En el ámbito industrial, el software confiable significa seguridad

Mientras que muchas corporaciones luchan por ganarse la confianza de un público, lo que está en juego es mayor para las organizaciones industriales que deben depender de varios tipos de software.

El software problemático puede causar inactividad operativa, pérdida de propiedad intelectual y, en algunos casos, consecuencias potencialmente mortales.

Ha habido un aumento reciente en el interés en el software confiable en relación con Internet de las cosas (IoT) y la calidad del software en general. El destino de la economía digital depende de que "las personas y las organizaciones confíen en la tecnología informática". Pero la confianza es "menos sólida" que en el pasado, como concluyó el Instituto Nacional de Estándares y Tecnología en 2016.

En los últimos años, varias organizaciones han hecho del software confiable un elemento central de su misión. Fundada en 2016, Trustworthy Software Foundation, una organización sin fines de lucro con sede en el Reino Unido, impulsa las mejores prácticas en el desarrollo de software. A fines del año pasado, la Fundación Linux lanzó el Proyecto Alvarium, una iniciativa que explora mecanismos para respaldar la confianza en sistemas heterogéneos, incluidas las implementaciones de IoT y entre diversas partes interesadas. El Industrial Internet Consortium defiende el concepto de confiabilidad en la IoT industrial.

Resultados que se deben evitar

Una serie de eventos sirven como advertencia de los riesgos de depender de software industrial no confiable, según Bob Martin, copresidente del Grupo de Trabajo de Confianza del Software en el Consorcio de Internet Industrial, quien fue coautor del libro blanco de la organización "Mejores prácticas de confiabilidad del software".

En 2004, por ejemplo, una falla de software provocó que la infraestructura de control del tráfico aéreo y su sistema de respaldo se apagaran en el sur de California, según el L.A. Times. El error resultó en la desviación de 800 vuelos de aerolíneas comerciales después de que el equipo de radio y radar fallara durante más de tres horas.

Otras historias con temas similares incluyen una máquina de radioterapia controlada por computadora que causó varias muertes en la década de 1980 y un corte de energía en Tempe, Arizona, en 2007, que resultó de una configuración incorrecta por parte de un ingeniero proveedor.

"Se han implementado sistemas reales en el espacio de IoT industrial con el tipo de errores que no desea tener en su currículum", dijo Martin.

La explosión de la conectividad y las nuevas aplicaciones en entornos industriales de IoT ha aumentado el número de profesionales que crean y adquieren software para procesos críticos. “Es posible que las personas que son nuevas en la creación de sistemas con software o que intentan hacer que el software sea resiliente no se hayan encontrado con estos eventos en su educación”, dijo Martin.

La variedad de sistemas y entornos operativos involucrados con los dispositivos industriales de IoT plantea otro desafío, ya que abre la posibilidad de riesgos de seguridad o relacionados con la seguridad, dijo Johannes Bauer, asesor principal de seguridad, gestión de identidad y seguridad en UL. También complica el proceso de buscar fallas en los diversos elementos de procesamiento y código involucrados en un solo proyecto.

Creación de un lenguaje de confianza común

En el ámbito industrial, la confiabilidad incluye facetas, incluida la seguridad, la seguridad, la privacidad, la confiabilidad y la resistencia. El software confiable puede resistir perturbaciones ambientales, errores humanos, fallas del sistema y ataques cibernéticos, según Industrial Internet Consortium.

La implementación de software en el que se puede confiar requiere un enfoque integral que abarque todo el proceso del ciclo de vida del software, según Simon Rix, estratega de productos de Irdeto. "Tienes que incorporar la seguridad desde el principio y tienes que averiguar cómo automatizarla", dijo Rix, quien también coescribió el documento técnico de la CII.

Sin embargo, fomentar la conversación entre esas partes interesadas puede ser un desafío. "¿Cómo logras que los empresarios hablen de una manera que los técnicos puedan entender y cómo evitas que los tecnológicos se apresuren a cumplir su misión de diseñar un producto rápidamente?" Preguntó Rix.

“La clave es abordar todo el ciclo de vida, todas las diferentes metodologías de desarrollo de software y asegurarse de incorporar a las partes interesadas del negocio, así como a los operadores”, dijo Martin. "Existe la necesidad de una clave de traducción o Rosetta Stone para que las diferentes partes puedan hablar sobre lo que les importa donde otros en la mesa también puedan ver sus perspectivas".

Los marcos proporcionan un punto de partida

Un número creciente de marcos destila el tema de la confianza entre varias partes interesadas, pero inculcar la confianza en el software sigue siendo una propuesta compleja. "El uso de la palabra 'confianza' tiene tanta variabilidad que es un concepto casi inútil, excepto que nos permite tener un diálogo", dijo Martin.

Poner controles en su lugar para optimizar la seguridad y la protección del software industrial es un primer paso vital. Pero los procesos de ciberseguridad deben auditarse continuamente. “La preocupación que tengo es que se puede estropear cualquier cosa”, dijo Chester Wisniewski, científico investigador principal de Sophos. "Por ejemplo, puedo usar [el Estándar de cifrado avanzado], pero puedo usarlo incorrectamente en muchas más formas de las que puedo usarlo correctamente". Wisniewski establece un paralelo con el comercio minorista. “Muchas tiendas que tienen lectores de chips para tarjetas de crédito tienen un trozo de cartón con un letrero que dice:'Por favor, deslice'”, dijo. "Tener lectores de chips no significa que el procesamiento de su tarjeta de crédito sea seguro si no usa realmente [tecnología diseñada para limitar el fraude]".

Otro escollo es concentrarse en implementar software seguro inicialmente, pero no considerar que se volverá obsoleto. “Distinguimos entre el final del soporte y el final del uso. El hecho de que el creador original no sea compatible con el software no significa que se convierta en un pilar de sal, que sea inutilizable ", dijo Martin.

Irónicamente, el tema del software al final de su vida útil también subraya la importancia de centrarse en las consideraciones de seguridad desde el principio. "Si el software es fundamental para usted, entonces inclúyalo en su contrato para obtener los derechos de la fuente", aconsejó Martin.

En última instancia, comprender cómo funciona el software en el mundo real requiere un enfoque a largo plazo. "No es mágico. Reacciona, interactúa y, a veces, necesita ser reemplazado ".