que pensar en los beneficios de Internet of Medical Things (IoMT) y en las aplicaciones que tienen? Hay que tener en cuenta también los inconvenientes y en los riesgos que tienen estos dispositivos.

Todos los dispositivos que estén conectados a Internet o al servidor de un computador, dicho dispositivo y los datos que contiene y recopila, son también vulnerables a un ciberataque, es decir, los usuarios de este sistema se arriesgan a que sus datos sean robados por hackers. [6]

Por nombrar un caso, el año pasado un ataque de ransonware como el WannaCry afectó negativamente a algunos sistemas informáticos hospitalarios en el Reino Unido y dio lugar a la cancelación de cirugías y al cierre de quirófanos.  [7]

Asimismo, he estado leyendo sobre un estudio de Zingbox, una empresa de ciberseguridad de IoT, en el que cuenta que muchas de las vulnerabilidades del sistema de IoMT, concretamente un 41% de las alertas de seguridad, ocurren debido a errores humanos.

Por lo que las organizaciones medicas deberían aumentar su inversión en la seguridad a medida que conecten cada vez más dispositivos de IoMT, ya que una vez que se puede acceder a un dispositivo médico a través de Internet existe una variedad de riesgos a tener en cuenta.

Por último, personalmente pienso que los dispositivos IoT en el sector de la medicina, tiene muchos beneficios, pero es esencial que los dispositivos sean seguros.

Continuará ….

 

 

Referencias:

[1] Hipócrates. Acceso el día 7 de octubre del 2018.

https://viviendolasalud.com/salud-y-remedios/hipocrates-de-cos

[2] ¿Qué es IoMT y cómo cambiará nuestras vidas? Acceso el día 8 de octubre del 2018.

http://www.sendastartup.com/es/actualidad/que-es-iomt-y-como-cambiara-nuestras-vidas

[3] Dispositivos Médicos y Portátiles. Acceso el día 8 de octubre del 2018.

https://www.ansys.com/es-es/campaigns/internet-of-things/wearables-and-medical-devices

[4] ¿Que es la IoMT? Acceso el día 9 de octubre del 2018.

https://blog.kiversal.com/que-es-la-iomt/

[5] 3 oportunidades del IoT en dispositivos médicos. Acceso el dia 9 de octubre del 2018.

http://www.clubdeinnovacion.com/bloginn/3-oportunidades-del-iot-en-dispositivos-m%C3%A9dicos-parte-1

[6] El gran desafío del IoT en dispositivos médicos. Acceso el día 9 de octubre del 2018.

http://www.clubdeinnovacion.com/bloginn/el-gran-desaf%C3%ADo-del-iot-en-dispositivos-m%C3%A9dicos-parte-2

[7] IoT: ventajas y desventajas en el sector salud. Acceso el día 9 de octubre del 2018.

https://www.revistaneo.com/articles/2018/02/27/iot-ventajas-y-desventajas-en-el-sector-salud

IoT, ¿más riesgos que beneficios?

Download PDF

Hace un año presenciamos como la red Mirai[1] formada por dispositivos IoT fue utilizada para realizar un ataque DDoS que dejo sin servicio a un gran proveedor de servicios y de esta manera afecto a grandes páginas web como Reddit o Spotify. Este es solo un ejemplo de las maldades que se pueden conseguir al aprovecharse de las vulnerabilidades que los dispositivos IoT tienen. Estos dispositivos, en algunos casos, están todavía en un estado de madurez muy temprana por lo que crean algunos riesgos en las empresas en las que son colocados. Por ejemplo, tanto en una empresa como en una casa, el nivel de seguridad con el que cuenta un ordenador de sobremesa no se puede comparar con el que dispone un termostato. Esto hace que estos dispositivos se sitúen en una posición muy anterior a los ordenadores tradicionales de hoy en día y que les sea mucho más fácil de vulnerar a las personas que deseen hacerlo. ¿Y cuáles son estos riesgos?

En esta sociedad en la que la información es la moneda de cambio, el primer miedo que tienen las empresas es que esta pueda ser robada, es aquí donde los IoT pueden jugarles una mala pasada. Podemos encontrarnos enemigos en dispositivos de los que nunca sospecharíamos, como puede ser el caso de las impresoras multifunción[2]. Desde hace ya bastantes años, estos dispositivos están conectados a la red de manera que, las personas autorizadas para ello puedan imprimir desde su puesto de trabajo sin que la impresora este físicamente conectada a su ordenador. Si nos paramos a pensar un poco ya podemos deducir un gran problema en este modelo, el robo de información en el proceso de enviar los documentos a la impresora. Los empleados de una empresa tendrían muy sencillo acceder a la configuración de la impresora, si conocen de las credenciales, par de datos que en muchas organizaciones y hogares sigue siendo el predeterminado, y añadir una redirección a su carpeta de los documentos que se envían a la impresora.

Por otra parte, también podemos temer de los vehículos de empresa. Si nuestra empresa subcontrata a otra para adquirir los vehículos durante un tiempo específico y tienen algún tipo de sistema inteligente, el robo de datos puede darse de varias maneras. Los coches, al conectarnos a ellos mediante nuestro smartphone, nos solicitan varios permisos para que puedan desarrollar sus funciones. Es muy bonito pensar que nuestro coche es totalmente seguro y que no va a escuchar las llamadas que realizamos por las manos libres ni guardar un registro de los mensajes y puntos GPS en los que nos hemos detenido.

Tampoco podemos olvidarnos del riesgo que existe de que las personas y los equipos sufran daños físicos. En este ejemplo nos encontramos con un termostato controlado por una aplicación que es vulnerada y cae en manos de gente que no debería. Si el aire acondicionado está colocado en un armario de servidores es muy fácil apagarlo, o activar el modo de calor para que los servidores se quemen y queden inhabilitados. Ahora, si cambiamos el armario de servidores por un despacho con cerradura controlada vía wifi, que también es vulnerada, el daño puede ser aún mayor.

También nos podemos encontrar con otros riesgos como la posibilidad de que nuestros dispositivos sean controlados desde fuera de nuestra organización como fue el caso de R. Martin[3]. Martin compro un dispositivo que le permitía controlar la puerta del garaje a demanda desde su smartphone. Al ver que la aplicación no le funcionaba, decidió colocar comentarios en la página de Amazon y el foro de la herramienta. Al ver la mala educación de este usuario el creador de la herramienta decidió bloquear ese dispositivo de los servidores, por lo que quedó inutilizado.

Para terminar, nombrar un par de usos más que se han hecho de los dispositivos IoT para fines no correctos. Como ya he nombrado al principio, los dispositivos se pueden utilizar para ser añadidos a redes zombis desde las que lanzar posteriormente ataques DDoS. También se pueden crear puertas traseras a otros dispositivos al conseguir acceder a uno de los que está dentro de la organización, en este caso, el eslabón mas débil de la cadena, el dispositivo IoT menos experimentado.

 


[1] <<El Internet de las Cosas fue usado para el último gran ataque DDoS y no podemos hacer nada para impedirlo>> HiperTextual, acceso el 12 de Noviembre de 2017, https://hipertextual.com/2016/10/mirai-ddos-internet-cosas

[2]<<¿Sabías que hasta las impresoras necesitan medidas de ciberseguridad?>>, Incibe, acceso el 12 de Noviembre de 2017, https://www.incibe.es/protege-tu-empresa/blog/sabias-las-impresoras-necesitan-medidas-ciberseguridad

 

[3]<<Los riesgos del IoT: un vendedor inutiliza la puerta del garaje de un cliente por una opinión negativa en Amazon>> Gizmodo, acceso el 12 de Noviembre de 2017, http://es.gizmodo.com/los-riesgos-del-iot-un-vendedor-inutiliza-la-puerta-de-1794002365

<<La internet de las cosas llega a las empresas: estos son los riesgos que la acompañan>> Panda Security, acceso el 12 de Noviembre de 2017, https://www.pandasecurity.com/spain/mediacenter/seguridad/la-internet-las-cosas-llega-las-empresas/

<<IoT: riesgos del internet de los trastos>>, Incibe, acceso el 12 de Noviembre de 2017, https://www.incibe.es/protege-tu-empresa/blog/iot-riesgos-del-internet-los-trastos

Medios sociales y networking desde una perspectiva corporativa – Riesgos

Download PDF

Hola a tod@s!

Hasta ahora hemos analizado el contexto y la relevancia de la social media para sobre todo las empresas, pero también para individuos. Somos conscientes de la importancia de las redes sociales y el networking, sin embargo, no tenemos del todo claro los riesgos a los que nos enfrentamos en caso de no controlarlas adecuademente. A lo largo de este post abordaremos el tema de los riesgos: ¿A qué nos enfrentamos exactamente?¿Quién o qué supone un riesgo?¿Cuánto pueden dañarnos? Son preguntas que deberíamos hacernos y a lo largo de esta entrada trataremos de responder. La idea es identificar los riesgos y clasificarlos en base al impacto que puedan tener. De esta forma tendremos una idea clara y podremos en el siguiente post dilucidar las herramientas adecuadas para evitar estos riesgos.

[Read more…]

Mobile Connect

Download PDF

En el post anterior hablaba de los diferentes riesgos y amenazas que existen y como afectaban a las organizaciones. Además, durante los anteriores posts hemos estado viendo como las contraseñas son una de las cosas más complicadas, ya que los usuarios pueden abandonar o dejar de utilizar los servicios que ofrece una compañía por el simple hecho del olvido de las mismas o por considerar que son poco seguras.

En el apuro por abrir nuevos canales digitales, las empresas no pueden darse el lujo de perder de vista la necesidad de identificar y conectarse con aquellos individuos que usan una enorme cantidad de dispositivos móviles. El dominio de las identidades digitales puede transformar la posición de una organización en la economía digital. La simple verdad es esta: las empresas que logren aprovechar el tema de la identidad podrán sacar poderosos productos y servicios con más rapidez y efectividad que las que no lo logren. Un estudio de Oracle descubrió que casi dos tercios (64%) de los encuestados dice quehero-mobile_connect los canales digitales son altamente importantes para los ingresos de sus compañías (el 27% piensa que son fundamentales para la misión y el 37% que son muy importantes). 72% dice que el tema de la seguridad es el principal peligro para manejar la identidad personal y solo el 19% está muy bien preparado para cumplir con los requisitos de seguridad. Permitir que los clientes controlen sus propios datos de identidad es considerado como una medida altamente eficaz para el 48% de los adoptantes. [1]

Según diferentes líderes en seguridad biométrica, para 2020 las contraseñas desaparecerán en países que realicen altas inversiones en mecanismos robustos de seguridad. [2] Y según la Asociación de operadores móviles y compañías relacionadas (GSMA), actualmente los gobiernos y empresas están buscando una autenticación más fuerte para reducir los riesgos, especialmente en los dispositivos móviles. Cuentan con un programa llamado Vision 2020 que tiene como objetivo encontrar una solución de autenticación basada en la red móvil para abolir el uso de contraseñas y dar paso a la autenticación digital desde dispositivos móviles. [2] Según datos de GSMA, el 87% de las personas abandonan los sitios web cuando se les pide que se registren, el 40% admite haber utilizado la función de “recuperar contraseña” al menos una vez al mes, y el 83% de los usuarios están preocupados por el uso de su información personal cuando acceden a Internet o a las apps. [3]

El Grupo de Trabajo Técnico y Terminales (TECT) de GSMA Latino América se reunió en marzo del año pasado en Río de Janeiro, Brasil, y sirvió como catalizador para seguir actualizando a los operadores móviles en los temas técnicos que la GSMA impulsa a nivel global. El encuentro atrajo a más de 60 14635686191830ejecutivos de las áreas de las operadoras y los principales fabricantes del ecosistema móvil latinoamericano. Se habló sobre distintos temas, pero el que a nosotros nos importa es el seminario de servicios de identidad, en el cual se dio a conocer el Mobile Connect. Se trata de un servicio de autenticación que los operadores han lanzado en todo el mundo que pretende dar una alternativa a los numerosos usuarios y contraseñas del mundo digital. Además, se revisaron las evoluciones del servicio para dar servicios de autorización, atributos, pagos o identidad. [4]

Hoy en día muchas compañías telefónicas ofrecen el uso de esta tecnología de una forma gratuita y segura, simplemente tendrás que recordar tu número de teléfono para poder loguearte en todo tipo de páginas webs y apps, sin necesidad de recordar contraseñas. [5]

 

La inquietud que me surge es que si los mecanismos de autenticación más seguros son los biométricos (huellas, voz, etc.) y los menos seguros los basados en “algo que tú sabes o tienes” (contraseñas, tarjeta de proximidad, etc.). ¿Cómo sabemos que este método es seguro, si se trata de un mecanismo de autenticación basado en algo que tú tienes (el móvil)? Es decir, si en algún momento pierdo el móvil o me lo roban, pierdo esa seguridad y cualquiera podría entrar a cualquier portal que pueda activar con mi dispositivo. ¿No debería tener una estrategia de doble autenticación? En cualquier caso, me parece una buena idea siempre que las páginas que necesiten un grado más elevado de seguridad lo combinen con otros mecanismos de autenticación.


Referencias

[1] Mercado. <<El gran problema de la identidad digital>>. Acceso el 31 de octubre de 2017. http://www.mercado.com.ar/notas/8019653

[2] Reporte digital. <<Autenticación digital, la tendencia que revoluciona la identidad digital>>. Acceso el 31 de octubre de 2017. http://reportedigital.com/seguridad/autenticacion-digital-identidad/

[3] El País. <<Movistar lanza el servicio que elimina las contraseñas para registrarse>>.  Acceso el 1 de noviembre de 2017. https://elpais.com/economia/2016/04/14/actualidad/1460620789_925132.html

[4] GSMA. <<Reunión del TECT en Brasil: trabajo conjunto para traer la estrategia Vision 2020 de la GSMA a América Latina>>. Acceso el 1 de noviembre de 2017. https://www.gsma.com/latinamerica/es/reunion-del-tect-en-brasil-trabajo-conjunto-para-traer-la-estrategia-vision-2020-de-la-gsma-a-america-latina

[5] Orange. <<Mobile Connect:  La solución universal, segura y cómoda para registrarse sin contraseñas>>. Acceso el 1 de noviembre de 2017. http://mobileconnect.orange.es/

 

IoT ya está aquí

Download PDF

“Internet of things no va a llegar a las industrias dentro de poco, Internet of things ya está aquí”. Esa es una de las frases que más se puede ver a la hora de buscar información sobre IoT en la industria. Y es que es verdad, el mercado de las IoT ha ido en acenso gracias a la apuesta por las grandes industrias y, de distinta manera, por la pequeña y mediana empresa. Ya contaba en el post anterior la cantidad inmensa de dispositivos conectados que había en el mundo y la gran variedad de ellos que existen. Una de las aplicaciones de las IoT de la que más se ha hablado en la industria ha sido la de la aplicación de sensores en las piezas de las maquinas, de esta manera, gracias a los datos que estos sensores recogen, se pueden utilizar algoritmos predictivos que permitan a los empleados de la empresa saber cuándo esa pieza va a dejar de funcionar y así poder comprar otra con antelación para no perder disponibilidad.[1] Otro de los campos no tan conocidos en los que también se está haciendo uso de los dispositivos IoT es en la industria agricultora y ganadera. En la industria agrícola, por ejemplo, se están utilizando sensores en los tractores para que los agricultores puedan optimizar las épocas en las que plantan y sus beneficios. En cambio, en la industria ganadera, se están utilizando dispositivos en el ganado para comprobar su estado de salud y sus hábitos.[2] El catálogo de dispositivos IoT es tan amplio que nos permite hacer cualquier cosa que nos podamos imaginar, es por eso por lo que las empresas están apostando de lleno por incluir algún artículo. Pero ¿quién crea todos estos dispositivos?

Hay muchas empresas que se están dedicando, no solo a crear dispositivos IoT, sino también a crear sistemas para controlarlos, englobarlos y sacar provecho de ellos. Entre estas empresas están los nombres de grandes compañías como Cisco, IBM, Intel… [3] El internet de las cosas se trata de tener dispositivos conectados a la red que aporten valor o información que pueda ser útil, Cisco tiene ventaja en esto ya que es la empresa líder en telecomunicaciones, por lo que gran cantidad de información pasa por sus dispositivos constantemente. Por otra parte, IBM tiene mucho que decir ya que también cuenta con una gran cantidad de productos interconectados, pero no solo eso, también dispone de BlueMix, la plataforma de desarrollo de aplicaciones con la que se pueden recopilar, gestionar y analizar los datos generados por los dispositivos IoT. Por último, Intel también está desarrollando sus propias soluciones para IoT, en este caso han pensado en crear nuevas gamas de procesadores para los aparatos IoT.

Pero, así como le hardware de los dispositivos innovan para adaptarse a lo que la nueva industria requiere, dispositivos más pequeños, más integrados, más ágiles… también tiene que adaptarse el software que va incrustado en ellos. Es por esto por lo que se ha creado una nueva manera de desarrollar dedicada exclusivamente a IoT, desde protocolos hasta programación de alto nivel. Cabe destacar en los protocolos la importancia de IPv6 para suplir la falta de direcciones IP por parte de IPv4 por la creciente creación de nuevos dispositivos o la creación de XMPP-IoT para permitir la comunicación máquina-usuario o máquina-maquina. En cuanto a los sistemas operativos nos encontramos con que Google o Windows han creado sistemas embebidos, también existen alternativas Open Source de la fundación Linux y el sistema dedicado a IoT: Riot. Por último, también se han creado una gran cantidad de frameworks como Kura o Thingsboard.io que se ha ido convirtiendo en una plataforma integral de procesado de datos IoT. [4]

Arquitectura IoT

Arquitectura IoT

Ante tantas posibilidades es normal que haya algunas personas que las utilicen para hacer el mal, como fue el caso del ataque de denegación de servicio que sufrieron grandes páginas web como Twitter, Pinterest… A raíz de acciones como estas se está creando un marco general de protección de datos que verá la luz en mayo de 2018. En este marco se especifica la importancia que tiene el cuidado de los datos personales de los usuarios, las especificaciones de cómo, en caso de brecha de seguridad, publicarlo y como el usuario tiene que dar un consentimiento claro y consciente de que sus datos van a ser recogidos, entre otros.[5] Es importante darse cuenta de la capacidad de recolección de datos que estos dispositivos tienen, ya hay gran mayoría de ellos que pueden permitir recoger información personal o información crítica para una empresa por lo que la creación de marcos de normas y marcos de seguridad para ellos es vital.

En conclusión, está claro que podemos decir que el ecosistema IoT ha estado madurando durante años para poder crear toda una infraestructura capaz de hacer que hasta las más grandes industrias se atrevan a incorporarlo en sus procesos más críticos. Aunque se esté trabajando en crear nuevos mecanismos de seguridad, es verdad que todavía existen riesgos que los usuarios tienen que asumir.

Referencias:

[1] <<El internet de las cosas ya no es futuro en la industria>> Cinco Dias, acceso el 28 de Octubre de 2017, https://cincodias.elpais.com/cincodias/2017/07/18/companias/1500391048_279609.html

[2] <<Wearables para el ganado. El IoT de las vacas.>> Tech Food Magazine, acceso el 28 de Octubre de 2017,  https://www.techfoodmag.com/wearables-para-el-ganado-el-iot-de-las-vacas/

[3] <<Las 10 empresas de Internet de las Cosas más poderosas>> Perú CIO, acceso el 28 de Octubre de 2017,   https://cioperu.pe/fotoreportaje/16123/las-10-empresas-de-internet-de-las-cosas-mas-poderosas/

[4] <<IoT Software Development Guide>> Perú CIO, acceso el 28 de Octubre de 2017, https://www.postscapes.com/internet-of-things-software-guide/

[5] <<IoT and the GDPR, ePrivacy Regulation and more regulations>> I-Scoop, acceso el 28 de Octubre de 2017, https://www.i-scoop.eu/internet-of-things-guide/iot-regulation/#ePrivacy_Regulation_electronic_communication_channels_include_the_Internet_of_Things

Presentando el blockchain

Download PDF

Cada década, aproximadamente, surge un avance tecnológico que destaca sobre los demás. En los 80s surgieron los primeros pcs, en los 90s se creo HTTP y HTML… Y, sin duda alguna, el avance de la actual década es el blockchain.  Es por ello que he optado por hacer mis cinco posts sobre este tema.

Soy consciente de que todo lo relacionado con el blockchain es algo novedoso y que habrá una gran cantidad de lectores que no sepan qué es. Por ello en este primer post trataré de explicar qué es blockchain, qué lo hace tan espectacular y por qué considero que es el avance de esta década.

 

Estoy seguro de que todos los que habéis oído hablar de blockchain, lo relacionais con el bitcoin. Y es normal, ya que se trata del sistema de codificación de la información que está por detrás de la criptomoneda y que es el pilar de toda su estructura. Pero es importante saber que el blockchain es más que solo la base del bitcoin. Y yo voy a intentar que en los cinco posts vayan orientados hacia la auditoria, hacia como puede afectar o como habría que actuar en caso de que nuestra empresa TYXemplease esta tecnología. Esto es, voy a intentar dejar al margen todo lo referente a las criptomonedas y me voy a intentar centrar en el blockchain. Desde mi punto de vista la mejor definición de blockchain es la siguiente:

“The blockchain is an incorruptible digital ledger of economic transactions that can be programmed to record not just financial transactions but virtually everything of value.” [1]

Traducido al castellano, blockchain o cadena de bloques es un libro digital incorruptible de transacciones económicas que pueden programarse para registrar no sólo transacciones financieras sino prácticamente todo aquello que tenga valor.

Para que se entienda mejor, voy a explicar cómo funciona. Blockchain es como el libro de asientos de contabilidad de una empresa en donde se registran todas las entradas y salidas de de dinero o, en nuestro caso, de acontecimientos digitales. Es una tecnología que permite la transferencia de datos digitales de una manera completamente segura. La seguridad está asegurada debido a que para realizar la transferencia no es necesario un intermediario centralizado que identifique y valide la información. Es más, se trata de un sistema distribuido en múltiples nodos independientes entre sí que registran y verifican sin necesidad de que haya confianza entre ellos. Esto es lo que realmente lo hace tan útil.

 

sistema distribuido Vs sistema institucional

 

Una vez introducida la información no puede ser borrada, solo se podrán añadir nuevos registros, y no será legitimada a menos que la mayoría de los nodos se pongan de acuerdo para hacerlo. Cara a la auditoria, ello implica que se dispone de un registro de todas las transacciones realizadas en el pasado. Totalmente fiable y eternamente disponible.

Por si no queda claro qué es y como funciona el blockchain, os dejo este breve vídeo de IBM que explica de en 3 minutos que es blockchain de forma muy sencilla.

Resumiendo sus características, ISACA destaca estas cuatro:

  1. Automática
  2. Inmutable
  3. Perpetua
  4. Global

Una de las razones por las que ISACA defiende que es la tecnología del siglo es porque ellos defienden que en el siglo XIX la confianza de los negocios era local, en el siglo XX la confianza ha sido institucional y, que hoy en día, en el siglo XXI la confianza es y será distribuida. [2]

 

Y ahora que sabemos qué es, cómo funciona y el respaldo que tiene por parte de grandes empresas a que va a ser una tecnología triunfadora sí o sí. Me hace preguntarme, ¿Cómo afectará esto a la auditoria tal y como la conocemos hoy en día? Y la verdad es que la respuesta a esta pregunta tiene tanta miga que tengo pensado dedicarle un post entero solo para responderla.

Al igual que abordaré, en los próximos posts, tanto los riesgos que implicaría su uso en nuestra empresa TYX como las posibles soluciones a dichos riesgos. Así como, intentaré exponer un caso práctico, ya sea poniendo como ejemplo a la empresa Storj o el proyecto ripple o cualquiera caso similar que me parezca apropiado. Contando cómo hacen uso del blockchain y cómo facilita o dificulta el trabajo a un auditor.

 


 

Referencias:

[1]: Don y Alex Tapscott, Blockchain Revolution (2016)

[2]:  Antonio Requena Aguilar, << ¿Cambiará Blockchain las reglas del juego?>> publicado por ISACA el 8 Junio de 2017.

Riesgos de la identidad digital: Introducción

Download PDF

La identidad digital es todo lo que manifestamos en el ciberespacio e incluye tanto nuestras actuaciones como la forma en la que nos perciben los demás en la red. 

(Aparici y Osuna Acedo, 2013)

El término de la identidad digital también llamada identidad 2.0, empieza a emplearse en la década de 1990 con la introducción de los ordenadores personales.  Se trata de una revolución anticipada de la verificación de la identidad en línea utilizando tecnologías emergentes centradas al usuario.

En resumen, todas nuestras actuaciones dentro del espacio digital (imágenes, comentarios, etc.) conforman nuestra identidad o perfil digital. Por tanto, es imprescindible tener en cuenta que a través de esto los demás nos verán de un modo u otro en el ciberespacio. [1]

Para que nos sigamos situando en qué es la identidad digital, a continuación, menciono cuáles son sus características y propiedades:

image18

Social: En ningún momento se llega a comprobar si una identidad es real o no.

Subjetiva: Depende del reconocimiento de los demás y de cómo perciban a la persona.

Valiosa: Se utiliza para investigar cómo es esa persona o empresa y así ayudar a tomar decisiones sobre ella.

Indirecta: No permite conocer a alguien personalmente.

Compuesta: La huella digital se construye por las aportaciones de la persona y de las demás personas que la rodean, sin necesidad de dar consentimiento.

Real: La información de la identidad puede producir efectos tanto positivos como negativos en la vida real.

Contextual: La divulgación de información en un contexto erróneo puede tener un impacto en nuestra identidad digital y, por tanto, en nosotros.

Dinámica: La identidad digital está en constante cambio o modificación. [2]

 

En el caso de las organizaciones, los riesgos de la identidad digital son una de las cuestiones más importantes. Al igual que cada individuo debe tener cuidado con la huella que deja, las compañías deben cuidar mucho su reputación. Por ello, aunque que la identidad digital ayude notablemente a mejorar las calidades de los negocios o a que las empresas contraten a personas a través de Internet, hay que tener en cuenta que obtener una información falsa o incluso hacer un mal uso de los datos, nos lleva a una vulnerabilidad, tanto personal como empresarialmente hablando.

En la mayoría de los casos, y sobre todo en las multinacionales, los empleados tienen que seguir la política global, es decir, existe una estrategia digital corporativa la cual ayuda a reducir los riesgos de la identidad 2.0. Pese a eso, he encontrado una encuesta hecha a varios trabajadores de distintas compañías, en la que los encuestados consideran que la huella digital sólo es parcialmente controlable. En su opinión, el principal factor de riesgo es el “empleado”, tanto para la imagen de la compañía como para la seguridad de la misma. [3]

Resultado de imagen de Bring your own identityHoy en día existe una “fatiga de identidad”, es decir, los usuarios tienen demasiadas cuentas, con demasiados usuarios y contraseñas. Para intentar evitar dicha fatiga, algunas compañías han conseguido que la experiencia del usuario sea más cómoda, migrando dicha conexión a sitios que ofrecen un proceso más rápido y sencillo (Facebook, Google, LinkedIn…). A este proceso se le llama BYOI (Bring Your Own Identity), Imagen relacionadapero a pesar de que se puede obtener beneficio de ello, como, por ejemplo, reducir los costes administrativos al evitar el olvido de contraseñas y nombres de usuario, también tiene riesgos. Uno de ellos sería en el caso de que la identidad digital subyacente se viese comprometida, lo que le llevaría al usuario a realizar esfuerzos considerables para restablecerla. Sin embargo, se pueden reducir esos riesgos, por ejemplo, creando un proceso de autenticación basado en el riesgo. Este proceso evaluará una variedad de factores configurables como la hora del día, la ubicación geográfica, etc. [4]

Por lo tanto, he llegado a la conclusión de que la huella digital radica sobre todo en los comportamientos y acciones de los perfiles sociales de la propia organización y de los empleados. Lo que me lleva a reflexionar sobre la seguridad que existe en la red y como una violación de la privacidad o un robo de identidad podría dañar una reputación, ya sea de la organización como de la persona misma. Ante esta situación debemos tener cuidado con los riesgos que acarrea tener un perfil digital, y poner precauciones para evitar cualquier posible incidencia o problema. Pero… ¿Cómo? ¿Cuántos riesgos existen? ¿Cuál es su magnitud?

Continuará…


Referencias

[1] Wikipedia. <<Identidad 2.0>>. Acceso el 5 de octubre de 2017, https://es.wikipedia.org/wiki/Identidad_2.0

[2] Gobierno de Canarias. <<Características y propiedades de la identidad digital>>. Acceso el 5 de octubre de 2017, http://www3.gobiernodecanarias.org/medusa/ecoescuela/seguridad/identidad-digital-profesorado/caracteristicas-y-propiedades-de-la-identidad-digital/

[3] Ben Ayed, G. (2011). Digital Identity Metadata Scheme: A Technical Approach to Reduce Digital Identity Risks. Advanced Information Networking and Applications (WAINA), 2011 IEEE Workshops of International Conference on, 607-612.

[4] ISACA. http://www.isaca.org/Knowledge-Center/Blog/Lists/Posts/Post.aspx?ID=321

 

IoT: Solos pero acompañados

Download PDF

Cada vez salen a la venta más dispositivos que nos acompañan en el día a día y monitorizan todo lo que hacemos y estos dispositivos también se están aplicando a la empresa. Todos ellos están conectados a internet, directa o indirectamente, para que los datos que generan puedan ser consumidos desde cualquier lugar. Y es que, hoy por hoy, es muy difícil estar solo.

El Internet of Things(internet de las cosas o IoT)lo conforman más de 20 billones de dispositivos conectados a la red y más de 8 billones de esos dispositivos son los que nosotros compramos para nuestro uso diario o para el control de las tareas del hogar. Gran cantidad de esos dispositivos, por no decir el 100%, están compuestos de sensores que recogen información sobre el entorno en el que se encuentran. Y como nos podemos imaginar, todos ellos están, de una u otra manera conectados a internet, gracias al que envían los datos que recogen a los servidores de las empresas que los crearon o con aplicaciones de terceros.

Es entonces cuando nos podemos dar cuenta de que nuestra vida está siendo monitorizada y que nosotros hemos decidido que nuestra casa se controle desde el software de una empresa que, realmente, ¿sabemos qué está haciendo con ellos o cómo los almacena?

Según un artículo del ISACA Journal, los riesgos de Internet of Things más importantes que acechan al ámbito de Internet of Things son dos principalmente: la vulnerabilidad de la privacidad de los usuarios y el problema de la seguridad de la información que estos dispositivos generan.

Internet of things ha entrado en nuestra vida íntima y en la empresas gracias a los dispositivos que prometen monitorizar o detectar cualquier cosa de manera que sea mucho más fácil de gestionar o de sacar conclusiones de ella. La mayoría de estos dispositivos son consumidos personalmente y se dedican a extraer datos de carácter sensible sobre la persona que los porta. Es por eso que la privacidad de las personas se ha visto vulnerada por estos dispositivos ya que actúan como pequeños espías que nos vigilan constantemente. Y es por esto que puede existir rechazo por parte de algunas personas.

Pero el problema no es que simplemente nos monitorizan, el problema reside en el lugar al que va toda la información que estos dispositivos recolectan y cómo esa información es almacenada, enviada a las diferentes aplicaciones que la interpretan y finalmente quién puede consumir esa información y de qué manera.

Otro de los grandes problemas que presenta el internet de las cosas es la seguridad de los aparatos que lo conforman. Raúl Rojas, un profesor de informática en la Universidad Libre de Berlín, sufrió un ciberataque en la smarthouse que él mismo construyó. La mayoría de sus objetos estaban conectados a internet, gracias a eso, el podía controlarlos desde cualquier parte. Un día, sufrió un ataque a una de las bombillas, la cual comenzó un ataque DoS (denegación de servicio) sobre la casa. Como resultado de esto, la casa quedó inutilizada durante un tiempo, en el que Raúl no pudo controlar ninguno de los dispositivos. Esto no fue tan grave comparado con la catástrofe que podría haber ocurrido si alguien hubiese utilizado alguna de las numerosas vulnerabilidades encontradas en un modelo de marcapasos instalado en 465.000 personas.

Posibles ataques a dispositivos IoT

Finalmente también existe el problema de la disponibilidad. Muchos de estos dispositivos pueden crear nuevos e inesperados errores que hagan que un sistema clave de nuestro negocio deje de funcionar porque cierto sensor dejó de enviar información o que nos quedemos encerrados en casa porque la cerradura no responde ante el comando de abrirse.

Y es que según un artículo que presentó ISACA Journal, en el que presenta varios retos sobre la seguridad de IoT, nos advierten sobre estos problemas. En este artículo se citan problemas como la insuficiente autenticación para acceder a los dispositivos IoT, la falta de encriptación de los datos que los dispositivos recolectan o la mala seguridad de los portales donde estos datos se pueden visualizar.

No todo son cosas malas en el mundo del internet de las cosas, este también permite la creación de nuevos elementos para las empresas que les permitan avanzar en sus procesos de negocio y las hagan más eficaces. Por ejemplo, en el sector energético existe la posibilidad de detección de fugas mediante medidores conectados a la red o en el ámbito automovilístico existe ya una gran línea de productos que, por ejemplo, recogen información sobre el comportamiento de las ruedas dependiendo de la superficie sobre la que están rodando para su mejora en el futuro.

Es por todo esto que no solo hay que fijarse en los riesgos que IoT puede llegar a tener, solo es necesario detectarlos y mitigarlos para conseguir que las ventajas que ofrecen estos dispositivos se puedan aprovechar de una manera segura.


Referencias

Proviti <<The Internet of Things: What Is It and Why Should Internal Audit Care?>>

<<Security and Privacy Challenges of IoT-enabled Solutions>> Isaca Journal, acceso el 8 de octubre del 2017 https://www.isaca.org/Journal/archives/2015/Volume-4/Pages/security-and-privacy-challenges-of-iot-enabled-solutions.aspx?utm_referrer=

<<This guy’s light bulb performed a DoS attack on his entire smart house>> Splinter News, acceso el 9 de octubre del 2017, https://splinternews.com/this-guys-light-bulb-performed-a-dos-attack-on-his-enti-1793846000

<<Internet of Things (IoT) connected devices installed base worldwide from 2015 to 2025 (in billions)>> Statista, acceso el 9 de octubre del 2017, https://www.statista.com/statistics/471264/iot-number-of-connected-devices-worldwide/

¿Monitorizar nuestra privacidad?

Download PDF

PrivacyDigitalAge

En el anterior post comentaba cuáles son los riesgos que pueden afectar a nuestra privacidad y las amenazas a las que puede ser sometida. Ya que en ese post comenté los riesgos y amenazas en varios ámbitos de la vida diaria, esta vez quiero centrarme en los controles que se deberían tener en cuenta para enfrentarse a esos riesgos y amenazas, pero dentro del entorno empresarial. [1]
La utilización en la vida empresarial de las nuevas tecnologías, servicios web, redes sociales y otras herramientas tecnológicas, resulta cada vez más determinante para la competitividad. Ahora existen nuevos elementos que forman parte de la estrategia de la empresa como supervisar los procesos de trabajo con propósitos de eficiencia, control de calidad e información confidencial.

Estos avances tecnológicos han ampliado las fronteras de la información a la que se puede acceder. Los datos personales tienen un valor que quizás no todo el mundo tenga en cuenta. El procesamiento ilícito de estos datos por parte de los empleados u otros sujetos de una empresa podría tener un impacto significativo en la privacidad de la persona, no sólo a nivel psicológico, sino también en términos de daño material. [2]

El correo electrónico de la empresa es una herramienta de trabajo puesta a disposición del personal para el cumplimiento de sus tareas. Por lo tanto, el empleador puede legítimamente controlar que ésta se utilice para el cumplimiento de sus actividades. Debido a esto, hay empresas que recurren a monitorear la actividad laboral con fines de eficiencia y seguridad, generando así tensiones en el ambiente.

images

La mayoría de empresas usan programas de software que pueden monitorear el patrón de uso de la web, las comunicaciones vía email y hasta la geolocalización de las personas. Y es que, informes calificados indican que casi un 80% de las grandes compañías estadounidenses monitorean a sus empleados por medio de email, conexiones a web o sistemas de videovigilancia. [3]

Todo esto ha supuesto un verdadero reto. Por un lado, tenemos al empleado y su derecho a la privacidad, y por otro lado, está la empresa que necesita controles frente a posibles amenazas que puedan provenir de la tecnología que usan sus empleados. Así que, ¿cómo deben las empresas ejercer el “debido control” sin menoscabar la privacidad de sus trabajadores?

La clave es encontrar mecanismos para garantizar un manejo confidencial de la información a la que se acceda. Generalmente, al utilizar controles basados en las tecnologías de la información, se hace tratamiento de datos personales. La Agencia Española de Protección de Datos y la jurisprudencia de los tribunales han indicado cuáles son las condiciones para su realización, y exponen un conjunto de principios que es necesario tener en cuenta. [4]

  • La legitimación para el tratamiento de los datos personales en el ámbito laboral, deriva de la existencia de una relación laboral, y de acuerdo con el artículo 6.2 de la LOPD, exenta de obligación de consentimiento. Aunque será necesario informar al trabajador de la existencia de controles.
  • El tratamiento de datos personales deberá ajustarse al Principio de Proporcionalidad. Por ejemplo, se podrán realizar labores de videovigilancia en lugares donde se hace conteo de dinero metálico, pero no en todas las dependencias de la empresa.
  • El empresario debe tener en cuenta que la única finalidad que valida este control es “verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales”, y no otra.
  • En cumplimiento del Principio de Calidad de los Datos, los datos que se obtengan y almacenen deberán “ser exactos y puestos al día y no podrán conservarse por más tiempo del necesario”.
  • Deberá garantizarse en todo momento el ejercicio de los derechos de acceso, rectificación, cancelación y oposición (derechos ARCO) a los trabajadores.

En definitiva, el control debe justificarse en una razón objetiva vinculada a asuntos que afectan al ámbito laboral y debe ser proporcional a la necesidad de la empresa, evitando acceder a más información de la necesaria. Que el personal conozca sus expectativas de privacidad respecto del uso de los dispositivos que la empresa les provee, genera más confianza en la relación de ambos. Agrega, además, valor a la empresa en términos de eficiencia y tranquilidad.

 

Y con esto acabo con los post relacionados con la privacidad. Una pequeña reflexión para despedirme…

Recordemos que ahora, con la aprobación de Privacy Shield, se están realizando grandes modificaciones, a fin de mejorar la protección de la privacidad en Internet. Vivimos un momento donde los datos no hacen más que crecen de forma extrema, donde la huella digital es inevitable. [5]

Las regulaciones y normas están en constante cambio, y la privacidad volverá a cambiar dentro de unos cuantos años sin lugar a dudas. Seguramente, el concepto de “privacidad” cambiará tanto que no tendrá el mismo significado que el que tiene hoy en día, y muchas de las cuestiones, comportamientos e información que hoy en día consideramos privadas ya no lo serán. Espero que en ese futuro la privacidad sea algo de interés para las personas, algo que quieran cuidar, que sepan las consecuencias que conlleva perder esa privacidad, y lo importante que es ese derecho que tenemos.

¡Respetad y cuidad vuestra privacidad! :)

 

REFERENCIAS

[1] Aldama Notario, M. (2016). Cuida tu privacidad. Blogs.deusto.es. Disponible en: https://blogs.deusto.es/master-informatica/cuida-tu-privacidad/ [Consulta 27 Nov. 2016].

[2] ISACA (2016). Privacy protection in the workplace. Disponible en: http://www.isaca.org/Groups/Professional-English/privacy-data-protection/GroupDocuments/2014-07-04%20Privacy-protection-in-the-workplace-Guide-for-employees.pdf [Consulta 27 Nov. 2016].

[3] Elpais.com.uy. (2016). Intimidad y privacidad en la empresa: las fronteras del control. Disponible en: http://www.elpais.com.uy/economia/empresas/intimidad-privacidad-empresa-fronteras-control.html [Consulta 27 Nov. 2016].

[4] Rrhhdigital.com. (2016). Privacidad de los empleados Vs Control Interno. Disponible en: http://www.rrhhdigital.com/editorial/76781/-applicalia- [Consulta 28 Nov. 2016].

[5] Aldama Notario, M. (2016). EU-US Privacy Shield. Blogs.deusto.es. Disponible en: https://blogs.deusto.es/master-informatica/eu-us-privacy-shield/ [Consulta 28 Nov. 2016].