A medida que los sistemas de control de edificios pasan a formar parte del IoT, Bruno Johnson echa un vistazo al enfoque que IP-BLiS está adoptando en términos de seguridad.
Los sistemas de control de edificios son vulnerables a ataques desde dentro o fuera del edificio. Esto significa que los sistemas de control de edificios deben utilizar marcos de seguridad que requieran autenticación a todos los usuarios y equipos para comprobar su identidad e integridad.
Los edificios están muy regulados lo que conlleva que los responsables de todas las fases del ciclo de vida del edificio deban tener un alto nivel de competencias y responsabilidad. Esto es particularmente cierto en términos de seguridad de edificios, ya que puede tener un impacto directo en esta.
IP-BLiS reconoce la necesidad de conseguir una seguridad fuerte
IP-BLiS no es una entidad nueva, sino un conjunto de otras organizaciones ya existentes que empezaron a trabajar juntas en 2020. IP-BLiS reconoce que la necesidad de conseguir una seguridad fuerte es un hecho para los sistemas de control de edificios. Mientras los sistemas y profesionales de TI han recibido formación en el sector de la seguridad IP (Internet Protocol), los sistemas y profesionales OT (Operational Technology) a menudo lo han pasado por alto. Además, los requisitos de certificación o conformidad con los marcos regulatorios en muchos casos aún no están definidos.
Por ejemplo, el U.S. National Institute of Standards and Technology (NIST) proporciona directrices en forma de la serie NISTIR 8259. NISTIR 8259A es la base central de la ciberseguridad de dispositivos que se focaliza en las capacidades técnicas del dispositivo, mientras que la NIST 8259B abarca los requisitos no técnicos como la documentación, las solicitudes de información, la divulgación de información y la formación y concienciación. A su vez, la Comisión Europea (CE) ha publicado el requisito ETSI EN 303 645 que trata trece categorías de seguridad, centrándose en las capacidades técnicas del dispositivo y los requisitos no técnicos.
Asimismo, la CE ha actualizado la Directiva de equipos radioeléctricos (RED, por sus siglas en inglés) que establece el marco regulatorio para obtener el marcado CE. La Comisión adoptó mandatos adicionales para dispositivos de cobertura RED que tengan la capacidad de comunicarse a través de Internet; procesar datos personales, de tráfico o de localización; o de procesar transacciones financieras. Estas disposiciones serán obligatorias a partir del 1 de agosto de 2024. De manera similar, la U.S. Federal Communications Commission (FCC) en junio de 2021 publicó un aviso de propuesta de normativa de 12 meses y un aviso de documento de investigación centrado en mejorar la adopción de buenas prácticas en términos de ciberseguridad.
Disposiciones de seguridad comunes
Las regulaciones y requisitos sobre la seguridad se pueden resumir en siete disposiciones comunes, tal y como se muestra en la siguiente figura.
Las disposiciones comunes están definidas de la siguiente manera:
• Identidad de dispositivo: un único valor de dirección asociado a un dispositivo o terminal.
• Configuración de dispositivo: la capacidad de configurar dispositivos a través de interfaces lógicas.
• Protección de datos: la capacidad de proteger criptográficamente un dispositivo y sus datos almacenados.
• Acceso lógico: la capacidad de establecer la autenticación y configuración de identificación.
• Actualización de software: la capacidad de actualizar el software de un dispositivo.
• Concienciación sobre el estado de ciberseguridad: la capacidad de generar, monitorizar y notificar eventos.
• Seguridad del dispositivo: la capacidad de proteger el dispositivo durante el funcionamiento normal.
Consideración en cada fase del ciclo de vida de los edificios
Igual que las disposiciones de seguridad del dispositivo comunes mencionadas anteriormente, el sistema de control de edificios debe ser capaz de manejar la puesta en marcha y fuera de servicio del dispositivo. También se requiere un proceso de gestión de la presentación de vulnerabilidad, para que los dispositivos que tienen una vulnerabilidad identificada puedan ser aislados y actualizados. Del mismo modo, las políticas EoL (End of Life) y EoS (End of Service) deberían ser capaces de gestionar dispositivos y sistemas que ya han dejado de ser admitidos por los fabricantes respectivos. Por tanto, la seguridad debería ser considerada en cada fase del ciclo de vida de los edificios.
Por supuesto, en gran parte del mundo, hay relativamente pocas infraestructuras de nueva construcción. Por eso, se prevé que, igual que con los sistemas de TI, los sistemas de control de edificios se deben mantener y actualizar continuamente para garantizar la seguridad. Como tal, las disposiciones mencionadas arriba deben considerarse regularmente.
Los beneficios de las recomendaciones de IP-BLiS
Como ya hemos explicado, los legisladores están empezando a convertir la seguridad en un requisito obligatorio para algunos dispositivos y, en caso de no cumplir con estos requisitos de seguridad, esto puede causar daños financieros o de reputación. Además, una violación de la seguridad causa daños secundarios como la protección.
IP-BLiS ha resumido un conjunto de mejores prácticas comunes relacionadas con la seguridad en edificios. Estas mejores prácticas tratan diferentes áreas de la gestión de redes de control de edificios, como el direccionamiento de dispositivos, la detección de servicios, la seguridad, el soporte de la capa física y los requisitos de infraestructura. Aunque no son exhaustivas, estas proporcionan ayuda a la hora de formar e informar a profesionales en el sector de los edificios sobre futuros cambios.
Conclusión
A parte de la necesidad de incrementar la formación de ambos profesionales IP y OT en la seguridad de edificios, el desafío al que se enfrenta actualmente la industria es la mezcla de regulaciones definidas en las distintas regiones, con una orientación muy poco clara sobre la certificación o la conformidad.
IP-BLiS reconoce que las opciones comunes y las mejores prácticas son un ingrediente esencial para que los sistemas de automatización de edificios más complejos y con más funciones sean sostenibles y manejables. Este ha resumido un conjunto de mejores prácticas comunes relacionadas con el IoT y la seguridad en edificios, y seguirá proporcionando información sobre el progreso de productos que siguen estos conceptos, a medida que vayan comercializándose.
Este artículo ha sido elaborado para IP-BLiS por Bruno Johnson, presidente del grupo de trabajo OCF Marketing & Communications.