Kandasamy et al.

Revista EURASIP sobre seguridad de la información (2020) 2020: 8

Revista EURASIP sobre
[Link]
seguridad de la información

INVESTIGACIÓN Acceso abierto

Riesgo cibernético de IoT: un análisis holístico de los marcos

de evaluación del riesgo cibernético, los vectores de riesgo y
el proceso de clasificación de riesgos
Kamalanathan Kandasamy 1 * , Sethuraman Srinivas 2, Krishnashree Achuthan 1 y Venkat P. Rangan 3

Resumen

Las vulnerabilidades de seguridad de los sistemas modernos de Internet de las cosas (IoT) son únicas, principalmente debido a la complejidad y heterogeneidad de la

tecnología y los datos. Los riesgos que surgen de estos sistemas de IoT no pueden encajar fácilmente en un marco de riesgos existente. Existen muchos enfoques y marcos de

evaluación de riesgos de ciberseguridad que se están implementando en muchas organizaciones gubernamentales y comerciales. Extender estos marcos existentes a los

sistemas de IoT por sí solos no abordará los nuevos riesgos que han surgido en el ecosistema de IoT. Este estudio ha incluido una revisión de las metodologías populares

existentes de evaluación de riesgos cibernéticos y su idoneidad para los sistemas IoT. Instituto Nacional de Estándares y Tecnología, Evaluación de Amenazas

Operacionalmente Crítico, Evaluación de Activos y Vulnerabilidad, Evaluación de Amenazas y Análisis de Remediación, y la Organización Internacional de Normalización son

los cuatro marcos principales analizados críticamente en este estudio de investigación. Los riesgos de IoT se presentan y revisan en términos de la categoría de riesgo de IoT y

las industrias afectadas. Los sistemas IoT en tecnología financiera y atención médica se tratan en detalle, dada su exposición de alto riesgo. Los vectores de riesgo para IoT e

Internet de las cosas médicas (IoMT) se analizan en este estudio. En este estudio se introduce un método único de clasificación de riesgos para clasificar y cuantificar el riesgo

de IoT. Este método de clasificación inicia un enfoque de evaluación de riesgos exclusivamente para los sistemas de IoT cuantificando los vectores de riesgo de IoT, lo que

lleva a estrategias y técnicas eficaces de mitigación de riesgos. Se ha diseñado y explicado un enfoque computacional único para calcular el riesgo cibernético de los sistemas

IoT con factores de impacto específicos de IoT en el contexto de los sistemas IoMT.

Palabras clave: Evaluación de riesgos, Internet de cosas médicas, vectores de riesgos, marcos de evaluación de riesgos de ciberseguridad, clasificación de riesgos

1. Introducción adoptar dispositivos IoT [ 2 ] La red de sensores inalámbricos (WSN) es la

1.1 tecnología IoT base de la comunicación IoT. La ola de IoT está elevando Internet a su
La revolución de IoT de este milenio es la próxima ola de tecnología que ha próximo nivel al introducir la integración total con dispositivos de nivel de
impactado y empoderado a todas las industrias, desde su formación inicial en el campo [ 3 ] El IoT ya ha creado una plataforma inteligente para colaborar en
año 1999 [ 1 ] La visión de IoT comenzó con un simple objetivo de conectar cosas distribuidas a través de redes inalámbricas y cableadas. Hasta
cualquier dispositivo independiente a Internet y, por lo tanto, convertirlo en un ahora, la interacción humana con Internet a través de empresa a empresa
dispositivo inteligente. Según una predicción reciente de Gartner, se espera que (B2B) y de empresa a comercio (B2C) es un fenómeno común. Con la
el recuento de dispositivos IoT alcance los 25 mil millones de dispositivos en llegada de IoT, cualquier dispositivo independiente tiene el potencial de
2020, y el 65% de las empresas lo harían interactuar no solo con humanos sino también con Internet [ 4 4 ] El aspecto
único que identifica la tecnología IoT es la habilitación de la transferencia
de datos entre cualquier dispositivo independiente, Internet y los humanos.
* * Correspondencia: kamalanathan@[Link] Esta comunicación puede ser
1 Centro Amrita para Sistemas y Redes de Seguridad Cibernética, Amrita Vishwa Vidyapeetham,

Campus Amritapuri, Clappana Post, Kollam, Kerala 690525, India

La lista completa de la información del autor está disponible al final del artículo.

© El autor (es). 2020 Acceso abierto Este artículo está licenciado bajo una licencia internacional Creative Commons Attribution 4.0, que permite el uso, el intercambio, la
adaptación, la distribución y la reproducción en cualquier medio o formato, siempre que otorgue el crédito apropiado al autor o autores originales y a la fuente, proporcione
un enlace a la licencia Creative Commons e indique si se realizaron cambios. Las imágenes u otro material de terceros en este artículo se incluyen en la licencia Creative
Commons del artículo, a menos que se indique lo contrario en una línea de crédito al material. Si el material no está incluido en la licencia Creative Commons del artículo y
su uso previsto no está permitido por la regulación legal o excede el uso permitido, deberá obtener el permiso directamente del titular de los derechos de autor. Para ver
una copia de esta licencia, visite [Link] .
Kandasamy et al. Revista EURASIP sobre seguridad de la información (2020) 2020: 8 Página 2 de 18

gestionado fácilmente a través de acciones automatizadas e iniciadas por el el seguimiento y el perfil se resumen en [ 12 ] El panorama de amenazas de IoT
usuario. Por ejemplo, un rociador de agua se puede controlar para suministrar en constante expansión justifica un estudio de los riesgos de IoT y su
solo la cantidad necesaria de agua a un jardín si lo indica una aplicación de mitigación.
pronóstico del tiempo. Cualquier dispositivo que esté expuesto a Internet está Dadas las vulnerabilidades de seguridad en los sistemas modernos de IoT, es importante

sujeto a ciberataques y los dispositivos IoT no son una excepción, lo que analizar de manera integral los marcos de evaluación de riesgos cibernéticos, los vectores de

aumenta los riesgos asociados con ellos. Debido a la singularidad y la riesgos y la clasificación de riesgos. En este manuscrito, discutimos los riesgos cibernéticos

complejidad de alto nivel de la tecnología IoT, los expertos en riesgos relacionados con el entorno IoT y los sistemas IoT. Presentamos un análisis crítico de los marcos

identifican una nueva categoría de riesgos [ 4 4 ] Comprender los riesgos que de evaluación de riesgos de ciberseguridad, sus desafíos y perspectivas para el futuro, con

surgen de los dispositivos IoT y administrarlos se convierte en una necesidad énfasis en los sectores industriales y de atención médica, particularmente el Internet de las cosas

inminente de los profesionales de riesgos de seguridad de IoT. médicas (IoMT). El desarrollo de un enfoque computacional para calcular el riesgo cibernético

para los sistemas IoT es uno de los objetivos de esta investigación. Según la revisión y el análisis

de la literatura, se diseñó un enfoque científico para calcular el riesgo cibernético de los sistemas

IoT como parte de esta investigación, teniendo en cuenta los factores de impacto específicos de

1.2 vulnerabilidades y ataques de IoT IoT. Estos factores se aplicaron para calcular el impacto del riesgo y la probabilidad de los

Los dispositivos IoT, en los últimos tiempos, están cada vez más sujetos a dispositivos IoMT. El enfoque y la fórmula de la computación de riesgos se discuten en la sección

ataques cibernéticos que conducen a la pérdida de ingresos y pérdida de datos. posterior de este trabajo de investigación. Las fórmulas calculan la puntuación de riesgo y

Las vulnerabilidades comunes de IoT surgen debido a los siguientes factores: evalúan el nivel de riesgo (alto, medio, bajo) de los dispositivos IoMT. Los dispositivos IoMT

(a) arquitectura compleja, (b) configuración de seguridad inapropiada, (c) impactan y benefician directamente la vida humana, al proporcionar herramientas de monitoreo

seguridad física y (d) firmware o software inseguro [ 5 5 ] El Proyecto de de salud y dispositivos que salvan vidas. Los aspectos fundamentales de los riesgos de

seguridad de aplicaciones web abiertas (OWASP) presenta una lista completa ciberseguridad se examinan en esta investigación a través del lente de las teorías aplicables,

de las 10 vulnerabilidades principales para la arquitectura de IoT [ 6 6 ] La incluida la teoría de Dempster-Shafer y la teoría del juego de ciberseguridad. Los dispositivos

seguridad física es una de las principales vulnerabilidades que se ha explotado IoMT impactan y benefician directamente la vida humana, al proporcionar herramientas de

repetidamente en dispositivos IoT. El acceso no autorizado a los sistemas monitoreo de salud y dispositivos que salvan vidas. Los aspectos fundamentales de los riesgos de

implementados se obtiene mediante contraseñas débiles, adivinables o ciberseguridad se examinan en esta investigación a través del lente de las teorías aplicables,

codificadas [ 7 7 ] La confidencialidad, integridad y disponibilidad (CIA) se verán incluida la teoría de Dempster-Shafer y la teoría del juego de ciberseguridad. Los dispositivos

comprometidas si los dispositivos IoT tienen servicios de red inseguros. Los IoMT impactan y benefician directamente la vida humana, al proporcionar herramientas de

ataques son posibles si el firmware del dispositivo no está validado o si los monitoreo de salud y dispositivos que salvan vidas. Los aspectos fundamentales de los riesgos de

mecanismos antirretroceso no están en su lugar. Los ataques de IoT han ciberseguridad se examinan en esta investigación a través del lente de las teorías aplicables,

causado recientemente consecuencias desastrosas. Una red eléctrica ucraniana incluida la teoría de Dempster-Shafer y la teoría del juego de ciberseguridad.

fue atacada recientemente, lo que provocó el corte de electricidad [ 8 ] Huelga

decir que la protección de los sistemas IoT contra los ataques es un paso 2 Riesgos cibernéticos en el dominio de IoT
necesario que conduce a la reducción de riesgos. Asegurando sistemas IoT 2.1 Definición de riesgo de IoT

El riesgo cibernético (a veces llamado riesgo de Tecnología de la Información

(TI)) se define como la probabilidad combinada de un evento no deseado y su
nivel de impacto. El NIST (Instituto Nacional de Estándares y Tecnología) de EE.
implica resolver muchos complejos UU. Describe el riesgo como una función de la probabilidad de una fuente de
problemas relacionados con la tecnología. Una literatura reciente de investigación de amenaza determinada ' s ejercer cualquier vulnerabilidad potencial y el impacto
seguridad de IoT analiza la autenticación existente, los métodos de control de acceso y las resultante de ese evento adverso en la organización. La Organización
técnicas de administración de confianza [ 9 9 ] y recomienda que se pueda utilizar el Internacional de Normalización y la Comisión Electrotécnica Internacional (ISO /
modelado de amenazas de IoT para el proceso de mitigación de riesgos de IoT. IEC) definen el riesgo de TI como el potencial de una amenaza para explotar las
vulnerabilidades de los activos y dañar la organización. Se evalúa con respecto a
Los ataques de IoT se clasifican según la arquitectura de IoT y los una combinación de la probabilidad de que ocurra un evento y su impacto. Los
escenarios de aplicación [ 10 ] Las tres capas de IoT, a saber, la aplicación, la activos, las amenazas y la vulnerabilidad son tres componentes clave del riesgo
red y las capas de hardware, tienen problemas de seguridad. La inyección y el de seguridad de la información. La guía de prueba del Proyecto de seguridad de
desbordamiento del búfer son algunos de los ataques en la capa de aplicaciones web abiertas (OWASP) calcula el riesgo como igual a la probabilidad
aplicación. La capa física puede tener Sybil, ataques de repetición, reenvío multiplicada por el impacto cuando se asignan números específicos de
selectivo y ataques de sincronización en general. Los ataques Jamming y probabilidad e impacto. Existen diferentes definiciones de riesgo considerando las
MiTM (Man in The Middle) son los peligrosos en la capa de hardware [ 11 ] que amenazas y vulnerabilidades. Una definición centrada en la vulnerabilidad del
afectan a los protocolos de comunicación de la capa de capa física (PHY) y de riesgo cibernético se encuentra en NIST ' s Sistema de puntuación de
control de acceso a medios (MAC) a pesar de que existen mecanismos de vulnerabilidad común (CVSS) que calcula la gravedad del riesgo con
encriptación. El impacto de las características en evolución en las siete puntuaciones que van desde 0
categorías de amenazas a la privacidad, incluida la identificación,
Kandasamy et al. Revista EURASIP sobre seguridad de la información (2020) 2020: 8 Página 3 de 18

a 10. La conceptualización de los riesgos cibernéticos se investiga como se plantas y centros de informacion. A continuación se explican ejemplos de
refleja en las expresiones de dos grupos de profesionales: expertos en diferentes tipos de riesgos de IoT [ 17 ] con la Fig. 1 .
seguridad cibernética y creadores de ontologías relacionadas con la seguridad
cibernética [ 13 ] Ambos grupos dan importancia al concepto de vulnerabilidad, a) Riesgo ético de IoT: se refiere a los efectos adversos imprevistos de acciones
junto con su explotación por parte de un atacante. La definición misma de no éticas que utilizan dispositivos IoT. Volkswagen, una empresa de
Internet de las cosas (IoT) se refiere al sistema de dispositivos informáticos fabricación de automóviles, desarrolló e instaló software para hacer trampa
interrelacionados, máquinas mecánicas y digitales con la capacidad de en las pruebas de emisiones de diesel. Esto violó los EE. UU. ' s Ley de Aire
transferir datos a través de una red sin ninguna interacción humano-humano o Limpio, organización comprometida y estándares de la industria, y resultó en
computadora-ordenador [ 14 ] Obviamente, esperamos varios tipos de riesgos pérdidas financieras y de reputación masivas [ 18 años ]
cibernéticos en dicho sistema y los llamamos riesgos de IoT. Los diferentes
tipos de tales riesgos en un sistema IoT se analizan en la siguiente subsección.
b) Riesgo de seguridad y privacidad de IoT: se refiere a la explotación de
vulnerabilidades en el sistema para obtener acceso a los activos con la
intención de causar daños. En octubre de 2016, el Botnet Mirai
(malware especializado en IoT) lanzó un ataque DDoS en DYN que
provocó la caída de partes de Internet y afectó a Twitter, Netflix, CNN,
2.2 Tipos de riesgos de IoT Reddit y muchos otros [ 19 ] Esta categoría incluye también el riesgo de
Muchos dominios, incluidos las finanzas, la cadena de suministro y la atención médica, privacidad de IoT, que se refiere a la pérdida temporal o permanente
se ven afectados por los ataques de IoT. El sector de la salud es el principal objetivo de de control de datos que es perjudicial para la organización. La
los ataques de ciberseguridad en los Estados Unidos, en comparación con las violación de datos de eBay que ocurrió en el mes de mayo de 2014
instituciones industriales y financieras [ 15 ] Existen amenazas internas que causan provocó el pirateo de sus registros de clientes, incluidas las
desafíos únicos en el caso del proceso de evaluación de riesgos de IoT [ dieciséis ] Por contraseñas "( https: // www.
ejemplo, la persona con información privilegiada puede tomar discretamente una foto o [Link]/Cyber-Thieves-Took-DataOn-145-Million-eBay-Customers-By-Hacking-3
video de información organizacional sensible o IP utilizando una cámara de dispositivo ) ".
inteligente y luego compartirla deliberadamente con un tercero. Una persona con
información privilegiada también puede conectarse a la red de organizaciones
(mediante una unidad flash, Bluetooth o Wi-Fi) utilizando un dispositivo inteligente
infectado con malware. Si las vulnerabilidades en los dispositivos IoT (o el entorno IoT) c) Riesgo técnico de IoT: Esto se debe a una falla de hardware o software debido
son explotadas por amenazas en el sistema, esto conlleva riesgos de IoT. Como a un diseño, evaluación, etc. deficientes. Recientemente se descubrió que
ejemplo, el uso de dispositivos IoT para automatizar sus controles puede comprometer los chips de computadora personal creados en los últimos 20 años
la energía nuclear. contienen fallas de seguridad a nivel de chip. Meltdown es una
vulnerabilidad de hardware de microprocesador Intel × 86 que permite

Figura 1 Categorías de riesgo de IoT

Kandasamy et al. Revista EURASIP sobre seguridad de la información (2020) 2020: 8 Página 4 de 18

Un método falso para leer toda la memoria, aunque no está autorizado El riesgo de seguridad de la información se descompone en sus
para hacerlo. "( https: //[Link]. subcomponentes en este método. Los riesgos se evalúan para cada
[Link]/blog/35c3-spectre-meltdown-2019/21886/ ) ". subcomponente evaluando el impacto de las amenazas y los controles en los
Los problemas de diseño deficientes conducen a riesgos de privacidad y seguridad subcomponentes por separado. La agregación de todos los riesgos se realiza
de IoT. utilizando el cálculo de las funciones de creencias que determinan el riesgo
general. Las teorías de evaluación de riesgos de IoT se delinean en la Fig. 2 . De
Un riesgo de IoT es la probabilidad de que ocurra una amenaza y resulte en hecho, la informática con teoría de juegos se utiliza para la evaluación
un efecto adverso o daño a un activo de IoT. Un ejemplo de esto basado en IoT cuantitativa de riesgos en diferentes campos, incluida la seguridad de la
es la probabilidad de que ocurra un ataque de phishing en un dispositivo información [ 22 ] El equilibrio de Nash es una condición constante de un marco,
corporativo conectado, como una computadora portátil o un teléfono inteligente que incluye la cooperación de varios miembros donde ningún miembro puede
de la compañía, lo que provoca que varios sensores de IoT se infecten con detectar una diferencia desigual en el sistema si el otro ' Las estrategias
malware y, en consecuencia, la interrupción de una planta de fabricación ' s línea permanecen inalteradas. En una defensa - Circunstancia de ataque, se exhibe
de producción. Discutimos las teorías de riesgo de IoT en la siguiente un juego de elección sucesivo donde la salvaguardia elige una protección d, y
subsección en beneficio del lector. el agresor elige un asalto

2.3 riesgos de IoT - teorías aplicables a. Para esta situación, el resultado paralelo S habla del logro o decepción
Las teorías científicas que respaldan el concepto y la evolución del riesgo de del asalto. En consecuencia, las repercusiones para los dos jugadores
ciberseguridad se pueden extender fácilmente al dominio de IoT. Una dependen de la realización de uno ' s huelga. La estrategia de teoría de
función de creencia es una función matemática del grado de creencia al juegos para el análisis de riesgo de confrontación (ARA) necesita calcular la
combinar evidencia de diferentes fuentes [ 20 ] Puede considerarse como el probabilidad sobre S, restrictiva sobre (d, a). Se usa un árbol de decisión
marco formal para representar y razonar con información incierta. La teoría para procesar jugadores ' Condición de equilibrio de Nash en el nodo S. A
de la función de creencias de Dempster-Shafer se utiliza para modelar partir de entonces, el árbol de decisión para cada jugador se resuelve
incertidumbres en el proceso de evaluación de riesgos [ 21 ] Define el riesgo mediante programación lineal para determinar las ecuaciones que deben
como la probabilidad de fallas de seguridad del sistema de información, y cumplirse en el equilibrio de Nash. Se remite al lector a una excelente
evalúa si las amenazas y las medidas de control están presentes o no. El revisión de Sahinoglu et al. [ 22 ] sobre ciertos métodos de computación y
impacto de los factores de riesgo y las contramedidas del riesgo pueden aplicaciones de teoría de juegos para la evaluación cuantitativa de riesgos.
incorporarse utilizando el marco de función de creencias. El impacto de las Métodos específicos de teoría de juegos, incluido Neumann ' El equilibrio
medidas de control de riesgos en la seguridad de los sistemas de puro bidireccional de suma cero con soluciones óptimas de estrategia mixta
información (ISS) para múltiples amenazas se puede realizar fácilmente con y los equilibrios de Nash con estrategias puras y mixtas se tratan en detalle.
esta función. El general

Figura 2 Teorías de evaluación de riesgos de IoT

Kandasamy et al. Revista EURASIP sobre seguridad de la información (2020) 2020: 8 Página 5 de 18

Se proporcionan modelos computacionales para incluir la quintaesencia de los violación e incumplimiento; (d) el uso de plataformas de SO inseguras y el uso de
arreglos de teoría de juegos utilizados en una evaluación de riesgos, componentes de una cadena de suministro comprometida podría permitir que el
particularmente en referencia a marcos digitales y seguridad de la información. dispositivo se vea comprometido; y (e) la falta de endurecimiento de los dispositivos
Juego de seguridad cibernética (CSG) [ 23 ] es un método para distinguir (el endurecimiento es el proceso de asegurar un sistema al reducir su superficie de
cuantitativamente los riesgos de seguridad digital y utilizar esta medición para vulnerabilidad) conduce a vulnerabilidades. Pocos ataques como Hajime, IoT
decidir el uso ideal de las técnicas de seguridad para cualquier sistema Reaper, BrickerBot o Mirai [ 26 ] explotar las vulnerabilidades de los dispositivos IoT.
específico para cualquier nivel de riesgo predeterminado. El puntaje de riesgo se El Informe de amenazas móviles de McAfee 2019 [ 27 ] destaca la creciente
dicta mediante el uso de un modelo de impacto de la misión para registrar los proliferación de dispositivos IoT que conducen a posibles puntos de ataque en los
resultados de incidentes cibernéticos y unirlo con la probabilidad de que los hogares. Debido a la vulnerabilidad de un componente llamado ilnkP2P utilizado en
asaltos tengan éxito. Se utiliza una metodología multidimensional que incorpora la comunicación P2P de los dispositivos IoT, los atacantes pueden secuestrar
tanto FMEA (modo de falla y análisis de efectos) como la teoría de conjuntos dispositivos como timbres inteligentes y cámaras de seguridad. Los atacantes usan
difusos para el proceso de gestión de riesgos [ 24 ] FMEA es una técnica vulnerabilidades en la web y aplicaciones versátiles utilizadas por ciertos
compleja de investigación de diseño utilizada para distinguir modos de falla dispositivos de IoT para asegurar las certificaciones. Estas vulnerabilidades se
potenciales, circunstancias y áreas problemáticas que afectan el sistema ' s utilizarían para comprender y ver la alimentación de video, establecer
fiabilidad, mantenibilidad y seguridad de hardware y software. Esta metodología precauciones, expulsar cortes de video ahorrados del almacenamiento distribuido y
examina cinco elementos de seguridad de datos: acceso a datos y marcos, leer los datos de la cuenta. Las posibles vulnerabilidades podrían deberse a (a)
seguridad de comunicación, infraestructura, gestión de seguridad y sistemas de posibilidades de ataques de scripting entre sitios (XSS) en aplicaciones web, (b)
datos seguros. ' mejora. Este método proporciona información con respecto a las posibilidades de atravesar el directorio de archivos en el servidor de la nube, (c)
perspectivas básicas y las fallas de los proyectos que producen vulnerabilidades actualizaciones de dispositivos sin firmar y (d) dispositivo que ignora el servidor
en sus sistemas. validez del certificado En efecto, Los proveedores de IoT deben usar un firewall de
aplicación web que pueda proteger a los servidores del tráfico HTTP en la capa de
aplicación. Recientemente, los ataques de denegación de servicio (DDoS)
distribuidos por botnet han explotado vulnerabilidades de algunos miles de
dispositivos IoT que los utilizan para enviar tráfico deficiente a sitios web válidos.
Las vulnerabilidades aumentan drásticamente los riesgos nacidos debido a los
3 marcos de riesgo cibernético dispositivos de IoT, lo que exige la necesidad de un proceso estructurado de
El proceso de evaluación de riesgos (RAP) implica la identificación de riesgos evaluación de riesgos que generalmente es parte de los marcos de evaluación de
relacionados con todos los activos en un riesgos.
organización incluyendo estimación de riesgos y priorización. La evaluación de
riesgos es la parte central del proceso de gestión de riesgos, ya que constituye un
paso fundamental hacia el tratamiento de riesgos. La probabilidad de ataque y el
impacto del ataque son algunas de las características que se consideran en el
proceso de evaluación de riesgos. Existen pautas sobre cómo llevar a cabo el
proceso de evaluación de riesgos por parte del NIST [ 25 ] El tratamiento del riesgo
incluye (a) aceptar el riesgo si está por debajo de un nivel inofensivo (apetito de 3.2 Marcos de IoT y RAP
riesgo), (b) mitigar el riesgo mediante la aplicación de medidas de seguridad, (c) Existen algunos marcos RAP populares como NIST, ISO / IEC y OCTAVE
transferir el riesgo o (d) evitar el riesgo eliminando el activo afectado. Esta sección [ 28 ] que están actualmente en uso. Cada metodología de evaluación de
resumirá las vulnerabilidades de los dispositivos IoT y los diferentes tipos de riesgos tiene sus aspectos únicos. Dos aspectos críticos que son
procesos de evaluación de riesgos de IoT. pertinentes para la medición del riesgo son (a) la naturaleza del enfoque y
(b) la metodología adoptada para medir el riesgo. Aquí, buscamos
investigar algunos marcos de RAP existentes, la metodología específica
adoptada por cada RAP y su idoneidad para evaluar los riesgos de IoT.
3.1 Vulnerabilidades de los dispositivos IoT Existen enfoques cualitativos y cuantitativos para medir los riesgos
El entorno de IoT se ocupa de muchos dispositivos heterogéneos, y estos cibernéticos de una organización. El Instituto Nacional de Estándares y
dispositivos pueden ser vulnerables a los ataques cibernéticos. Los nodos Tecnología (NIST) [ 29 ] el marco está bien documentado y proporciona
sensores, dispositivos inteligentes y dispositivos portátiles que se usan en el orientación sobre la evaluación de riesgos y la implementación de la
dominio de IoT son dispositivos con recursos limitados. Las siguientes gestión [ 30 ], pero no tiene un modelo al que hacer referencia. NIST no
vulnerabilidades son posibles con estos dispositivos: (a) La tríada CIA contiene un modelo de evaluación de impacto de IoT, y evalúa los riesgos
(confidencialidad, integridad y disponibilidad) se ve comprometida si los servicios cualitativamente. Las organizaciones pueden elegir muy bien el marco
de red no son lo suficientemente seguros en los dispositivos IoT; (b) el dispositivo NIST para la planificación de desastres y recuperación. Sin embargo,
y sus componentes relacionados se ven comprometidos si la web, la API y la nube NIST tiene
no están protegidos; (c) la falta de validación de firmware en un dispositivo puede
conducir a la tríada de la CIA
especial consideraciones para Riesgo de IoT
Kandasamy et al. Revista EURASIP sobre seguridad de la información (2020) 2020: 8 Página 6 de 18

administración. NIST IR 8228 [ 31 ] documenta los posibles desafíos con los parches o actualizaciones de software. Aunque los dispositivos IoT son flexibles e
dispositivos IoT y las consideraciones de riesgo para lograr la seguridad de los interoperables, aumentan la superficie de ataque. Las actualizaciones de firmware
dispositivos y los datos. OCTAVE (Evaluación de amenazas, activos y del dispositivo, las actualizaciones de protocolo y las aplicaciones nuevamente
vulnerabilidades operativamente críticas) es otro marco de evaluación de conducen a una mayor superficie de ataque que debe asegurarse. Con base en
riesgos cualitativo que propone ocho pasos [ 32 ] Estos pasos incluyen (1) estas consideraciones, es aconsejable que el proceso de evaluación de riesgos de
establecer criterios para medir el riesgo, (2) desarrollar perfiles de activos, (3) IoT se diseñe para que sea muy completo. La mayoría de los marcos de evaluación
identificar contenedores de activos, (4) identificar áreas en cuestión, (5) de riesgos de IoT ampliamente utilizados se comparan por sus fortalezas y
identificar esquemas de amenazas, (6) reconocer riesgos, (7) examinar debilidades en la siguiente subsección.
riesgos y (8) mitigar riesgos. Los métodos cualitativos y cuantitativos se
combinan en unos pocos sistemas. La compañía GSMA ha creado un marco
para el proceso de evaluación de riesgos de IoT "( https: // 4.1 Análisis de IoT CSRF

[Link]/iot/iot-security-assessment/ ) " empleando OCTAVE como la En la sección anterior se discutieron varios CSRF (marcos de riesgo de
plataforma de evaluación de riesgos base. GSMA se basa en un enfoque seguridad cibernética), incluidos OCTAVE, NIST e ISO. No es necesario
estructurado que puede encajar en el modelo de la cadena de suministro. agregar, se debe tener especial cuidado para evaluar el riesgo en el entorno de
IoT ya que la noción de IoT conlleva un riesgo complejo para los activos /
dispositivos. Actualmente no hay marcos de riesgo de IoT estándar disponibles.
ISO (normas internacionales Pero los marcos de evaluación de riesgos existentes pueden modificarse
Organización) incluye estándares de riesgo cibernético y promueve la ligeramente para manejar los riesgos de IoT. Para estandarizar los enfoques de
estandarización del riesgo cibernético [ 33 ] Pocos métodos podrían evaluación de impacto, Radanliev et al. [ 36 ] han construido un modelo para
considerarse como métodos complementarios junto con un proceso principal de identificar y capturar el riesgo cibernético de IoT a partir de los vectores de
evaluación de riesgos como NIST e ISO. La evaluación de amenazas y el riesgo derivados que ofrecen nuevos principios de diseño para evaluar el riesgo
análisis de remediación (TARA) es uno de esos ejemplos que facilita la cibernético. También realizaron un análisis empírico de diferentes métodos de
recuperación del sistema pero no logra abordar el nivel de impacto del riesgo evaluación de riesgos para definir un estado objetivo para las empresas que
cibernético [ 34 ] Nos centramos principalmente en NIST, OCTAVE, ISO y TARA integran dispositivos IoT con servicios [ 37 ] Este método utilizó un enfoque
en este artículo. En la siguiente sección se presenta un análisis crítico de estos orientado a objetivos para estandarizar la evaluación del impacto del riesgo de
marcos de riesgo de IoT basado en diferentes factores. IoT. Se ha introducido un nuevo modelo de IoT MicroMort para calcular el riesgo
de IoT [ 38 ] que puede probar y validar dispositivos conectados a IoT. Este
sistema incluso puede calcular pronósticos futuros para el riesgo de IoT. Nuevas
metodologías para evaluar el riesgo considerando la dinámica y la unicidad de
4 Análisis crítico de los marcos de riesgo de IoT IoT se han descrito en otra parte [ 35 ] También se ha propuesto una metodología
Antes de analizar los marcos de riesgo de IoT, es importante conocer la de certificación de seguridad de IoT para evaluar soluciones de seguridad de
singularidad de los sistemas de IoT y las razones de la inadecuación de los forma automatizada [ 39 ] Aquí, los riesgos relacionados con IoT se mapean con
enfoques actuales de evaluación de riesgos para IoT [ 35 ] Los sistemas IoT el proceso de gestión de riesgos COBIT5, y se propone un marco de riesgo de
pueden sufrir cambios drásticos en un corto período debido a la interoperabilidad IoT con los procesos, roles, operaciones y áreas de riesgo efectivos asociados [ 40
de los dispositivos IoT y, por lo tanto, las evaluaciones periódicas tienen sus ] Un marco básico de riesgos unificados (CURF) [ 41 ] compara diferentes
limitaciones en los sistemas IoT. Los sistemas de IoT deben evaluarse métodos existentes y proporciona una medida de integridad. En todos los
continuamente. Los activos interconectados con Internet pueden generar nuevos marcos anteriores, se considera que los vectores de riesgo específicos para los
riesgos y comprometer el dispositivo en el entorno de IoT. Los activos se tratan sistemas IoT mitigan y gestionan los riesgos materializados por los dispositivos
como valores de las organizaciones en los enfoques tradicionales de evaluación IoT.
de riesgos, pero los dispositivos de IoT pueden ser la base de los ataques en el
caso del entorno de IoT. En los sistemas IoT, la falla también puede ocurrir
cuando se realiza la evaluación de los procesos a través de los cuales los
dispositivos están vinculados, es decir, las conexiones que permiten que estos
dispositivos se acoplen y funcionen. Por lo tanto, el proceso tradicional de
evaluación de riesgos cibernéticos debe personalizarse para los sistemas IoT
teniendo en cuenta los puntos anteriores. Debido a su modelo de conectividad, La 4.2 Consideraciones de NIST para IoT

implementación de IoT es diferente de la TI tradicional. El entorno IoT trata con NIST ' s Ciberseguridad para el programa IoT [ 31 ] ha creado y conectado
varios modelos y dispositivos de conectividad que pueden no ser compatibles con normas, reglas y herramientas relacionadas para mejorar la seguridad de los
la tríada de la CIA. Las salvaguardas comunes incluyen tecnologías tales como dispositivos asociados y las condiciones en las que se encuentran. Al
encriptación de datos, autenticación y controles de acceso, y sistemas trabajar junto con socios de manera transversal sobre el gobierno, la
automatizados. industria, los organismos universales y la academia, este programa pretende
desarrollar la confianza y potenciar el avance a escala mundial. NIST
sugiere posibles enfoques
a la conformidad de IoT
Kandasamy et al. Revista EURASIP sobre seguridad de la información (2020) 2020: 8 Página 7 de 18

evaluaciones tales como (a) se pueden crear diferentes evaluaciones basadas en el se usa junto con el marco NIST y las consideraciones de IoT de NIST son
tipo y la función del dispositivo, (b) la industria puede conducir a mejores prácticas aplicables aquí también.
para crear requisitos y enfoques de evaluación, (c) puede diseñar evaluaciones para
permitir la flexibilidad necesaria para satisfacer la demanda del mercado, (d) 4.5 ISO para IoT
aprovechar diferentes enfoques de evaluación de la conformidad (por ejemplo, ISO promueve el cumplimiento y la estandarización y se basa en el
autocertificación, certificación de terceros) en función del riesgo asociado con el tipo cumplimiento voluntario y la estandarización basada en el consenso. De
o entorno del dispositivo, y (e) centrarse en las capacidades del dispositivo IoT, no en hecho, la experiencia internacional se refleja en ISO ya que las medidas son
el uso. NIST tiene tres objetivos con respecto a la gestión de riesgos de IoT - para creadas por las personas que las necesitan a través de un procedimiento de
proteger la seguridad del dispositivo, la seguridad de los datos y la privacidad de las acuerdo. ISO refleja una gran experiencia y aprendizaje global, ya que los
personas. NIST es un marco ampliamente utilizado para la gestión de riesgos, y es especialistas de todo el mundo ayudan a construir los estándares ISO
muy adecuado para la planificación de desastres y recuperación en dominios que requeridos. La mayor oportunidad para la evaluación del riesgo cibernético
involucran sistemas IoT. ISO es el potencial de convertirse en una referencia de estandarización
mundial. Dado que ISO contiene individuos de 161 naciones y 778 juntas y
subcomités especializados, esto plantea un gran desafío en la coordinación
e integración de estándares específicos. La norma ISO / IEC 27001
4.3 OCTAVA para IoT establece y mantiene criterios de riesgo de seguridad de la información,
OCTAVE es apropiado para la evaluación de riesgos de hogares inteligentes, ya que reconoce los riesgos relacionados con la pérdida de seguridad y
tiene un contenedor de activos para cubrir la seguridad física y cibernética [ 42 ] disponibilidad de información, identifica a los propietarios de esos riesgos y
OCTAVE ayuda a descubrir diversas vulnerabilidades de seguridad de los hogares analiza los riesgos de seguridad de la información de acuerdo con ciertos
inteligentes basados ​en IoT, presenta los riesgos para los habitantes de los hogares y criterios. ISO / IEC 30141 proporciona la arquitectura de referencia
propone enfoques para mitigar los riesgos identificados. OCTAVE considera cuatro necesaria para reducir los riesgos y maximizar los beneficios para las
fases de la siguiente manera: aplicaciones de IoT. Además, ISO / IEC 27030 proporciona las pautas de
seguridad y privacidad para los sistemas IoT. Mesa 1 resume las áreas de
enfoque, fortalezas, debilidades y otros atributos para cada uno de estos
1) Establecer la fase de impulsores: esta fase desarrolla criterios para medir CSRF. También proporciona detalles sobre el enfoque de evaluación, las
el riesgo, que es la base para la evaluación del riesgo industrias donde se utilizan y los estándares publicados. De la mesa 1 , se
puede inferir que los cuatro CSRF ' s cubren los principios de la CIA. En
2) Fase de activos de perfil: esta fase establece límites para activos e consonancia con un análisis crítico de los CSRF, también es importante
identifica requisitos de seguridad aventurarse en el proceso de evaluación de riesgos seguido en las
3) Fase de identificación de amenazas: esta fase identifica las amenazas de industrias, las finanzas y los sectores de la salud. En la siguiente sección,
seguridad de los activos donde se almacena, transporta o procesa el activo explicamos los CSRF que actualmente se utilizan en estos sectores para
de información IoT.
4) Fase de mitigación de riesgos: esta fase determina y ejecuta una estrategia de

mitigación de riesgos para los activos identificados.

OCTAVE utiliza un cuestionario estandarizado para clasificar las

porciones de impacto de recuperación y no cuantifica el riesgo.

4.6 CSRF en sectores industriales y financieros

4.4 TARA para IoT Los sistemas de control de supervisión recibido y adquisición de datos
TARA es un marco predictivo para las exposiciones más cruciales. Hay (SCADA) y los sistemas ciberfísicos (CPS) son los principales ejemplos de
tres ventajas principales de TARA. Desglosa los posibles ataques a una sistemas industriales que utilizan IoT. En las siguientes subsecciones,
lista manejable de posibles ataques. Mejora la calidad de las evaluaciones delineamos CSRF en tales sectores industriales y financieros.
de riesgo y control y comunica riesgos y recomendaciones a la
organización. Puede mejorar los resultados, disminuir el esfuerzo general
del análisis de riesgos y ayudar a tomar mejores decisiones. Fue 4.7 CSRF en sistemas SCADA y CPS
desarrollado para un entorno grande, muy valioso y diverso dentro de Intel SCADA e IoT tratan sobre sensores y adquisición de datos, pero el objetivo
( R) en respuesta a la necesidad de evaluar los riesgos de seguridad de un común de ambos sistemas es la optimización del uso y un mejor control
panorama de amenazas muy complicado y en rápida evolución. TARA no sobre los dispositivos o un proceso. Por lo tanto, es esencial discutir los
cuantifica el impacto de los riesgos y no promueve la defensa contra la sistemas de evaluación de riesgos en los sistemas SCADA y CPS. Las
vulnerabilidad. En la mayoría de los casos, TARA mejores prácticas de seguridad y la evaluación de riesgos de los sistemas de
control industrial (ICS) y SCADA, que es un tipo de ICS, son
Kandasamy et al. Revista EURASIP sobre seguridad de la información (2020) 2020: 8 Página 8 de 18

tabla 1 Comparación de CSRF

Nombre de Propietario Áreas de enfoque de IoT Fortalezas Debilidad Industrias utilizadas / Enfoque de Cobertura de la Normas
CSRF aplicadas evaluación de CIA (S / N) publicadas de
riesgos de IoT IoT

NIST NIST Estándares, tecnología, Marco más valioso en la gestión El marco está documentado Empresas de consultoría Cumplimiento Y si
asociaciones, publicaciones, de riesgos cibernéticos y pero esta no es una de fabricación, seguros, (normas y directrices
inteligencia de mercado y excelente para la planificación herramienta automatizada. salud, finanzas, gobierno y con documentación)
adopción gubernamental de desastres y recuperación Sin cuantificación del seguridad / riesgo
riesgo.

OCTAVE Octave Recursos de información de la El cuestionario estandarizado se No hay método de Casas inteligentes, Método Y No
Alegro organización. aborda para explorar y clasificar cuantificación para calcular dirigidas a empresas cualitativo
las áreas de impacto de la recuperación con recursos limitados.
recuperación

TARA Intel Análisis de susceptibilidad a Marco predictivo para la mayoría de Sin cuantificación del Fabricación, seguros, Método norte si
amenazas y análisis de las exposiciones cruciales. impacto del riesgo asistencia sanitaria, cualitativo
remediación de riesgos financiera

YO ASI ISO con 164 Global Promueve la estandarización La estandarización Pequeñas empresas o Cumplimiento Y si
organismos estandarización de la del riesgo cibernético y sigue internacional requiere un corporativas, (normas y directrices
nacionales de evaluación de riesgos la experiencia y el nivel de cumplimiento gubernamentales o privadas con documentación)
normalización conocimiento internacional. obligatorio

tomado en consideración [ 43 ], y se ha desarrollado un modelo de riesgo para (exposición o pérdida esperada) para instalaciones SCADA y DCS están siendo
ICS utilizando la herramienta marco CORAS [ 44 ], que es un lenguaje de mejoradas por actualizaciones constantes. Además, todos los controles de
modelado de riesgos basado en UML (Unified Modeling Language). Alrededor seguridad en los sistemas CPS pueden extenderse fácilmente a los sistemas IoT.
de 24 métodos de evaluación de riesgos desarrollados o aplicados para
sistemas SCADA se revisan excelentemente en otros lugares [ 45 ] Una
encuesta detallada de los sistemas de gestión de riesgos de ICS [ 46 ] ha 4.8 CSRF en sistemas financieros
considerado el dominio de la aplicación, la medición del impacto y el soporte de En la economía global del siglo XXI, parece muy probable que el dominio
herramientas, y finalmente, se ha presentado un marco general de análisis de de IoT cambie la forma en que operan los sectores bancario y financiero.
riesgo probabilístico. El apoyo a la decisión se proporciona cuantificando los Dado que el negocio financiero gestiona una enorme transferencia de
factores de riesgo [ 47 ] y también se recomienda el cifrado y la modificación del datos, ensamblaje y desglose de
software de operación para infraestructuras críticas. Los ataques de información, IoT
ciberseguridad en un sistema CPS conducen a varios riesgos que afectan la Los sistemas tienen un gran impacto en él, lo que es beneficioso tanto para
infraestructura, degradan el rendimiento y hacen que los servicios críticos no las administraciones financieras como para el cliente. Las rápidas
estén disponibles. Como en otros sistemas, es importante proteger a CPS de innovaciones en IoT han dado un impulso a la industria bancaria y monetaria
tales riesgos. Es de destacar que, debido a la complejidad inherente del permitiéndoles ayudar a sus clientes en la búsqueda de objetivos y resultados
sistema CPS, la gestión de riesgos es muy difícil. Para identificar los activos comerciales. Los sensores biométricos y posicionales desempeñan un papel
críticos de CPS y evaluar sus vulnerabilidades, se ha informado un marco de vital en el negocio financiero para el seguimiento con control de calidad. Con
gestión de riesgos para CPS [ 48 ] La herramienta RiskWatch proporciona la innovación de IoT, los bancos pueden despachar mejor y permanecer
evaluaciones de riesgo / vulnerabilidad y utiliza interfaces fáciles de usar, bases enfocados en la administración. Ayudará al negocio financiero a comprender
de datos de información completas, diseños de examen de riesgos qué artículo enviar y, además, ayudará a elegir el momento oportuno para
predefinidos, capacidades de conexión de información y sistemas de enviar el artículo. La innovación de IoT ha hecho que la presentación
diagnóstico de investigación de riesgos demostrados [ 49 ] Se han descrito personalizada sea viable para que el banco monitoree todos los ejercicios de
indicadores para establecer reglas, mejores prácticas, dispositivos de los clientes y ofrezca servicios de acuerdo con sus preferencias. La
seguridad, innovaciones de agencias gubernamentales (NIST) y asociaciones innovación de IoT garantiza que toda la experiencia financiera debe estar
industriales como North American Electric Reliability Corporation (NERC) o protegida y segura. IoT puede ayudarlo a ahorrar dinero con la comprensión
American Gas Association (AGA) [ 46 ] Evaluación de riesgo probabilístico para de los clientes '
estimar el riesgo.

Presente la situación financiera y ofrezca soluciones al cliente según los

requisitos. Esto garantizará una buena experiencia del cliente que
conduzca a una banca saludable
Kandasamy et al. Revista EURASIP sobre seguridad de la información (2020) 2020: 8 Página 9 de 18

relación con su cliente. Las innovaciones de IoT también han hecho que sea En los otros sectores, los sectores de la salud utilizan muchos dispositivos
viable para la industria bancaria y monetaria identificar cualquier falla biomédicos (por ejemplo, marcapasos cardíacos, bombas de insulina subcutáneas
administrativa y llevarla al aviso del banco para tratar el problema. Con la continuas), y estos dispositivos causan riesgos adicionales para la privacidad del
innovación de IoT, un banco también puede seguir las actividades pasadas paciente. Actualmente, gracias a la aplicación ubicua de Internet y las redes en
y el comportamiento del cliente. La innovación de IoT en la industria tiempo real y monitoreo estático de dispositivos médicos, existe un aumento
bancaria y financiera recopila información a través de aplicaciones portátiles proporcional en el riesgo de posibles amenazas de ciberseguridad. Estas
y sensores computarizados. De hecho, casi todos los bancos tienen amenazas de ciberseguridad afectan la efectividad del dispositivo y la seguridad
aplicaciones móviles para la banca que brindan silos de información a gran de los registros electrónicos de salud (EHR). Por lo tanto, los sistemas de atención
escala, lo que ayuda a la industria bancaria y monetaria a analizar con médica necesitan marcos de riesgo que puedan evaluar dichos riesgos debido a
precisión los requisitos y la conducta del cliente. los dispositivos médicos de IoT y mitigarlos. Además, la telemedicina remota y las
cirugías asistidas por robot necesitan precisión, exactitud y privacidad y presentan
diferentes riesgos para la privacidad y seguridad del paciente.
Una de las ventajas más significativas de IoT en el segmento financiero es dar
administraciones simples y satisfactorias a los clientes de tarjetas de crédito y débito.
Los bancos pueden analizar el uso de cajeros automáticos en territorios explícitos e
incrementar / rechazar el establecimiento de cajeros automáticos que dependen de
los volúmenes de uso. Los bancos también pueden utilizar la información de IoT para 4.10 CSRF para dispositivos de IoT médicos y sanitarios
acelerar los beneficios de las solicitudes a los clientes al dar cabinas y mejorar los Se ha propuesto un sistema de puntuación de riesgo cibernético [ 54 ], que lleva un
servicios de administración. La información del cliente accesible a través de IoT médico ' s evaluación de un dispositivo médico en cuenta. Un médico ' Aquí se
ayudará a los bancos a reconocer a sus clientes ' Necesidades del negocio, considera la evaluación del peor de los casos del potencial de un dispositivo
médico para impactar a un paciente. Un modelo STRIDE (desarrollado por
su valor Microsoft ( R) para clasificar las amenazas [ 55 ]) se utiliza para generar puntajes de
cadena - como proveedores, minoristas, distribuidores - y además obtener riesgo para estos dispositivos. Este sistema de puntuación mejora el método de
información de los clientes. Los ataques cibernéticos a las instituciones evaluación del riesgo cibernético para dispositivos médicos. La facilidad de uso, el
financieras están aumentando día a día. El robo de dinero / datos, la bajo costo y los resultados intuitivamente atractivos son los tres objetivos clave de
interrupción de operaciones, la destrucción de infraestructura y el compromiso este sistema. En caso de cualquier evento adverso, nos gustaría capturar los
de las instituciones de servicios financieros (FSI) son algunos de los objetivos factores de impacto y esto se logra mediante un modelo de evaluación de riesgos
de los ciberdelincuentes. Es bastante evidente que los riesgos presentados por médicos [ 56 ] Los escenarios de riesgo se muestran utilizando un árbol de fallas
los sectores financieros deben evaluarse y gestionarse. Hay pocos marcos de estáticas, y este sistema introduce la inferencia bayesiana para investigar las
evaluación de riesgos utilizados actualmente por los bancos, incluido el NIST. operaciones de los dispositivos médicos. La infección por hemodiálisis se utiliza
Se ha elaborado un marco que evalúa el riesgo cuantitativamente para los como un caso de ejemplo, y se recomiendan métodos de simulación como la
sectores financieros [ 50 ] Esto se basa en el marco de tipo VaR para evaluar el simulación Monte Carlo y la red de Petri. Curiosamente, se ha propuesto un marco
riesgo de estabilidad. Se destacan algunos desafíos que enfrentan las estructurado [ 57 ] para describir, diseñar e implementar IoT de salud. Este proceso
instituciones financieras para medir el riesgo cibernético y también se han ayuda en la estandarización y la interoperabilidad. Se ha informado de un método
evaluado varias metodologías líderes de gestión del riesgo cibernético [ 51 ] Este de evaluación de riesgos de IoT por un sistema inmune artificial [ 58 ] Usando la
sistema también proporciona recomendaciones e ideas sobre cómo las teoría de conjuntos, este sistema deriva la simulación de principios inmunes y los
instituciones financieras pueden cuantificar el riesgo cibernético. La plataforma detectores de ataque. La cuantificación de la evaluación de riesgos de la seguridad
de software RiskLens [ 52 ] ayuda a gestionar el riesgo de ciberseguridad de IoT permite un proceso de evaluación de riesgos preciso y creíble. Con la era
cuantificándolo en términos financieros. RiskLens se basa en FAIR [ 53 ], que es digital marcando el comienzo de una revolución en las prácticas de atención
un modelo de cuantificación de riesgo cibernético estándar mundial. RiskLens médica, un marco de riesgo de ciberseguridad que puede identificar los riesgos
se basa en el software como un tipo de solución de servicio, y evalúa, prioriza y involucrados con los dispositivos médicos y los datos de EHR se ha convertido en
justifica las inversiones en seguridad. una necesidad. Este marco ideal también debería ser capaz de priorizar los riesgos
y tomar las medidas necesarias para mitigarlos. De acuerdo con la Encuesta de
Ciberseguridad HIMSS 2018 "( https: //[Link]. org / sites / hde / files / d7 /
u132196 / 2018_HIMSS_Cybersecurity_Survey_Final_Report.pdf ) ", El marco de
seguridad más utilizado (57,9%) en la asistencia sanitaria es NIST, y Health
Information Trust Alliance (HITRUST) viene a continuación con
4.9 Marcos de riesgo de ciberseguridad en sistemas de salud
El sector de la atención médica es uno de los 16 sectores de infraestructura
críticos, y las violaciones de datos aumentan cada día en la atención médica
debido a ataques de phishing, bases de datos mal configuradas, ataques de
ransomware, ataques de malware y errores causados ​por empleados y
proveedores externos. Por lo tanto, es importante identificar tales riesgos y
tratarlos. diferente a 26,4%. Herman y col. [ 59 ] sugirió considerar el NIST
Kandasamy et al. Revista EURASIP sobre seguridad de la información (2020) 2020: 8 Página 10 de 18

El marco de ciberseguridad como aspecto obligatorio para los sectores de la salud. Los sensores médicos biofísicos miden la temperatura corporal, el movimiento,
Pautas de NIST [ 60 60 ] mejorar la gestión del riesgo cibernético la actividad eléctrica del corazón y los músculos, y otras características del
proceso para crítico infraestructuras paciente. IoMT tiene problemas de privacidad y seguridad en todas las capas
HITRUST [ 61 ] CSRF se basa en las normas ISO y las normas de la Comisión como IoT. La capa de percepción de IoMT tiene que adquirir datos (p. Ej.,
Electrotécnica Internacional (IEC). Tiene el paquete que contiene el marco de Frecuencia cardíaca, temperatura) de los sensores y transferirlos a la capa de
gestión de riesgos HIPAA, ISO, NIST, COBIT y el Estándar de seguridad de red. Hay cuatro cosas médicas diferentes (MT) posibles en la capa de
datos de la industria de tarjetas de pago (PCI). Symantec ( R) ha desglosado las percepción:
cinco funciones del NIST CSF desde la identificación del riesgo hasta el
proceso de recuperación y ha analizado cómo estas funciones deben
modificarse para los sectores de salud. Para cumplir con los requisitos y a) Dispositivos portátiles: relojes inteligentes, sensores de temperatura y
regulaciones de atención médica, el marco NIST necesita someterse a algunas presión, monitoreo cardíaco y sensores de actividad muscular, y
modificaciones. Función PROTECT de NIST que se ocupa de la seguridad sensores de glucosa y bioquímicos
junto con la conciencia y la capacitación de los empleados ' necesita ser
modificado Para identificar una brecha en el cuidado de la salud a tiempo, los b) Dispositivos implantables: cápsula de cámara tragable para
componentes centrales de la función DETECTAR, que incluye la detección de visualización del tracto gastrointestinal, marcapasos cardíacos
anomalías, deben monitorearse continuamente. Es importante que las integrados y desfibriladores automáticos implantables (DCI)
organizaciones de atención médica presenten tecnologías para comprender
cuándo y cómo ocurre la violación y cómo mitigar el riesgo. En última instancia, c) Dispositivos ambientales: sensores de movimiento, sensores de puerta, sensores de

las cinco áreas funcionales centrales del marco NIST - Identificar, proteger, vibración, etc.

detectar, responder y recuperar deben estudiarse a fondo y modificarse de d) Dispositivos estacionarios: dispositivos de imagen como tomografía computarizada y

acuerdo con las necesidades del sector sanitario. Ampliar las cinco áreas a los dispositivos quirúrgicos

sistemas IoT para proporcionar una evaluación continua es un objetivo ideal

para el futuro. Los posibles ataques en cada una de las capas IoMT se detallan a continuación [ 63 ]:

Capa de percepción IoMT: manipulación de dispositivos, clonación de etiquetas y

seguimiento de sensores. Capa de red IoMT: espionaje, reproducción, MiTM,

acceso no autorizado y DoS.

4.11 Dominio de riesgo IoMT

Es fundamental comprender la extracción de los vectores de riesgo cibernético Capa de middleware IoMT: falsificación de solicitudes entre sitios,
para el IoMT, especialmente los dispositivos médicos. Aman y col. [ 62 ] han secuestro de sesión y scripting entre sitios (XSS). Capa de aplicación
alineado los modelos de sistemas de gestión de riesgos relacionados con los IoMT: inyección SQL, secuestro de cuentas, ransomware y fuerza bruta.
servicios de seguridad con los requisitos estándar de HIPAA y han evaluado los Capa empresarial IoMT: divulgación de información, engaño de
enfoques de gestión de riesgos existentes para la salud en línea impulsada por información, interrupción debido a DoS y acceso no autorizado al
IoT. El Internet de las Cosas Médicas (IoMT) es una combinación de dispositivos sistema debido a un ataque de sumidero
médicos y aplicaciones que están conectados a sistemas de tecnología de la
información de atención médica mediante una red inalámbrica o una red
informática en línea. Por ejemplo, IoMT conecta a los pacientes con los médicos
y permite la transferencia de datos médicos a través de una red segura. Por lo Riesgo de IoMT r de un dispositivo médico re se puede calcular como

tanto, se reducen las visitas innecesarias al hospital. La monitorización de r (d) = Σ p (d) × k (d) dónde pags representa el impacto del ataque exitoso del
pacientes es una de las principales aplicaciones de IoMT en hospitales. Los dispositivo re y k representa la probabilidad de un ataque de dispositivo re.
fabricantes de dispositivos controlan de forma remota varios tipos de equipos
hospitalarios, como la resonancia magnética (MRI), la MRI funcional (fMRI), la
tomografía computarizada (CT) y los escáneres de tomografía por emisión de 4.12 Aplicaciones de dispositivos IoMT
positrones (PET). y esto es muy útil para que detecten y corrijan problemas con La monitorización remota de pacientes (RPM) ayuda a monitorizar pacientes ' actividades
los dispositivos en tiempo real, incluso antes de que el problema los alcance o cardíacas y nivel de glucosa, y los médicos pueden recibir alertas automáticas
aumente en gravedad. Varias compañías también usan IoMT para cuando sea necesario. Existen dispositivos inteligentes portátiles que pueden
actualizaciones de rendimiento de sus productos y para diagnósticos remotos. monitorear a un usuario ' s parámetros fisiológicos como frecuencia cardíaca,
Los biosensores son uno de los componentes principales de IoMT y detectan saturación de oxígeno (oxímetro de pulso), patrones de electrocardiograma
características de la sangre, la respiración y los tejidos. No- (ECG), niveles de glucosa en sangre, actividad eléctrica del marcapasos cardíaco
en caso de un evento cardíaco, etc., en tiempo real y transmitir estos datos al
médico consultor. Por lo tanto, proveedores de atención médica, aseguradoras,
médicos,
Kandasamy et al. Revista EURASIP sobre seguridad de la información (2020) 2020: 8 Página 11 de 18

y todos los pacientes se benefician enormemente de IoMT debido a la mejor calidad de mesa de operaciones. Banerjee y col. [ 67 ] enumera las técnicas de seguridad que
la atención al paciente. No es sorprendente que un cardiólogo pueda controlar a un utilizan la tecnología blockchain. La FDA proporciona recomendaciones para mitigar
paciente. ' La actividad cardíaca mediante teléfonos inteligentes y pacientes puede ver y gestionar las amenazas de ciberseguridad. Un libro de jugadas [ 68 ] por MITRE
sus propios datos mediante portales de pacientes en línea. Un monitor de glucosa en Corporation ( R) cubre la preparación y respuesta para problemas de ciberseguridad
el hogar y un monitor cardíaco de la sala de emergencias son algunas otras de dispositivos médicos. Los pacientes en general parecen desconocer los peligros
aplicaciones de IoMT. IoMT ayuda a las aseguradoras a ver los datos de los pacientes de los ataques cibernéticos, y consideran la seguridad de sus dispositivos médicos
más rápidamente y hacer que el procesamiento de reclamos sea más rápido y preciso. implantados (IMD) como un aspecto secundario [ 69 ] tal vez debido a la falta de
Sin embargo, hay muchas oportunidades para muchos tipos de ataques en IoMT. Los conciencia adecuada. Queda por ver si los pacientes y los médicos reconocerán la
dispositivos IoMT están sujetos a muchos ataques cibernéticos y necesitan procesos necesidad de salvaguardas de seguridad especializadas, incluso si se crean y
de gestión de riesgos para ayudar en los esfuerzos de mitigación [ 64 ] Algunos de los proporcionan [ 70 ]; por lo tanto, se necesita más trabajo para aumentar la conciencia
dispositivos IoMT populares se explican a continuación para ayudar a apreciar mejor de los posibles riesgos de ciberseguridad en el ámbito de los dispositivos médicos.
esta aplicación:

Monitor inteligente de glucosa: Los pacientes con diabetes usan esto para
controlar sus niveles de azúcar en la sangre. Este dispositivo médico portátil está
4.14 Vectores de riesgo para IoMT
conectado a un sistema remoto y con teléfonos celulares para que pueda realizar
Se ha propuesto un conjunto de herramientas de taxonomía único [ 71 ] para
una evaluación continua de los niveles de glucosa en sangre.
manejar las vulnerabilidades de los dispositivos médicos. Esto tiene una matriz
de análisis de brecha de esfuerzo para descubrir las brechas de esfuerzos en las
Marcapasos: Es un pequeño dispositivo que se encuentra en el pecho o en la región media
aplicaciones. Este conjunto de herramientas ayuda a comprender mejor el
para ayudar a controlar los ritmos cardíacos aberrantes. Este dispositivo utiliza estímulos
esfuerzo realizado por diferentes partes asociadas para abordar el problema de
eléctricos de baja intensidad para preparar el corazón para que funcione a un ritmo normal.
vulnerabilidad del dispositivo médico y también ayuda a las partes asociadas a
determinar qué áreas necesitan más atención. Dieciséis factores de riesgo son
Bombas de insulina: Estos son pequeños dispositivos automatizados que
extraídos por Yoneda et al. [ 72 ] utilizando el método de desglose de riesgos para
detectan los niveles de azúcar en la sangre del usuario e imitan la forma en que
los dispositivos médicos integrados. Estos factores de riesgo se clasifican en
funciona el páncreas humano inyectando pequeñas porciones de insulina de
tres categorías: riesgos intencionales, no intencionales y externos entre los
acción corta sin cesar a través de microagujas.
dispositivos. A los efectos de la predicción de riesgos, se ha desarrollado un
marco denominado PRIME [ 73 ] que incorpora conocimiento médico previo
discreto en los modelos predictivos utilizando la técnica de regularización
4.13 ataques IoMT
posterior. Con un modelo loglineal, PRIME puede aprender automáticamente la
La implementación de dispositivos IoMT presenta grandes desafíos, incluidos el
importancia de diferentes conocimientos previos. Para la predicción del riesgo,
alto costo de la infraestructura, las preocupaciones de seguridad, la carga con la
se utilizan dos modelos de aprendizaje profundo, a saber, la red neuronal
red existente, y falta de
convolucional (CNN) y la red de memoria a largo plazo (LSTM).
Estandarización. Bluetooth Low Energy (BLE) es una tecnología de red
inalámbrica de área personal dirigida a aplicaciones novedosas en salud,
entretenimiento en el hogar y seguridad. BLE tiene riesgos que incluyen ataques
Man in the Middle (MitM), ataques de repetición y descifrado de comunicación de
red. El cifrado no se lleva a cabo por muchos dispositivos en la capa de enlace
BLE [ sesenta y cinco ] Aunque se realiza el cifrado, hay posibilidades de que
4.15 Consideraciones de evaluación de riesgos de IoT
algunos dispositivos BLE se vean afectados por los ataques de Man in the Middle
De hecho, es evidente que no es posible construir un sistema de evaluación de
(MitM). El atacante intercepta el tráfico de red mediante suplantación [ 66 ] Los
riesgos perfecto para dispositivos IoT a menos que se identifiquen los vectores de
ataques de denegación de servicio (DoS) también son posibles. Administración
riesgo o los atributos de riesgo. Además de los vectores de riesgo originales de los
de Alimentos y Medicamentos (FDA)
sistemas tradicionales, los vectores de IoT especiales también deben considerarse
para un sistema de evaluación de riesgos de IoT.
recomienda siguiendo ciertas
medidas para que los fabricantes de dispositivos apliquen las garantías adecuadas "(
[Link] ) ". La tecnología
Blockchain ofrece el único marco lo suficientemente robusto como para cumplir con 4.16 Resumen de evaluación de riesgos de IoT

los desafíos de seguridad de IoMT. Una de las situaciones más peligrosas para la Se han identificado cuatro tipos de clases de vectores de riesgo de IoT:
vida es cuando uno de los dispositivos IoMT que controlan las drogas se apaga relacionadas con la nube, orientadas en tiempo real, autónomas y relacionadas con
debido a un reinicio relacionado con un parche en medio de un procedimiento la recuperación. Mesa 2 resume a continuación la lista de vectores de riesgo de IoT
quirúrgico. Desafortunadamente, esto puede tener consecuencias catastróficas para para cada una de estas clases que se utilizan para la evaluación de riesgos de
la vida del paciente en el cualquier sistema de IoT [ 36 ]
Kandasamy et al. Revista EURASIP sobre seguridad de la información (2020) 2020: 8 Página 12 de 18

El NIST ha presentado tres objetivos principales para la evaluación de riesgos de Elevado - existe una amenaza viable para la organización, y la remediación de
IoT: (a) protección del dispositivo, (b) protección de datos y (c) privacidad del reducción de riesgos debe completarse en un período de tiempo razonable.
usuario. Están delineados con sus subcategorías en la Tabla 3 a continuación para Bajo - Las amenazas son normales y generalmente aceptables, pero aún
beneficio del lector [ 31 ] pueden tener algún impacto en la organización. La implementación de mejoras
de seguridad adicionales puede proporcionar una mayor defensa contra
4.17 Escala de evaluación de riesgos y clasificación amenazas potenciales o actualmente imprevistas.
El primer paso en la evaluación de riesgos es identificar las amenazas
para un activo de IoT bajo consideración, seguido de la determinación del
riesgo inherente y su impacto. El impacto del riesgo tiene calificaciones
como alta, media y baja. Como ejemplo, un " alto " La calificación de El cálculo de la clasificación de riesgo se realiza con base en el peso cuantitativo
impacto significa que el impacto podría ser sustancial. Medio implica que (esto se refiere al impacto del riesgo) y la puntuación de riesgo (esto se refiere a la
el impacto sería dañino, pero recuperable, y / o es inconveniente. Bajo probabilidad de riesgo) como se explicó anteriormente. Mesa 4 4 describe cómo se
representa que el impacto sería mínimo o inexistente. El siguiente paso puede hacer la clasificación para cada riesgo. Si el rango de riesgo es muy alto,
es determinar la probabilidad de que se explote teniendo en cuenta el entonces el riesgo tiene un impacto severo. Se muestran cinco niveles para los
entorno de control que tiene su organización. Ejemplos de calificaciones riesgos de IoT basados ​en el cálculo del rango. Hay riesgos con el rango
de probabilidad son los siguientes:

≤ 10 y estos riesgos se encuentran en un nivel muy bajo ya que no son dignos de

ser considerados. Se deben considerar los riesgos bajos y moderados. Los
Alto - la fuente de amenaza está altamente motivada y es riesgos altos y muy altos necesitan un mejor tratamiento ya que sus impactos son
suficientemente capaz, y los controles para evitar que se ejerza la altos. Mesa 5 5 representa la clasificación de riesgo para algunos de los vectores
vulnerabilidad son ineficaces. Medio - La fuente de la amenaza está IoT. Estos vectores unitarios pertenecen al " protección del dispositivo " categoría
motivada y es capaz, pero existen controles que pueden impedir el según el documento NIST IoT [ 31 ] Como ya se discutió, las otras dos categorías
ejercicio exitoso de la vulnerabilidad. Bajo - la fuente de la amenaza son protección de datos y privacidad individual. La protección del dispositivo tiene
carece de motivación o capacidad, o existen controles para cuatro áreas de mitigación de riesgos que incluyen la gestión de activos, la
prevenir, o al menos impedir significativamente, el ejercicio de la gestión de vulnerabilidades, la gestión de acceso y la detección de incidentes.
vulnerabilidad.

La clasificación de riesgo se puede calcular como clasificación de riesgo (rr) = impacto (si Gestión de activos: Para mantener un inventario preciso de todos los
se explota) × probabilidad (de la explotación). Algunos ejemplos de clasificaciones de riesgo dispositivos IoT y sus características relevantes, lo que ayuda a
son los siguientes: utilizar esta información para fines de gestión de riesgos de
ciberseguridad y privacidad.
Grave - existe una amenaza importante y urgente para la organización
y la remediación de reducción de riesgos debe ser inmediata. Gestión de vulnerabilidades: para identificar y eliminar
vulnerabilidades conocidas en dispositivos IoT

Tabla 2 Vectores de riesgo de IoT

S. Relacionado con la nube Tiempo real Autónomo Recuperación

no

1 Plataformas de computación Modelos operativos en tiempo real. Entornos automatizados Impacto económico
en la nube

2 Habilidades tecnológicas en la nube Productos personalizados Robótica y sistemas autónomos. Evaluación de impacto

3 Centros de datos en la nube Una plataforma para información en Robótica e inteligencia Análisis FODA (Fuerza, Debilidad, Oportunidades,
tiempo real. artificial. Amenaza)

44 Software en la nube Registros digitales en tiempo Robótica en IoT Control estatal financiero y fiscal
real e interoperables

55 Monitoreo en la nube Sistemas ciberfísicos Inteligencia artificial y sistemas de control. N/A

66 Integración en la computación en N/A N/A N/A

la nube

77 Redes de seguridad en la nube N / A N/A N/A

Kandasamy et al. Revista EURASIP sobre seguridad de la información (2020) 2020: 8 Página 13 de 18

Tabla 3 Categorías de evaluación de riesgos de IoT de NIST

S. no Protección del dispositivo Protección de Datos Privacidad del usuario

1 Gestión de activos Fuerte capacidad de cifrado del dispositivo IoT Gestión de datos disociados

2 Gestión de vulnerabilidades Saneamiento de datos sensibles Toma de decisiones informada

3 Gestión de Acceso Proporcionar respaldo seguro Gestión de permisos de procesamiento

44 Detección de incidentes Verificar la identificación de otros dispositivos informáticos. Gestión del flujo de información

software y firmware para reducir la probabilidad y facilidad de 4.18 Cálculo del riesgo de IoT: un método novedoso y su aplicación
explotación y compromiso. Gestión de acceso: para evitar el
acceso físico y lógico no autorizado e inadecuado a dispositivos IoT En este enfoque novedoso, el objetivo es calcular el riesgo cibernético para los sistemas

por parte de personas, procesos y otros dispositivos informáticos. IoT considerando los factores específicos de IoT y aplicar este método a los dispositivos

IoMT para determinar su nivel de riesgo. El riesgo para cualquier dispositivo dado re se

calcula de la siguiente manera:

Detección de incidentes de seguridad del dispositivo: para monitorear y analizar la

actividad del dispositivo IoT en busca de signos de incidentes relacionados con la

seguridad del dispositivo.

rdð Þ ¼ wd ð Þ? ð Þ del Sur
Dakota

Identificar las vulnerabilidades de los activos es uno de los pasos principales en el

proceso de evaluación de riesgos. Los dispositivos IoT son los principales activos dónde w representa el impacto potencial de riesgo debido a
considerados aquí. Los ejemplos de vectores de IoT y sus cálculos de clasificación de vulnerabilidades / ataques y s representa la probabilidad del riesgo.
riesgo se proporcionan en la Tabla 5 5

para cada una de las áreas de mitigación de riesgos mencionadas Para calcular el impacto del riesgo, se consideran los siguientes
anteriormente bajo el " protección del dispositivo " categoría. El siguiente paso parámetros.
ideal es la identificación de amenazas y los impactos y la probabilidad de
riesgos. El objetivo es evitar ataques de un dispositivo IoT, como ataques de a) Tipo de red: una red no segura no proporciona seguridad y expone
denegación de servicio distribuido (DDoS) y espiar el tráfico de red o todo el tráfico abierto y, por lo tanto, el impacto del riesgo sería
comprometer otros dispositivos en el mismo segmento de red. Al igual que este máximo. Los servicios de red inseguros que se ejecutan en los
ejemplo, la clasificación se puede calcular para el riesgo en cualquier categoría, sistemas IoT, que también están expuestos a Internet,
incluida la seguridad y la privacidad de los datos. Mesa 5 5 muestra los detalles comprometen la confidencialidad, integridad o disponibilidad de
de rango de cada vector unitario y la implicación del rango de riesgo. Por información o permiten el control remoto no autorizado según lo
ejemplo, cuando el dispositivo IoT no admite el uso de credenciales sólidas, se cubierto por OWASP [ 6 6 ]
asigna el peso 95 a este vector IoT junto con 0.9 como puntaje de riesgo que
calcula el rango de riesgo como 85. Este rango tiene alta prioridad ya que las b) Tipo de protocolo: IoT requiere protocolos livianos como
posibilidades de que no esté autorizado el acceso y la manipulación mediante 6LoWPAN e IEEE 802.15.4. Existen protocolos de comunicación
el uso indebido de credenciales son más. La siguiente sección trata sobre el como MQTT, DSS, TCP, UDP y protocolos de conectividad
modelo computacional de riesgos IoT con la aplicación práctica de la como Wifi, Zigbee, Bluetooth y RFID. Cada protocolo está sujeto
categorización de riesgos IoT. En la siguiente sección se presenta un método a ataques [ 74 ]
novedoso para calcular el riesgo de IoT y su aplicación al dominio de IoMT.
c) Recuento de sistemas heterogéneos involucrados: si hay más sistemas
intermedios involucrados, el impacto del riesgo sería enorme.
Sistemas críticos de infraestructura de IoT con mayor número de

Tabla 4 Cálculo de rango de riesgo

Nivel Pesaje cuantitativo (W) Puntuación Rango = W × S ( ejemplos Rango de Descripción

cualitativo de riesgo (S) mostrados) rango de riesgo

Muy alto 96 - 100 1.0 97 × 1.0 = 97 81 - 100 El riesgo es muy preocupante; Impacto severo

Alto 80 - 95 0.8 90 × 0.8 = 72 51 - 80 El riesgo es de gran preocupación.

Medio 31 - 79 0.5 0.5 50 × 0.5 = 25 21 - 50 El riesgo es una preocupación moderada

Bajo 11 - 30 0.2 0.2 25 × 0.2 = 5 5 5 - 20 El riesgo es poco preocupante

Muy bajo 0 0 - 10 0.1 10 × 0.1 = 1 00-44 El riesgo no es preocupante

Kandasamy et al. Revista EURASIP sobre seguridad de la información (2020) 2020: 8 Página 14 de 18

Tabla 5 Cálculo del rango de riesgo para la protección del dispositivo IoT

Vector de riesgo de IoT Pesaje cuantitativo Puntuación Rango = W Descripción / implicación

(W) de riesgo (S) ×S

El dispositivo IoT no tiene un identificador incorporado único 75 0.8 60 (medio) El acceso remoto y la gestión de
vulnerabilidades se ven afectados

Dispositivo IoT ' Las dependencias externas no son reveladas por el fabricante. 60 60 0.7 42 (medio) Gestionar el riesgo de software y servicios
externos no es posible

El fabricante no lanza parches o actualizaciones para el dispositivo IoT 50 0.6 30 (bajo) Las vulnerabilidades conocidas no se pueden eliminar

El dispositivo IoT no es capaz de tener su software parcheado o actualizado 60 60 0.6 36 (medio) Las vulnerabilidades conocidas no se pueden eliminar

No hay escáner de vulnerabilidades que pueda ejecutarse en o contra el dispositivo IoT 60 60 0.6 36 (medio) No se pueden identificar automáticamente las vulnerabilidades

conocidas.

El dispositivo IoT no admite la ocultación de los caracteres de contraseña 80 0.7 56 (medio) Aumenta la probabilidad de robo de credenciales
mostrados

El dispositivo IoT no admite tokens criptográficos de credenciales 95 0.9 85 (alto) La manipulación por mal uso de credenciales es
fuertes o autenticación multifactorial) posible

El dispositivo IoT no es compatible con el sistema de autenticación de usuario empresarial 90 0.8 72 (medio) Cada usuario necesita más credenciales

El dispositivo IoT no puede registrar sus eventos operativos y de seguridad. 70 0.6 42 (medio) La probabilidad de detección de actividades maliciosas
es muy menor

los dispositivos heterogéneos tienden a aumentar los ataques cibernéticos, gana más peso Se observa que la capa de red de IoT / IoMT
principalmente los ataques relacionados con la red [ 75 ] sufre varios ataques [ 77 ]
d) Seguridad del dispositivo: un dispositivo no seguro es propenso a muchos
ataques. Por ejemplo, la cantidad de dispositivos IoT que pueden verse C. Tipo de sector que usa IoT (scr): IoT se usa ampliamente en industrias,
afectados se limita a cámaras basadas en IP para Persirai y DVR, sectores financieros y sectores de atención médica.
enrutadores y cámaras CCTV para Mirai. Los valores de MicroMort se
Tabla 6 Parámetros de impacto del riesgo con pesos
calculan con el número total de dispositivos IoT del informe Garner [ 76 ]
S. Parámetro de impacto de riesgo (PIR) Tipos de RIP Pesos ( W)
no

1 Tipo de red (nwt) Red no segura 10

e) Tipo de CIA: si un ataque afecta la confidencialidad, la integridad y la
Red con mínima seguridad 55
disponibilidad, esto creará un gran impacto de riesgo. Si va a haber un
ataque de repetición (la confidencialidad y la integridad se ven
Red completamente 2
afectadas) y un ataque DoS (afecta la disponibilidad), entonces el
segura
impacto del riesgo es alto y esto podría ocurrir en la capa de red de los
2 Protocolo propenso a ataques (prt) Propenso a más ataques 10
dispositivos implantables [ 77 ]
Propenso a menos ataques 55

No es propenso a los ataques. 2

Mesa 6 6 muestra los pesos para cada uno de los parámetros de impacto de riesgo 3 Recuento de heterogéneos Sistemas más heterogéneos 10
sistemas involucrados (het) involucrados
anteriores.

Basado en la discusión anterior, el impacto del riesgo w de dispositivo re se puede derivar Pocos sistemas 55

heterogéneos involucrados
de la siguiente manera.
No hay sistemas 2
heterogéneos involucrados
wdð Þ ¼ nwt
½ d ð Þ þ prt d ð Þ þ het d ð Þ þ des d ð Þ þ cia d ð Þ =55
4 Seguridad del dispositivo (des) Dispositivo completamente 10
inseguro
Para calcular la probabilidad del riesgo, se consideran los siguientes
Dispositivo parcialmente seguro 5 Dispositivo
parámetros (Tabla 7 7 )
totalmente seguro 2

a. Conteo de ataques pasados ​para el dispositivo (pat): si hay un historial de ataques 5 Tipo de CIA afectado (cia) CIA - todos los 10
afectados
pasados, entonces es más probable que el dispositivo sea atacado

nuevamente. Solo se ven afectados CI o IA o 55

CA
si. Capa de IoT que sufre muchos ataques (letra): como se discutió
anteriormente, todas las capas de IoT sufren los ataques cibernéticos y C o I o A se ven afectados 2

cualquier capa sufre más ataques

Kandasamy et al. Revista EURASIP sobre seguridad de la información (2020) 2020: 8 Página 15 de 18

Tabla 7 Parámetros de probabilidad de riesgo con pesos y su probabilidad con las fórmulas explicadas anteriormente y derivan la puntuación

S. Parámetro de probabilidad Tipos de RLP Pesos (W) de riesgo en 72, lo que representa un nivel de riesgo más alto en comparación con el
no de riesgo (RLP) ataque de manipulación del monitor de azúcar en la sangre que se encuentra por
1 Ataques pasados ​en el El dispositivo sufrió muchos ataques 10 debajo del nivel de riesgo medio. En consecuencia,
dispositivo (pat) pasados
los riesgos pueden ser tratados /
El dispositivo sufrió algunos ataques pasados 55 mitigado
En el escenario anterior, cuando el marcapasos no está asegurado (des =
El dispositivo no sufrió ataques en el 2
10) junto con algunos sistemas heterogéneos (het = 5), sufre ataques de canal
pasado
lateral debido a una red no segura (nwt = 10) y los protocolos susceptibles a
2 Capa IoT con más ataques Capa de red 10
ataques ( prt = 10). Por lo tanto, el impacto del riesgo se calcula como 8, según
(letra)
Capa de aplicación 55 la fórmula discutida anteriormente. El control remoto del marcapasos por parte
Capa fisica 2 de los atacantes puede ser fatal y, por lo tanto, se clasifica bajo el factor de alto

3 Sector (scr) Cuidado de la salud 8 riesgo (drf = 10) en el sector de la salud (scr = 8). Un ataque de canal lateral es
un ataque de red (lyr = 10), y suponemos que el marcapasos ha sufrido tales
Financiero 77
ataques en el pasado (pat = 10). Finalmente, la puntuación de riesgo se calcula
Otros 55
como 72, lo que representa un nivel de alto riesgo. Del mismo modo, la
44 Factor de riesgo del dispositivo (drf) Marcapasos, bomba de insulina 99
alteración del monitor de azúcar en la sangre conduce al factor de impacto de
Monitor cardíaco remoto 8 riesgo de 6 y al factor de probabilidad de riesgo de 6 y, por lo tanto, la
Monitor de azúcar en la sangre 66 puntuación de riesgo es 36, lo que representa un nivel de riesgo medio. Como

Sensores médicos 44 se discutió en la tabla 4 4 , el rango de puntuación de riesgo de 21 - 50 cae en el

nivel de riesgo medio y el rango de puntaje de riesgo de 51 - 80 caídas en el
nivel de alto riesgo.
Es importante identificar qué sector se ve más afectado por los
ataques de IoT. Una encuesta revela que el 82% de las industrias
sanitarias han sufrido ciberataques centrados en IoT, y 230 de los
700 encuestados pertenecen al sector sanitario. "( https: //
5. Conclusión
[Link]/tech/82-healthcare-organizations-have-experienced-iot-focused-cyber-attack-survey-finds
) ". Este trabajo proporciona una cobertura integral del dominio de riesgo de IoT
a través de la lente de los marcos de riesgo, teorías aplicables, industrias,
vectores de riesgo y un nuevo modelo computacional de puntaje de riesgo.
re. Factor de riesgo del dispositivo (solo para IoMT): hay varios dispositivos IoMT Se presenta un análisis crítico de los marcos de evaluación de riesgos de
utilizados en el sector de la salud, pero los clasificamos de acuerdo con el ciberseguridad adecuados para los sistemas IoT. Se discuten las
riesgo fatal que pueden crear para los pacientes. Por ejemplo, los aplicaciones de los marcos de evaluación de riesgos de IoT en el área de
marcapasos y las bombas de insulina pueden causar la muerte de los finanzas y salud, con el objetivo de presentar la madurez del dominio de
pacientes si los atacantes los controlan de forma remota. riesgos de IoT. Cuatro marcos de riesgo se discuten en detalle, a saber,
NIST, OCTAVE, TARA e ISO. Las consideraciones de riesgo de IoT de estos
marcos se explican junto con sus fortalezas y debilidades, y las áreas de
Basado en la discusión anterior, la probabilidad de riesgo se puede derivar de la enfoque. Se incluye un tratamiento sólido del dominio de riesgo IoMT con la
siguiente manera. intención de presentar los problemas críticos de riesgo relacionados con el
dominio IoMT. Se presenta un resumen de la evaluación de riesgos de IoT
ðÞ¼
Dakota delpat
Sur
½ d ð Þ þ lyr d ð Þ þ scr d ð Þ þ drf d ð Þ =44 junto con un sistema de calificación de riesgos, adecuado para el dominio de
IoT para resaltar el enfoque cuantitativo. La clasificación de riesgo para el
Las fórmulas mencionadas anteriormente para calcular el impacto y la vector de riesgo de IoT clasifica los riesgos en categorías bajas, medias o
probabilidad se aplican en la Tabla 8 para dispositivos IoMT. Esta tabla muestra el altas. Este estudio se centró inicialmente en el dominio más amplio de IoT y
cálculo del puntaje de riesgo basado en el impacto del riesgo y los parámetros de finalmente se redujo a IoMT
probabilidad de riesgo como se discutió anteriormente. Por ejemplo, cuando el
marcapasos sufre un ataque de canal lateral, calculamos el impacto del ataque.

Tabla 8 Clasificación de riesgo de incidentes reales de IoMT

Dispositivo IoMT Ataque Nwt prt het des cia Impacto de riesgo palmadita lyr scr drf Probabilidad de riesgo Puntuación de riesgo Nivel de riesgo

Marcapasos Canal lateral 10 10 55 10 55 8 10 10 8 99 99 72 Alto

Monitor de azúcar en la sangre Manipulación 55 55 10 55 55 66 55 55 8 66 66 36 Medio

Kandasamy et al. Revista EURASIP sobre seguridad de la información (2020) 2020: 8 Página 16 de 18

análisis de riesgo. El punto culminante de este trabajo es la introducción de un (CSC). Sethu posee un doctorado en tecnología de la información, con especialización en aseguramiento de la
información. Sethu tiene un maestro ' s en aplicaciones informáticas y una licenciatura ' s en Ciencias Aplicadas.
nuevo modelo computacional de riesgo de IoT, que calcula el impacto y la
Sethu ha publicado documentos académicos de ciberseguridad en revistas revisadas por pares (IEEE y ACM), y
probabilidad de riesgo, lo que lleva a la calificación de riesgo. Se presenta una sus intereses de investigación están en el área de análisis de seguridad, ciberseguridad GRC, bases de datos de
aplicación de este modelo a dispositivos IoMT para convencer al lector sobre la privacidad, marcos de riesgo, big data y automatización de gobierno. Sethu es una facultad adjunta de la
Universidad de Amrita durante los últimos 7 años, en la escuela de ingeniería, con un enfoque en el dominio de
necesidad de un enfoque único para el cálculo de riesgos de IoT. Este trabajo
Ciberseguridad. Maneja regularmente clases en el área de seguridad de aplicaciones, seguridad de bases de
tiene el potencial de desencadenar más investigaciones en el área de riesgos datos y gobierno de ciberseguridad.
IoT e IoMT.

Krishnashree Achuthan: el Dr. Krishnashree es un ardiente investigador con intereses multidisciplinarios y

tiene un doctorado de la Universidad de Clarkson, Nueva York, EE. UU. Sus áreas de interés en
Abreviaturas
ciberseguridad y gobernanza, modelado matemático de sistemas, política de ciberseguridad, seguridad de
AGA: Asociación Americana del Gas; ARA: Análisis de riesgos adversos; BLE: Bluetooth de baja energía; CCTV:
IoT, seguridad pública, innovación y tecnologías educativas y emprendimiento. También dirige equipos de
circuito cerrado de televisión; CIA: confidencialidad, integridad y disponibilidad; CNN: red neuronal convolucional;
investigación centrados en la mejora de la educación de laboratorio a través de laboratorios virtuales. Posee
COBIT5: Objetivos de control para la información y tecnología relacionada; CPS: sistemas ciberfísicos; CSG:
33 patentes estadounidenses y ha publicado más de 50 publicaciones en revistas y conferencias. Ella ha
Juego de seguridad cibernética; CSRF: Marco de riesgos de seguridad cibernética; CT: tomografía computarizada;
desempeñado un papel activo en varias iniciativas estratégicas para el gobierno. de la India y se desempeñó
CURF: Marco central de riesgos unificados; DDoS: Denegación de servicio distribuida; DSS: servicios de firma
como investigador principal.
digital; DVR: grabadora de video digital; ECG: electrocardiograma; EHR: registros de salud electrónicos; FAIR:
Análisis factorial del riesgo de información; FDA: Administración de Alimentos y Medicamentos; FMEA: modo de
falla y análisis de efectos; HITRUST: Health Information Trust Alliance; HTTP: Protocolo de transferencia de
Venkat P. Rangan: el Dr. Venkat Rangan fundó y dirigió el Laboratorio Multimedia y la Investigación de Internet y Redes
hipertexto; ICD: desfibriladores automáticos implantables; ICS: Sistemas de control industrial; IMD: dispositivos
Inalámbricas (Wi-Fi) en la Universidad de California en San Diego, donde se desempeñó como Profesor de Informática e
médicos implantados; IoMT: Internet de las cosas médicas; IoT: Internet de las cosas; ISO: Organización
Ingeniería durante 16 años. . Actualmente es el Vicecanciller de Amrita Vishwa Vidyapeetham. Tiene más de 85
Internacional de Normalización; LSTM: memoria larga a corto plazo; MAC: control de acceso a medios; MQTT:
publicaciones en revistas y conferencias internacionales (principalmente el IEEE y el ACM) y también posee 22 patentes
Transporte de telemetría de colas de mensajes; RM: resonancia magnética; MT: cosas médicas; NERC:
estadounidenses. Es miembro de la ACM (1998). Es el más joven en lograr esta distinción internacional. Recibió el Premio
Corporación de Fiabilidad Eléctrica de América del Norte; NIST: Instituto Nacional de Estándares y Tecnología;
NSF National Young Investigator Award (1993), el Premio NCR Research Innovation Award (1991) y el Presidente de India
OCTAVE: Evaluación operativamente crítica de amenazas, activos y vulnerabilidades; PCI: Industria de tarjetas de
Gold Medal (1984). En 2000, Internet World lo presentó en su portada y lo nombró como una de las 25 principales estrellas
pago; PET: tomografía por emisión de positrones; PHY: físico; RAP: proceso de evaluación de riesgos; RFID:
de las tecnologías de Internet. En 2012, Silicon India lo clasificó como uno de los 50 indios que redefinieron el espíritu
identificación por radiofrecuencia; PIR: parámetro de impacto del riesgo; RLP: parámetro de probabilidad de
empresarial en los últimos 65 años de independencia. Es un pionero internacionalmente reconocido de la investigación en
riesgo; SCADA: Control de supervisión recibido y adquisición de datos; TARA: Evaluación de amenazas y análisis
sistemas multimedia y comercio electrónico en Internet. En 1993, fundó la primera Conferencia Internacional sobre
de remediación; TCP: Protocolo de control de transmisión; UDP: Protocolo de diagrama de usuario; UML:
Multimedia: ACM Multimedia 93, de la cual fue el Presidente del Programa. Esta es ahora la principal conferencia mundial
Lenguaje de modelado unificado; XSS: secuencias de comandos entre sitios
sobre multimedia. También fundó la primera revista internacional sobre multimedia: ACM / Springer-Verlag Multimedia

Systems, que ahora es la principal revista sobre multimedia. para el cual fue el presidente del programa. Esta es ahora la

principal conferencia mundial sobre multimedia. También fundó la primera revista internacional sobre multimedia: ACM /

Springer-Verlag Multimedia Systems, que ahora es la principal revista sobre multimedia. para el cual fue el presidente del

programa. Esta es ahora la principal conferencia mundial sobre multimedia. También fundó la primera revista internacional

sobre multimedia: ACM / Springer-Verlag Multimedia Systems, que ahora es la principal revista sobre multimedia.

Agradecimientos
Los autores desean expresar nuestra inmensa gratitud a nuestro querido canciller Sri. Mata
Amritanandamayi Devi (AMMA) por proporcionar motivación e inspiración para este manuscrito.
Fondos
No aplica.

Autores ' contribuciones

KK y SS concebido del manuscrito. KK escribió el manuscrito. SS revisó el manuscrito. KA y Disponibilidad de datos y materiales.

VR editaron el manuscrito. Los autores leyeron y aprobaron el manuscrito final. Los materiales utilizados en el manuscrito pueden solicitarse al autor correspondiente.

Autores ' información Conflicto de intereses

Kamalanathan Kandasamy es estudiante de doctorado e investigadora asociada en el Centro Amrita para Los autores declaran que no tienen intereses en competencia y que no hay conflicto de intereses
Sistemas y Redes de Seguridad Cibernética en Amrita Vishwa Vidyapeetham. Tiene 7 años de experiencia en la con respecto a la publicación de este manuscrito.
industria de tecnología de la información y más de 10 años de experiencia laboral en varios proyectos de seguridad
cibernética, incluidas las áreas de seguridad en la nube, seguridad de bases de datos y gobierno cibernético en la Detalles del autor
1 Centro Amrita para Sistemas y Redes de Seguridad Cibernética, Amrita Vishwa Vidyapeetham,
Universidad de Amrita. Sus áreas de interés de investigación incluyen evaluación y gestión de riesgos cibernéticos,
Campus Amritapuri, Clappana Post, Kollam, Kerala 690525, India. 2 IBM Security, San Francisco, CA,
seguridad de dispositivos médicos e inteligencia de amenazas cibernéticas.
EE. UU. 3 Amrita Vishwa Vidyapeetham, Amrita nagar post, Ettimadai Campus, Coimbatore,
Tamilnadu 641105, India.

Sethuraman Srinivas: el Dr. Sethuraman Srinivas (Sethu) tiene más de 25 años de experiencia en la industria de
tecnología de la información con un enfoque actual en el dominio de ciberseguridad. Es un experimentado Recibido: 3 de septiembre de 2019 Aceptado: 13 de mayo de 2020

ejecutivo de tecnología de la información con un enfoque especial en el gobierno de la seguridad de la

información, las métricas y la gestión de programas. Actualmente, es asesor de muchas empresas en el área de
la Bahía de San Francisco en el área de seguridad de la información. Recientemente formó parte de IBM ' s Referencias
administró servicios de seguridad durante 7 años donde se especializó como consultor estratégico en el área de 1) S. Li, L. Da Xu, S. Zhao, Internet de las cosas: una encuesta. Inf. Syst. Frente. 17 ( 2), 243 - 259 (2015)
inteligencia y operaciones de seguridad. Gestionó programas de ciberseguridad de medianos a grandes en el
área de gobernanza de ciberseguridad, análisis de seguridad, big data, sistemas de detección y prevención de 2) Mark Hung, Gartner, ideas sobre cómo liderar en un mundo conectado, 2017.
intrusiones, riesgos y métricas de seguridad. Sethu comenzó su carrera de TI en Wipro ' s I + D y fue desarrollador [Link]
de software durante 10 años, y otros roles desempeñados por él fueron gerente de configuración, gerente de 3) J. Gubbi, R. Buyya, S. Marusic, M. Palaniswami, Internet de las cosas (IoT): una visión, elementos
desarrollo de software, especialista minorista de Oracle y arquitecto asesor de TI, para Computer Sciences arquitectónicos y direcciones futuras. Sistemas informáticos de generación futura 29 ( 7), 1645 - 1660
Corporation (2013)
4) Elkhodr, M., Shahrestani, S. y Cheung, H. (2016). Un middleware para internet de las cosas.
preimpresión de arXiv arXiv: 1604.04823.
Kandasamy et al. Revista EURASIP sobre seguridad de la información (2020) 2020: 8 Página 17 de 18

5) Minhaj Ahmad Khan, Khaled Salah, IoT Security: revisión, soluciones blockchain y desafíos abiertos, 32. RA Caralli, JF Stevens, LR Young, WR Wilson, Presentamos OCTAVEAllegro:
sistemas informáticos de generación futura, noviembre Mejorar el proceso de evaluación de riesgos de seguridad de la información ( 2007)

2017, doi: 10.1016 / [Link].2017.11.022 33) YO ASI. ISO - Organización Internacional de Normalización. (2017) https: //
6) OWASP, vulnerabilidades principales de IoT, 2016. URL [Link] . php / [Link]/[Link] .
Top_IoT_Vulnerabilities 34. Wynn, J., Whitmore, G., Upton, L., Spriggs, D., McKinnon, R., McInnes, R., Clausen, J. Threat
7) Xingbin Jiang et al, un análisis experimental de vulnerabilidades de seguridad en dispositivos IoT Assessment & amp; Análisis de remediación (TARA) Metodología Descripción Versión 1.0.
industriales, transacciones ACM en tecnología de Internet, (2011)
2020. 35) Jason RC Nurse et al, Evaluación de riesgos de seguridad en los sistemas de Internet de las cosas,

8) J. McCarthy, O. Alexander, S. Edwards, D. Faatz, C. Peloquin, S. Symington, A. Thibault, J. Wiltberger, K. Universidad de Oxford, 2018

Viani, Conciencia situacional para empresas eléctricas, NIST SP 1800 - 7 guía de práctica. Publicación 36. Petar Radanliev, David C. De Roure et al, Normalización de la evaluación del impacto del riesgo
especial del NIST 1800-7, 1 - 241 (2017) cibernético para Internet de las cosas, Oxford e-Research Centre, Universidad de Oxford, 2018

9) Mardianabinti Mohamad Noor y Wan Haslina Hassan, Investigación actual sobre la seguridad de Internet de 37. Petar Radanliev, David Charles De Roure et al, Gestión del riesgo cibernético para Internet de las cosas,
las cosas (IoT): una encuesta, Elsevier, Computer Networks 2019. Oxford e-Research Centre, Universidad de Oxford, 2019, doi: 10.20944 / preprints201904.0133.v1
10) K. Chen, S. Zhang, Z. Li, Y. Zhang, Q. Deng, S. Ray, Y. Jin, seguridad y vulnerabilidades de
Internet de las cosas: taxonomía, desafíos y práctica. Revista de Seguridad de Hardware y 38. Petar Radanliev, David Charles De Roure et al, Desarrollos futuros en la evaluación del riesgo
Sistemas 2, 97 - 110 (2018) cibernético para Internet de las cosas, Elsevier, Computers in Industry 2018.
11. Panagiotis I., Radoglou Grammatikis et al, Asegurando el Internet de las cosas: desafíos, amenazas
y soluciones, Elsevier, Internet of Things Journal, 2019, 39) Sara N. Matheu-García, José L. Hernández-Ramos, Antonio F. Skarmeta, Evaluación automatizada
[Link]/10.1016/[Link].2018.11.003 basada en riesgos y pruebas para la certificación y etiquetado de ciberseguridad de dispositivos IoT,
12) Jan Henrik Ziegeldorf et al, Privacidad en Internet de las cosas: amenazas y desafíos, redes GianmarcoBaldini Computer Standards & Interfaces, 2018, DOI: [Link]
de seguridad y comunicación 7.12 (2014): 2728-2742,
[Link] 40) Faride Latifi et al, Marco de COBIT5 para la gestión de riesgos de IoT, International Journal of
13. Alessandro Oltramari y Alexander Kott, Hacia una reconceptualización del riesgo cibernético: un estudio Computer Applications (0975 - 8887), Volumen 170 -
empírico y ontológico, Journal of Information Warfare, volumen 17, número 1, invierno de 2018 No.8, julio de 2017

41. Gaute Wangen, ChristofferHallstensen y Einar Snekkenes. Un marco para estimar la integridad del
14. Olakunle Elija y cols. Una visión general de Internet de las cosas (IoT) y datos método de evaluación de riesgos de seguridad de la información Marco de riesgo unificado básico,
análisis en agricultura: beneficios y desafíos , IEEE Internet of things Journal, 2018. DOI: [Link]
2017, Springer International Journal of Information Security.

15. Marwedel, P. y Engel, M. Sistemas ciberfísicos: oportunidades, desafíos y (algunas) soluciones. 42. B. Ali et al., Evaluación de vulnerabilidad de seguridad física y cibernética para hogares inteligentes basados

En 1 - 30 (Springer International Publishing, 2016). doi: ​en IoT. Diario de sensores 18, 817 (2018). [Link] 3390 / s18030817

10.1007 / 978-3-319-26869-9_1
16. Enfermera JRC, Erola, A., Agrafiotis, I., Goldsmith, M., Creese, S., 2015. Insiders inteligentes: 43. Guillermo A. Francia, III, David Thornton y Joshua Dawson, Mejores prácticas de seguridad y evaluación de
explorando la amenaza de los insiders que utilizan el Internet de las cosas, Proc. 2015 Taller riesgos de SCADA y Sistemas de Control Industrial, 2012.
Internet seguro de las cosas (SIoT), pp. 5 - 14 44) F. Den Braber y col. El método basado en el modelo CORAS para el análisis de riesgos de seguridad

17. Petar Radanliev et al, Cyber ​risk in IoT systems, 2019, DOI: 10.20944 / preprints201903.0104.v1, [Link]
(SINTEF, Oslo, 2006)
7864_Cyber_Risk_in_IoT_Systems 45. Yulia Cherdantsev et al, Una revisión de los métodos de evaluación de riesgos de seguridad cibernética para sistemas

SCADA, computadoras y seguridad 56 (2016) 1 - 27, Elsevier.

18. A. Zhou, Análisis del posible escándalo de Volkswagen Soluciones posibles para la recuperación 46. ​Patricia AS Ralston et al, Evaluación de riesgos de seguridad cibernética para redes SCADA y DCS, Elsevier
(Escuela de Política y Estrategia Global, UC en San Diego, 2016) ISA Transactions, Volumen 46, Número 4 , Octubre de 2007, páginas 583-594
19. Manos Antonakakis et al., Understanding the MiraiBotnet, Proceedings of 26th USENIX
Security Symposium, 2017 47. M. Elisabeth Paté-Cornell et al, Gestión de riesgos cibernéticos para infraestructura crítica: un modelo de análisis

20. Glenn Shafer y Rajendra Srivastava, The Bayesian and Belief-Function formalisms; Una de riesgos y tres estudios de casos, DOI: https: // doi. org / 10.1111 / risa.12844

perspectiva general para la auditoría, A Journal of Practice and Theory, 1990.

48. Halima Ibrahim Kure et al., Un enfoque integrado de gestión de riesgos de seguridad cibernética para
21. R. Srivastava, Un modelo de evaluación de riesgos de seguridad de sistemas de información bajo la teoría de un sistema ciberfísico, Appl. Sci. 2018, 8, 898; doi: 10.3390 / app8060898
Dempster-Shafer de las funciones de creencias. Revista de Sistemas de Información de Gestión 22 ( 4), 109 - 142

(2006) 49. Cómo hacer una evaluación completa de riesgos automatizada: una revisión de metodología. Libro blanco de
22. Mehmet Sahinoglu, Luis Cueva-Parra y David Ang, Computación teórica de juegos en análisis Riskwatch, [Link]
de riesgos, 2012 Wiley Periodicals, Inc. hacer una evaluación completa de riesgos automatizada_10-[Link]; 2002

23) Scott Musman et al, Un enfoque teórico del juego para la gestión de riesgos de seguridad 50. Antoine Bouveret, Riesgo cibernético para el sector financiero: un marco para la evaluación
cibernética, Journal of DefenseModeling and Simulation: Applications, Methodology, Technology, cuantitativa, Fondo Monetario Internacional 2018.
2018, Vol 15 (2). 51) Larry Santucci, Cuantificación del riesgo cibernético en la industria de servicios financieros, Banco de la

24. Maisa Mendonca Silva et al., Un enfoque multidimensional para la gestión de riesgos de seguridad de la Reserva Federal del Instituto de Finanzas del Consumidor de Filadelfia, 2018

información utilizando FMEA y teoría difusa, International Journal of Information Management, 2014. 52. RiskLens. Plataforma de análisis de riesgos | Gestión de plataforma FAIR. (2017) Disponible en: [Link]

25. Instituto Nacional de Estándares y Tecnología (NIST). 2012. Guía para realizar evaluaciones 53) JUSTA. ¿Qué es un modelo de valor cibernético en riesgo? (2017) Disponible en: http: // www.
de riesgos SP-800-30 - revisión 1. [Link]/blog/what-is-a-cyber-value-at-risk-model
26. C. Kolias, G. Kambourakis, A. Stavrou, J. Voas, ddos ​en el iot: Mirai y otras botnets. Computadora 54) Ian Stine, Mason Rice, Stephen Dunlap, John Pecarina, Un sistema de puntuación de riesgo cibernético para
IEEE 50, 80 - 84 (2017) dispositivos médicos, International Journal of Critical Infrastructure Protection, diciembre de 2019.

27. Informe de amenazas móviles de McAfee, [Link]

informes / [Link] 55) Introducción al modelado de amenazas del ciclo de vida del desarrollo de software (SDL) de
28) ENISA 2016. Recursos y enfoques de gestión de riesgos, https: // www. Microsoft, Universidad de California, Berkeley, 2015 California ([Link].
[Link]/topics/threat-risk-management/risk-management [Acceso en línea el 14 de abril de [Link]/~daw/teaching/cs261f12/hws/Introduction_to_Threat_ [Link]), 2015
2017]
29. NIST, C. Marco de seguridad cibernética NIST. [Link] 56) Li Mei, Liu Zixian, Li Xiaopeng, Liu Yiliu, Evaluación dinámica de riesgos en salud basada en el enfoque
30. M. Barrett, J. Marron, V. Yan Pillitteri, J. Boyens, G. Witte, L. Feldman, Sequía Bayesiano, Ingeniería de Confiabilidad y Seguridad del Sistema (2019), doi: [Link]
NISTIR 8170, El marco de seguridad cibernética: guía de implementación para agencias federales ( 2017)

57. Phillip Laplante, Mohamad Kassab, Nancy Laplante, Jeffrey M. Voas, Creación de sistemas de atención
31) Katie Boeckl et al, NISTIR 8228, Consideraciones para gestionar los riesgos de ciberseguridad y privacidad médica en el Internet de las cosas, IEEE Systems Journal
de Internet de las cosas (IoT), junio de 2019 2017,
Kandasamy et al. Revista EURASIP sobre seguridad de la información (2020) 2020: 8 Página 18 de 18

58. Caiming Liu, Yan Zhang et al., Investigación sobre evaluación dinámica de riesgos de seguridad
para Internet de las cosas inspirada en la inmunología, 8ª Conferencia Internacional de
Computación Natural (ICNC 2012)
59. Andy Herman, Marco obligatorio de gestión de riesgos de ciberseguridad en el sector sanitario, Nota de

investigación, ASA Institute for Risk & Innovation, Seattle, 2016

60. Marco NIST para mejorar la ciberseguridad de infraestructura crítica - versión

1.1, publicado en abril de 2018

61) Introducción al marco de seguridad común de HITRUST, HITRUST Alliance, LLC.,

2014
62. Waqas Aman et al, una investigación empírica sobre la gestión de riesgos de InfoSec en eHealth basada en IoT,

MOBILITY 2013.

63) S. Darwis et al., Hacia una evaluación de amenazas composable para IoT médico (MIoT), el
cuarto Taller Internacional sobre Privacidad y Seguridad en HealthCare 2017 (PSCare17).
Procedia Informática 113, 627 - 632 (2017)

64) Faisal Alsubaei, Abdullah Abuhussein, Vivek Shandilya, Sajjan Shiva, IoMTSAF: Internet of
Medical Things Security Assessment Framework, Internet of Things (2019), doi: [Link]

sesenta "y [Link].

cinco. " [Link] .
66 T. Melamed, Un ataque activo de hombre en el medio en dispositivos inteligentes bluetooth

(WIT Press, 2018). [Link]

67. M Banerjee et al, Un futuro blockchain para la seguridad de internet de las cosas, Digital

Comunicaciones y redes , Volumen 4, Número 3, agosto de 2018, páginas 149-160

68. MITRE: libro de jugadas de preparación y respuesta ante incidentes regionales de ciberseguridad de

dispositivos médicos 2018. [Link]

preparación para incidentes regionales y

69. R. Altawy et al., Compromisos de seguridad en sistemas ciberfísicos: una encuesta de estudio de caso sobre

dispositivos médicos implantables, EEE, 2016. DOI: Identificador digital de objetos. [Link]

70) Tamara Denning et al, Pacientes, marcapasos y desfibriladores implantables: valores humanos y
seguridad para dispositivos médicos implantables inalámbricos, CHI ' 10 Actas de la Conferencia SIGCHI
sobre Factores Humanos en Sistemas de Computación, ACM 2010

71) J. Holdsworth y col. Taxonomía de análisis de brechas en el esfuerzo de mitigación de vulnerabilidad de dispositivos

médicos ( Elsevier, Smart Health, 2017)

72) Shoichi Yoneda et al, Evaluación de riesgos para dispositivos médicos integrados, 2018 IEEE 7th Global
Conference on Consumer Electronics (GCCE 2018)
73. Predicción de riesgos en registros electrónicos de salud con conocimiento médico previo, Fenglong Ma et
al, KDD ' 18, 19 de agosto - 23, 2018, Londres, Reino Unido
74. Akram Abdul-ghani Hezam et al., Una encuesta exhaustiva de ataques de IoT basada en un modo de
referencia bloqueado, International Journal of Advanced Computer Science and Applications · Abril de
2018, DOI: 10.14569 / IJACSA.2018. 090349

75. ZK Zhang, MCY Cho, CW Wang, CW Hsu, CK Chen, S. Shieh, seguridad de IoT: desafíos actuales y
oportunidades de investigación, en: 2014 IEEE 7ma Conferencia Internacional sobre Computación y
Aplicaciones Orientadas a Servicios,
2014, págs. 230 - 234. [Link] .
76) [Link], los dispositivos IoT están pirateando sus datos y robando su infografía de privacidad, 2017.

77) S. Shiva et al, Seguridad y privacidad en Internet de las cosas médicas: taxonomía y
evaluación de riesgos, 2017, DOI: [Link] Talleres.2017.72

Editor ' s Nota

Springer Nature se mantiene neutral con respecto a las reclamaciones jurisdiccionales en mapas
publicados y afiliaciones institucionales.