BACKGROUND IMAGE: Sergey Nivens - Fotolia

Este contenido es parte de Guía Esencial: Guía esencial: Gestione sus proyectos de internet de las cosas
Gestionar Aprenda a aplicar las mejores prácticas y optimizar sus operaciones.

Mejores prácticas para superar un desafío de seguridad de IoT

Internet de las cosas plantea numerosos desafíos de seguridad, pero con la preparación y las herramientas adecuadas, su empresa puede mitigar las amenazas.

La internet de las cosas está afectando a su empresa en este mismo momento, ya sea que usted lo sepa o no. Si desempeña un papel en TI o seguridad, le corresponde a usted y a su equipo garantizar la recopilación, gestión y disposición segura de los activos de información relacionados con su entorno de IoT, y eso incluye saber qué hay en su red. Suena un poco simplista, pero la realidad para las empresas grandes y pequeñas es que no puede asegurar las cosas que no reconoce o que ni siquiera sabe que están ahí. Incluso si cree que los dispositivos IoT no están en su red, es muy probable que haya algo que deba abordarse de alguna manera.

El mayor desafío de seguridad de IoT para empresas es saber qué es qué. Bombillas inteligentes, un sistema de HVAC conectado, una cámara de seguridad conectada o incluso el Fitbit en la muñeca de un empleado: IoT puede consistir en todo, desde sensores y actuadores hasta dispositivos de seguridad física y sistemas de control de edificios, hasta más sistemas especializados que sirven para fines médicos o financieros.

Cualquier cosa con una dirección IP o URL que esté conectada a su red podría ser un dispositivo IoT. ¿Por qué es esto un gran problema? Los sistemas de IoT a menudo interactúan con sistemas de red críticos y pueden vincularse con los procesos comerciales centrales. Algunos de ellos captan, procesan y almacenan datos confidenciales, como información de identificación personal y propiedad intelectual. Los sistemas de IoT son accesibles a través de la red, y algunas veces accesibles a través de internet, lo que significa que podrían usarse contra usted y su empresa si no se controlan adecuadamente. Lo que hace que los dispositivos de IoT sean únicos en el contexto de la seguridad es que a menudo se encuentran fuera de los requisitos tradicionales de análisis, desarrollo y supervisión. Esto puede crear graves riesgos de seguridad si no se aborda.

Otro desafío importante de seguridad de IoT empresarial es descubrir vulnerabilidades específicas. Se debe tener en cuenta muchas cosas para asegurarse de que esté buscando, y descubriendo, las fallas de seguridad que importan, como las siguientes:

  • Qué incluir en sus pruebas continuas de vulnerabilidad y penetración. Podría ser que los sistemas de IoT sean simplemente parte de sus pruebas tradicionales de todos los sistemas de red. O, quizás, necesita probarlos por separado, y con cautela, ya que a menudo no son tan resistentes como los hosts de red tradicionales como servidores, estaciones de trabajo y sistemas de infraestructura de red.
  • Qué herramientas necesitan ser utilizadas. Descubrí que las herramientas de prueba de seguridad tradicionales funcionan bien, incluidos Nessus y Netsparker para el análisis de vulnerabilidades de host y web; y CommView, CommView para WiFi y Wireshark para el análisis de comunicaciones de red. También he encontrado herramientas como NetScanTools Pro, Nmap y Shodan que funcionan bien para el descubrimiento adicional del sistema y la toma de huellas dactilares que otras herramientas pueden pasar por alto, dado cómo funcionan algunas pilas TCP/IP del sistema IoT.
  • Vulnerabilidades a tener en cuenta. Estas incluyen las vulnerabilidades estándar de parches faltantes y contraseñas débiles, pero profundizan más y aseguran que los sistemas de IoT utilicen Transport Layer Security para cifrar sesiones de comunicación y cifrar datos en reposo, así como asegurarse de que los dispositivos no sean susceptibles a ataques de denegación de servicio. El Proyecto de Internet de las Cosas de OWASP es una gran referencia aquí.
  • Cómo documentará sus hallazgos. ¿Los sistemas de IoT serán agrupados con sus hallazgos tradicionales de pruebas de vulnerabilidad y penetración? ¿O habrá un informe dedicado? ¿Cómo se comunicará la información? ¿Y quién será responsable de los esfuerzos de remediación?

Otro desafío de seguridad de IoT es integrar los sistemas dentro de sus estándares de seguridad, políticas y controles existentes. Su documentación puede indicar que todos los sistemas deben cumplir con los requisitos mínimos de contraseñas, registro y alerta, copias de seguridad, etc. Eso no significa nada, y en realidad puede crear responsabilidades, si algunos o todos sus sistemas de IoT no son compatibles con estas funciones o se integran fácilmente en su programa de seguridad. Considere lo siguiente:

  • Es posible que necesite nuevos estándares de seguridad que puedan abarcar y habilitar las capacidades de su sistema de IoT.
  • Deberá agregar IoT en el alcance de algunas, si no todas, de sus políticas de seguridad. Sus procedimientos e incluso planes específicos para la respuesta a incidentes y la recuperación ante desastres y la continuidad del negocio probablemente deberán actualizarse, especialmente para los sistemas de IoT que desempeñan un papel fundamental en su entorno o que de otro modo pueden representar riesgos.
  • La supervisión continua es una necesidad, y el monitoreo, el registro y la alerta deben llevarse a cabo. Descubrí que la información de seguridad tradicional y los sistemas de gestión de eventos pueden funcionar con algunos ajustes, pero existen herramientas dedicadas a IoT que pueden aliviar el proceso.
  • Es posible que deba incluir los sistemas de IoT en sus esfuerzos de cumplimiento, especialmente en lo relacionado con la información de identificación personal. Las regulaciones como la Ley de Responsabilidad y Portabilidad del Seguro de Salud, GDPR y la Ley Gramm-Leach-Bliley probablemente se incluirán en este paraguas.

Probablemente, el mayor desafío desconocido para la seguridad de IoT, y el área de mayor escrutinio para la empresa, es que a menudo no sabemos qué están haciendo esos sistemas, o qué son capaces de hacer, en la red. Para agravar la paranoia, muchos proveedores de IoT no se acercan mucho con esa información. Estoy trabajando en un proyecto de evaluación de seguridad de dispositivos de IoT mientras escribo esto. El proveedor desea asegurarse de que su producto y el entorno de aplicación asociado sean seguros, y con razón. Una preocupación aún mayor es de parte de los clientes finales, en términos de cómo se almacenan y administran los registros confidenciales, como la información de identificación personal, así como qué más están haciendo los dispositivos IoT en la red. Estas son preocupaciones de IoT que deben abordarse ahora y en el futuro, y la razón por la cual los organismos de estándares, como el NIST y el Instituto de Ingenieros Eléctricos y Electrónicos, se están involucrando.

Usted, sus ejecutivos y su negocio en general son los responsables finales de los problemas de seguridad de los proveedores. Incluso si cada desafío de seguridad de IoT se presenta y debe ser resuelto por los propios proveedores, aún depende de usted averiguar cómo abordar los problemas de seguridad existentes en su entorno específico. Haga lo que pueda para mejorar aún más esos esfuerzos. Trate los dispositivos de IoT como una nueva afluencia de sistemas que presentan riesgos desconocidos que deben protegerse, porque eso es exactamente lo que son.

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close