121 ¿Qué cosa es eso del Internet de las Cosas?

Carlos Chalico, LI, CISA, CISSP, CGEIT, CRISC, PbDA, ISO27000LA Director Eastern Region, Ouest Business Solutions Inc.

Objetivos

• Comprender el concepto del Internet de las Cosas y reconocer el impacto que el uso de estas tecnologías traerá al ambiente corporativo.

• Identificar ejemplos y casos particulares de dispositivos relacionados con el Internet de las Cosas, que están siendo usados en el mundo en el ambiente corporativo.

• Identificar riesgos específicos relacionados con el uso del Internet de las Cosas en el ambiente corporativo.

• Reconocer la necesidad de incluir el uso de las tecnologías relacionadas con el Internet de las Cosas en los modelos de manejo de riesgos corporativos.

@carloschalico @CarlosChalicoT

Agenda

• ¿Cómo llegamos hasta aquí? • Conceptos • ¿Qué nos preocupa? • Ejemplos de uso en el ambiente

corporativo • Consideraciones de riesgo • Conclusiones

@carloschalico @CarlosChalicoT

¿Cómo llegamos hasta aquí?

“Hemos alcanzado un punto de inflexión en la historia: Hoy, más

datos están siendo manufacturados por máquinas, servidores y

teléfonos celulares, que por personas”

Michael E. Driscoll The Human Face of Big Data

@carloschalico @CarlosChalicoT

Fuente: http://labs.sogeti.com/google-cars-to-cause-a-paradigm-shift-in-automotive-industry/

@carloschalico @CarlosChalicoT

Fuente: www.gadgetreview.com

@carloschalico @CarlosChalicoT

Fuente: www.foscam.us

@carloschalico @CarlosChalicoT

Fuente: http://www.imedicalapps.com/2014/09/verio-sync-review-iphone-bluetooth-glucose-meter/

@carloschalico @CarlosChalicoT

Fuente: www.nest.com

@carloschalico @CarlosChalicoT

Fuente: www.mrcoffee.com

@carloschalico @CarlosChalicoT

Fuente: www.fitbit.com

@carloschalico @CarlosChalicoT

Fuente: www.kwikset.com

@carloschalico @CarlosChalicoT

Fuente: www.amazon.com

Fuente: fresh.amazon.com

@carloschalico @CarlosChalicoT

@carloschalico @CarlosChalicoT

@carloschalico @CarlosChalicoT

Conceptos

¿Qué es el Internet de las Cosas?

“Literalmente significa que cosas u objetos se conecten

a internet y entre ellos”Samuel Greengard

The Internet of Things

“Es un escenario en el que objetos, animales o personas son provistas de un identificador único y de la habilidad de transferir datos sobre una red

sin requerir interacción humano-humano o humano-computadora. Ha evolucionado dada la

convergencia de tecnologías inalámbricas, sistemas micro-electromecánicos e internet”

http://whatis.techtarget.com/definition/InternetofThings

@carloschalico @CarlosChalicoT

¿Cómo ha sido posible?

• Evolución de la tecnología • Reducción de costos • Mejora de estructura del protocolo IP

- IPv4 (32 bits) Vs. IPv6 (128 bits)

Fuentes: http://www.analysysmason.com/About-Us/News/Insight/Insight-big-data-May2012/ Courtesy of IBM Archives, 2012 http://www.businessinsider.com/picture-of-ibm-hard-drive-on-airplane-2014-1

@carloschalico @CarlosChalicoT

¿Cómo ha sido posible?

Cosa

Identidad Comunicación

Sentidos Control

@carloschalico @CarlosChalicoT

¿Cómo ha sido posible?

“Hoy, las computadoras y, por lo tanto internet, son dependientes casi en su totalidad de los seres

humanos para generar información. Casi la totalidad de los 50 petabytes (1 Pb = 1,024 Tb) de datos disponibles en internet fueron capturados o creados por un humano tecleando, presionando un botón de grabación, tomando una foto o leyendo un código de barras. Si tuviéramos computadoras que supieran todo lo que debiera saberse sobre

las cosas usando datos y los capturaran sin nuestra ayuda, seríamos capaces de rastrear y

contar todo y así reducir sensiblemente desperdicios, pérdidas y costos. Sabríamos cuando las cosas necesitan reemplazarse, repararse o si

ya no estás frescas o aptas para consumo”.

Kevin Ashton

Cofundador

Auto-ID Center

MIT

• Finales de los 90

• Creador del estándar para RFID

• Usó por primera vez el término “Internet de las Cosas”

• Autor del libro “Cómo volar un caballo”

Internet de las cosas

@carloschalico @CarlosChalicoT

¿Qué nos preocupa?

“27% de los usuarios de internet han mantenido registro de su peso,

dieta o ejercicio o monitoreado indicadores o síntomas de salud

en línea”

Pew Research Centre, 2011 The Human Face of Big Data

@carloschalico @CarlosChalicoT

7.1

1.8

700

531

Trillones - EEUU

Trillones - China

Billones - Alemania

Billones - Reino Unido

Valor estimado del Internet Industrial

de las Cosas para 2030.

¿Hay verdadero valor?

Fuente: Winning with the Industrial Internet of Things; Accenture

• Accenture ha propuesto el Índice NAC (National Absorptive Capacity) - Banca confiable - Educación - Buen gobierno - Sana red de proveedores

• Adopción social de la tecnología • ¿Lo hará Latinoamérica?

Fuente: The Growth Game-Changer; Accenture

Producto Interno Bruto a condiciones actuales

Producto Interno Bruto con medidas adicionales

¿Hay verdadero valor?

@carloschalico @CarlosChalicoT

¿Qué nos preocupa?

@carloschalico @CarlosChalicoT

¿Qué nos preocupa?

@carloschalico @CarlosChalicoT

Ejemplos de uso en el ambiente corporativo

Usos reales

• Somos testigos de un nuevo punto de inflexión provocado por la tecnología

• El futuro es prometedor, aunque incierto • La combinación de tecnologías: IoT, Big

Data y Analíticos, crea nuevas posibilidades

• Las posibilidades son atractivas, aunque los riesgos no dejan de estar presentes

• Existen organizaciones que ya se han atrevido a probar

@carloschalico @CarlosChalicoT

Selección alemana de fútbol• Uso de sensores en:

- Espinilleras - Ropa - Balón

• Uso de datos provenientes de al menos 8 cámaras

• Uso de aplicación SAP Match Insight • 10 jugadores con 3 pelotas en 10

minutos producen: - 7 m de puntos de datos

Fuente: http://www.forbes.com/sites/sap/2013/09/26/wearable-technology-spatial-analytics-future-of-sport-is-now/

@carloschalico @CarlosChalicoT

NBA• Seguidores ansiosos por estadísticas • 6 cámaras, sensores en ropa y

balones, el uso de SportsVU, STATS y SAP, hacen la magia

• Datos disponibles casi en tiempo real

• La experiencia puede vivirse a través de :

Fuente: http://www.fastcolabs.com/3022190/how-nbas-big-data-strategy-will-change-the-way-you-watch-basketball https://www.youtube.com/watch?v=jOQEl_tkEwE

@carloschalico @CarlosChalicoT

Maple Leafs• Sensores y etiquetas de

radiofrecuencia (RFID) en “pucks” y jerseys

• Alianza con SAS Software

Fuente: http://business.financialpost.com/fp-tech-desk/can-big-data-help-the-toronto-maple-leafs-in-their-quest-for-the-stanley-cup?__lsa=7699-3093

@carloschalico @CarlosChalicoT

KAESER KOMPRESSOREN• Compañía enfocada en la venta de

compresores de aire • Mayor reto: Servicio a clientes • Proyecto Enfocado en

mantenimiento preventivo/predictivo

• Uso de modelo M2M de IoT • Aire comprimido como servicio

Fuente: http://www.kaeser.com/Products_and_Solutions/sigma-air-utility/default.asp

@carloschalico @CarlosChalicoT

Hagleitner• Big washroom Data • Instalación de sensores en

dispensadores de: - Toallas para manos - Jabón - Papel higiénico

• Ahorros, cumplimiento normativo, satisfacción de usuario

Fuente: https://www.youtube.com/watch?v=kFuyzLF5Vew

@carloschalico @CarlosChalicoT

Michelin

Fuente: Driving Unconventional Growth through the IIoT, Acenture

• Michelin ha introducido la venta de llantas con sensores

• Con ellas está ayudando a los gerentes de flotilla a: - Reducir el consumo de combustible - Pagar por llantas en base a kilómetros

recorridos • Esto le permitirá la identificación de nuevos segmentos de mercado

@carloschalico @CarlosChalicoT

Rolls Royce• Sensores en motores de barcos y

aviones • Nuevo modelo llamado: “Total Care” • Mantenimiento preventivo • Red de generación de datos, elemento

clave • Cada turbina fabricada produce medio

terabyte de datos • Usado para identificar problemas y

accidentes • Empleado para conseguir más

información sobre vuelo MH370Fuente: http://www.ibtimes.co.uk/malaysia-airlines-mh370-aviation-expert-wants-australia-prove-plane-indian-ocean-1493391

@carloschalico @CarlosChalicoT

Monsanto

• Predicciones en tiempo real y actualizaciones: mejor tiempo para plantar, regar, fertilizar y cosechar

• Datos sobre clima son monitoreados en tiempo real vía GPS

• Alta precisión • Permite a granjeros tomar decisiones • Se visualiza a futuro como compañía de IT

Fuente: http://www.motherjones.com/environment/2014/11/monsanto-big-data-gmo-climate-change

@carloschalico @CarlosChalicoT

Ford

• Reconoce la trascendencia que tiene trabajar con compañías como Apple y Google

• Posible colectar datos de manejo, seguridad, llamadas realizadas

• Consideran que antes deben aprender a usar datos para ellos a fin de prevenir mal uso

• Comprometidos con el uso de TI y el manejo adecuado de la privacidad

• Han montado centro de investigación en Silicon Valley

Fuente: http://finance.yahoo.com/news/ford-ceo-must-balance-creeping-car-technology-and-consumer-privacy-182006526.html

@carloschalico @CarlosChalicoT

John Hancock

• Denominado “Vitality Program” • Asociado a los seguros de vida • Se ofrece un FitBit sin costo a

clientes • El dispositivo debe ser usado

permanentemente por los clientes • Datos pueden accederse en línea • Los clientes que vivan de una forma

sana que pueda ser monitoreada por el dispositivo, recibirán descuentos y beneficios

Fuente: https://www.jhrewardslife.com

@carloschalico @CarlosChalicoT

Usos reales

• Existen organizaciones que han iniciado formalmente programas soportados por IoT

• Diversas industrias con diversos propósitos

• Enfoque en transformar la experiencia del usuario

• Generación de datos de IoT combinada con otras herramientas como Big Data y analíticos

• ¿Qué riesgos vemos?

@carloschalico @CarlosChalicoT

Consideraciones de Riesgo

Lo bueno, lo malo, lo “creepy”

• Puede verse valor en el IoT • Existen temas que requieren atención

en: - Ética - Seguridad de la Información - Privacidad

• Pueden visualizarse ajustes relevantes

• un importante impacto social, un cambio en el contrato social entre personas y organizaciones

@carloschalico @CarlosChalicoT

Seguridad de la información

• Los riesgos tradicionales de seguridad relacionados con manejo de información, prevalecen

• Muchos de los procesadores o sensores instalados no tienen capacidad para operar funciones de seguridad

• El creciente número de “cosas” conectadas crea un campo fértil para los atacantes

@carloschalico @CarlosChalicoT

¿Qué pasa hoy?

@carloschalico @CarlosChalicoT

¿Qué pasa hoy?

@carloschalico @CarlosChalicoT

Privacidad

• Cada vez hay más dispositivos en los que se almacena y mediante los que se comparte información personal

• A veces desconocemos qué datos se almacenan y comparten

• A la gente parece importarle más ser pública que privada

• Debemos recordar • Compromiso personal • Compromiso corporativo

@carloschalico @CarlosChalicoT

Ética

Fuente: http://www.ioew.de/uploads/tx_ukioewdb/future-IOEW_CSR-Study_Summary.pdf

Patrocinado por: German Federal Ministry of Environment, Nature Conservation and Nuclear Safety

@carloschalico @CarlosChalicoT

“Eres lo que eres cuando nadie está mirando”

Robert Lewis

Ética

@carloschalico @CarlosChalicoT

“Big Data es el mantra de hoy. Todos quieren ir ahí y todo el mundo tiene estas historias

acerca de cómo podría beneficiarnos. Una de las cosas que aprendes en el kinder es que si

quieres jugar con los juguetes de alguien debes pedir permiso. Lo es estresante y, yo diría, triste, sobre el apetito provocado por el Big Data es que en muchas ocasiones ay quien se

dice ‘¡Hey! No tenemos que preguntar’”Lee Tien

Senior Staff Attorney Electronic Frontier Foundation

Ética

@carloschalico @CarlosChalicoT

Ha Habido casos en los que el uso no consultado de datos, aun inferidos, ha causado grandes malestares.

http://www.nytimes.com/2012/02/19/magazine/shopping-habits.html?_r=0

Ética

@carloschalico @CarlosChalicoT

Fuentes: Ethics of Big Data, Kord Davis http://www.slideshare.net/achalico/data-lc-risk-considerations-controls?qid=9dfd030f-c13e-41a8-b7a5-8b903822aed1&v=default&b=&from_search=8

Ética

Valores

Conductas

@carloschalico @CarlosChalicoT

Fuentes: Ethics of Big Data, Kord Davis http://www.slideshare.net/achalico/data-lc-risk-considerations-controls?qid=9dfd030f-c13e-41a8-b7a5-8b903822aed1&v=default&b=&from_search=8

Ética

Identidad Privacidad

Propiedad Reputación

@carloschalico @CarlosChalicoT

Los puntos de decisión ética forman una serie de cuatro actividades que constituyen un ciclo contínuo

¿Cuáles son los valores

corporativos?

¿Cuál es nuestro estado actual?

¿Qué debemos hacer para alinearnos?

¿Cómo ejecutaremos los planes?

Ética

Fuentes: Ethics of Big Data, Kord Davis http://www.slideshare.net/achalico/data-lc-risk-considerations-controls?qid=9dfd030f-c13e-41a8-b7a5-8b903822aed1&v=default&b=&from_search=8

Análisis

Articulación

Acción

Entendimiento

Ética

@carloschalico @CarlosChalicoT

Conclusiones

¿Qué podemos hacer?

@carloschalico @CarlosChalicoT

• Aceptar el reto • Estudiar • Leer • Experimentar, tomar riesgos • Espantarse • Educar • Orientar • Proteger • Conducirse con ética

El modelo OWASP

@carloschalico @CarlosChalicoT

• El Open Web Application Security Project - OWASP ha definido el llamado: Internet of Things Top Ten Project

• Diseñado para ayudar a entender y atender temas de seguridad en el Internet de las Cosas

• Presenta el “Top Ten” de áreas susceptibles de ataque en el Internet de las Cosas

• Librehttps://www.owasp.org/index.php/OWASP_Internet_of_Things_Top_Ten_Project

El modelo OWASP

@carloschalico @CarlosChalicoT

• I1 Interfaz web insegura • I2 Autenticación/Autorización Insuficiente • I3 Servicios de Red Inseguros • I4 Falta de Encoriación en el Transporte • I5 Preocupaciones de Privacidad • I6 Interfaz de Nube Insegura • I7 Interfaz Móvil Insegura • I8 Configurabilidad de Seguridad

Insuficiente • I9 Software/Firmware inseguro • I10 Pobre Seguridad Física

https://www.owasp.org/index.php/OWASP_Internet_of_Things_Top_Ten_Project

El modelo OWASP

@carloschalico @CarlosChalicoT

Por cada área susceptible de ataque se incluye lo siguiente: • Descripción del área de ataque • Amenazas • Vectores de ataque • Debilidades de seguridad • Impactos de negocio • Ejemplos de vulnerabilidades • Ejemplos de ataque • Guías • Referencias a otros materiales

https://www.owasp.org/index.php/OWASP_Internet_of_Things_Top_Ten_Project

El modelo OWASP

https://www.owasp.org/index.php/OWASP_Internet_of_Things_Top_Ten_Project

“Veremos este como el momento en la historia en el que la

información se transforme de un estado pasivo e inerte a un sistema

unificado y vivo”

Michael Nielsen The Human Face of Big Data

@carloschalico @CarlosChalicoT

BibliografíaThe Internet of Things Samuel Greengard

Rethinking the Internet of Things Francis daCosta

Pax Technica Phillip N. Howard

The Human Face of Big Data Rick Smolan y Jennifer Erwitt

Brave New World “In the Privacy of Your Own Home” Consumer Reports

Cómo volar un caballo Kevin Ashton

TechnoCreeep Thomas Keenan

ISACA - www.isaca.org

Industrial Intertent Consortium - www.iiconsortium.org

IEEE - www.ieee.org

@carloschalico @CarlosChalicoT

¿Preguntas?

@carloschalico @CarlosChalicoT

Carlos Chalico LI, CISA, CISSP, CISM, CGEIT, CRISC, PbDLA, ISO27000LA

Director Eastern Region Ouest Business Solutions Inc.

+1(647)6388062 carlos.chalico@ouestsolutions.com

121 ¿Qué cosa es eso del Internet de las Cosas?

Carlos Chalico, LI, CISA, CISSP, CGEIT, CRISC, PbDA, ISO27000LA Director Eastern Region, Ouest Business Solutions Inc.