Abordar el desafío de seguridad de IoT

Abordar el desafío de seguridad de IoT


Las empresas están sujetas a una serie de fuerzas críticas del mercado que están cambiando la forma en que necesitan ejecutar sus programas cibernéticos. Una de las más grandes es que las tecnologías de Internet de las cosas (IoT) se están expandiendo significativamente y cambiando la superficie que requiere monitoreo.

Los sensores y puntos finales de IoT están integrados en una gama cada vez mayor de sistemas, incluidos los electrodomésticos dentro de la oficina, por ejemplo, sistemas inteligentes de iluminación de oficina conectados basados ​​en IoT. Gartner predice que habrá 5.8 mil millones de puntos finales de IoT este año, un aumento del 21% desde 2019.

Deberías leer:   Si ves estas señales en la puerta de tu casa no entres y llama de inmediato a la Policía | Life

Con esta sobrecarga de activos, las preguntas cruciales que deben abordarse son cómo las empresas pueden superar los desafíos de descubrir todos los dispositivos IoT en su inventario de activos, los riesgos que plantean si no están asegurados y las mejores prácticas para la protección.

Comencemos con la identificación. El año pasado, Panaseer encargó un estudio de 200 líderes de seguridad empresarial. Cuando se les preguntó sobre los activos en los que tenían menos visibilidad, Dispositivos IoT encabezó la lista, con uno de cada cinco encuestados diciendo que era su mayor desafío de visibilidad.

Hay un número de razones para esto. Primero, la gran mayoría de los controles de seguridad tradicionales y las herramientas de descubrimiento simplemente no existen para los dispositivos IoT. Tenemos agentes de punto final para computadoras de escritorio, computadoras portátiles y servidores, pero el mismo concepto no se aplica a IoT. Es difícil encontrar más que una dirección IP a través de una herramienta de descubrimiento de red.

Deberías leer:   Los empleados de TikTok se quejan de la 'lista de eliminación' destinada a expulsar al personal de Londres

Incluso si se encuentra una dirección IP para un dispositivo IoT, ciertamente no muestra qué es el dispositivo, dónde se encuentra, a qué está conectado, si los controles se ejecutan en él y si hay alguna vulnerabilidad.

«La mayoría de los controles de seguridad tradicionales y las herramientas de descubrimiento simplemente no existen para los dispositivos IoT, que pueden actuar como una puerta de acceso para acceder a redes internas y previamente segregadas»

Charaka Goonatilake, Panaseer

También debemos tener en cuenta que un dispositivo IoT puede actuar como una puerta de acceso para acceder a redes internas y previamente segregadas. Esta falta de visibilidad hace que los equipos de seguridad desconozcan por completo los riesgos que plantean y dónde tienen vulnerabilidades que pueden ser explotadas por los piratas informáticos. También existe la amenaza de daño físico, que no se abordará. Esto puede no ser un problema en un entorno de fábrica, pero un dispositivo de diagnóstico médico en un hospital que no funciona correctamente podría provocar la pérdida de vidas.

Estos problemas se ven agravados por el hecho de que el mercado de IoT no está especialmente preparado para la seguridad. La responsabilidad ha sido llevar los dispositivos IoT al mercado: la seguridad no se ha incorporado en la fase de diseño. Todavía es un campo joven e incipiente y no ha habido tiempo para establecer procesos y mejores prácticas.

Ha habido algunos avances recientes en las normas, con la aprobación de una ley en el Reino Unido que establece que todos los dispositivos inteligentes de consumo vendidos en el Reino Unido deben cumplir con los tres requisitos básicos de seguridad para IoT, pero todavía estamos en la infancia de Seguridad de IoT.

Después de todo, muchos dispositivos IoT ni siquiera se han configurado para recibir o ejecutar actualizaciones de software, sin mencionar que algunos dispositivos son funcionando con batería por lo que no tienen los recursos para ejecutar controles de seguridad en ellos.

Entonces, ¿cuál es la respuesta? Tener un buen inventario de activos es fundamental: cada dispositivo IoT conectado a la red debe ser considerado y evaluado. Si el dispositivo no se puede asegurar, entonces debe haber un plan para su reemplazo, o al menos compensar los controles de seguridad para mitigar el riesgo.

Para los nuevos dispositivos IoT, debe haber un proceso riguroso, que comienza por mantenerse al tanto de pautas de fabricación sobre la mejor manera de asegurar y configurar el dispositivo; por ejemplo, normalmente se enviarán con un contraseña predeterminada que debe cambiarse antes de que estén conectados.

También debe existir un proceso que permita actualizaciones continuas de software para mantener los dispositivos IoT a salvo de las últimas vulnerabilidades. Finalmente, existe un requisito para un enfoque holístico de gestión de riesgos para ganar visibilidad, priorizar y tratar los riesgos introducidos por la IoT expuesta, en función del impacto comercial.

Acerca de

Pilar Benegas es una reconocida periodista con amplia experiencia en importantes medios de USA, como LaOpinion, Miami News, The Washington Post, entre otros. Es editora en jefe de Es de Latino desde 2019.