vasabii - Fotolia

Gestionar Aprenda a aplicar las mejores prácticas y optimizar sus operaciones.

Stranger Things: las preocupaciones de seguridad de IoT extienden el alcance de los CISO

El internet de las cosas ha ampliado drásticamente el alcance de lo que las empresas necesitan proteger, lo que agrega desafíos grandes y pequeños a las responsabilidades de los CISO.

Los dispositivos conectados, con la gran cantidad de datos que proporcionan, juegan un papel fundamental en la transformación digital empresarial. Pero las preocupaciones de seguridad de internet de las cosas están demostrando ser turbulencias, si no es que un obstáculo total, para su adopción en muchas organizaciones.

Considere esta estadística: Gartner encontró en su más reciente "Internet of Things Backbone Survey", publicada en 2017, que el 32% de los líderes de TI enumeran la seguridad como una de las principales barreras para el internet de las cosas.

Los ataques que usan dispositivos de internet de las cosas (IoT) no seguros han demostrado que hay más que datos comprometidos en riesgo. Pueden paralizar los sistemas críticos, un problema potencialmente catastrófico ya que IoT se extiende a los automóviles y dispositivos de atención médica donde la vida podría estar en juego.

Internet de las cosas también ha ampliado drásticamente el tamaño y el alcance de lo que los equipos de seguridad necesitan proteger, agregando preocupaciones de seguridad de IoT a las responsabilidades de los CISO.

 "Se trata de combinar el conocimiento empresarial con los conocimientos técnicos para desarrollar su marco de riesgos y validar que las medidas de seguridad que usted tenga funcionarán con los requisitos operacionales para las iniciativas de IoT", dijo Barika L. Pace, directora de investigación de Gartner enfocada en la estrategia de IoT.

'El software ya está en crisis'

Gartner predijo que para el año 2020, habrá 20 mil millones de dispositivos conectados a internet en uso, con IoT conectando todo, desde motores a reacción y vehículos comerciales, pasando por equipos de fabricación y de oficina, hasta automóviles personales y productos electrónicos de consumo.

Ese asombroso número, junto con la gama de fabricantes de dispositivos, crea un entorno mucho más grande y complejo que las empresas y sus CISOs deben asegurar, dijo Balakrishnan Dasarathy, profesor y director de programas de aseguramiento de la información en la facultad de posgrado del University College, de la Universidad de Maryland.

"Este es el problema con IoT que no encontramos antes", dijo, y señaló que muchos de los jugadores en el espacio de IoT no son "personas de software tradicionales".

"El software ya está en una crisis y ahora hay miles de millones de dispositivos fabricados por fabricantes de hardware, y si no tienen un buen software, serán vulnerables a los ataques".

El panorama del alcance de IoT es otro elemento nuevo, o al menos un elevado riesgo de ciberseguridad, agregó Dasarathy. Ejemplo: los botnets Mirai en 2016 distribuyeron ataques de denegación de servicio (DDoS) que utilizaron dispositivos IoT no protegidos.

El internet de las cosas, por su propio diseño, extiende la infraestructura tecnológica de la empresa cada vez más lejos, informatizando dispositivos cuyas funciones, si se corrompen, podrían significar resultados catastróficos. Los CISO ahora deben preocuparse no solo por datos comprometidos o robados, sino también por la posibilidad de que los malos actores secuestren vehículos, maquinaria pesada y equipos médicos.

Enfrentando los riesgos

Taylor Lehmann, CISO de Wellforce y su hospital académico, Tufts Medical Center, ha visto crecer ese tipo de riesgo en las últimas dos décadas a medida que el sistema de salud con sede en Massachusetts ha ampliado su infraestructura de IoT.

Ahora supervisa la seguridad de una organización cuyas tecnologías conectadas incluyen bombas de infusión inalámbricas seguras y monitores de frecuencia cardíaca, así como unidades de calefacción, ventilación y aire acondicionado; sistemas de refrigeración críticos para la investigación y equipamiento informático tradicional, como servidores, PC y dispositivos móviles.

"La gente habla de IoT como algo nuevo y candente, pero ha estado allí casi 20 años en la atención médica", dijo. "Lo que ha cambiado es la cantidad de estos dispositivos y cuántos de estos dispositivos son vulnerables".

Al igual que Dasarathy, Lehmann ve el alcance total de IoT, el número de jugadores en el espacio y las características inherentes de los dispositivos como las preocupaciones de seguridad de IoT para los CISO. Muchos dispositivos conectados no se pueden reparar ni actualizar, ni tienen funciones de seguridad como el cifrado básico y la autenticación de dos factores.

"Uno de los desafíos que hemos tenido para proteger los dispositivos es tratar de aplicar el enfoque de seguridad de dispositivos tradicionales. La mayoría no ejecutan antivirus [software], algunos no pueden ser parcheados, algunos ni siquiera tienen sistemas operativos", explicó Lehmann.

Taylor Lehmann

"Tome una PC de escritorio –un equipo básico en la red empresarial de cualquier empresa– y para empresas altamente reguladas, puede reflejar su política de seguridad de forma automática, puede ser más específico y definir cómo la hará cumplir. Sin embargo, en los dispositivos IoT, puede hacer eso con el 50% de los dispositivos pero para el otro 50% debe confiar en los usuarios y/o aceptar el riesgo".

Para mitigar los problemas de seguridad de IoT, Lehmann utiliza tecnologías de gestión de activos e inventario y herramientas de control de acceso a la red para determinar y rastrear qué dispositivos están conectados a la red, y así controlar dónde y a qué sistemas puede acceder cada dispositivo.

Las empresas toman medidas

Prakash Venkata, director de seguridad cibernética y prácticas de privacidad de la firma de consultoría PwC, dijo que las empresas están madurando sus prácticas de seguridad a medida que adoptan más tecnologías IoT.

Venkata señaló la "Encuesta Global del Estado de la Seguridad de la Información 2018" de PWC, la cual encontró que el 67% de los encuestados tienen una estrategia de seguridad IoT o bien están implementando una. Esa cifra es un 5% superior al año anterior.

"Las organizaciones necesitan tener un marco en términos de cómo estarán entregando y construyendo estos entornos de IoT: ¿cuáles son los estándares y cómo pueden mantenerlos en conformidad?", ponderó Venkata, y agregó que la madurez de las estrategias de seguridad de IoT varía de una organización a la siguiente, al igual que el nivel de adopción de IoT.

Aunque IoT de alguna manera presenta nuevos desafíos debido al tamaño y alcance de la tecnología, Venkata y otros expertos dicen que las estrategias efectivas de IoT se basan en los viejos principios de seguridad de tener las personas, los procesos y la tecnología correctos.

Las estrategias de IoT exitosas comienzan con un inventario: las organizaciones necesitan descubrir e identificar dispositivos que se conecten a sus redes para saber qué deben proteger, dijo John Pescatore, director emergente de tendencias de seguridad en SANS Institute, una organización de capacitación en seguridad de la información.

A partir de ahí, los expertos dicen que las organizaciones deben usar la segmentación de red, las tecnologías de administración de inventario y activos, las herramientas de control de acceso a la red, el software de detección de amenazas y otros componentes de seguridad tradicionales para administrar los riesgos.

Pescatore dijo que muchas empresas están usando los procedimientos de seguridad tipo ‘traiga su propio dispositivo’ (BYOD) que desarrollaron cuando trajeron sus propias políticas de dispositivos a la empresa como puntos de partida para sus programas de seguridad de IoT, porque los riesgos de seguridad de las dos tendencias se reflejan entre sí.

Sin embargo, en el futuro, los líderes empresariales y los grupos comerciales deberían (y de hecho están empezando a) presionar a los fabricantes de componentes de IoT para que incorporen más características de seguridad en sus dispositivos y promuevan la adopción de estándares de seguridad.

Vista unificada de todas las cosas de internet

La cantidad de dispositivos conectados en la red de la Universidad de Princeton ha crecido para incluir desde cámaras de seguridad hasta sensores de laboratorio y bombillas de luz.

"Hay todo tipo de cosas que quieren estar conectadas", dijo David Sherry, CISO en Princeton, y señaló que un profesor descarta la etiqueta IoT y en su lugar solo agrupa todo como internet. "Si tiene un ISP, es solo internet".

David Sherry

Esa filosofía refleja el enfoque unificado de Sherry para asegurar este entorno altamente conectado. Se basa en la segmentación de la red, así como en las tecnologías de gestión de activos e inventario para garantizar la visibilidad de lo que hay en la red y dónde puede y no puede ir. Y establece relaciones con otros líderes de departamento en toda la universidad para que involucren a su equipo de seguridad cuando quieran incorporar nuevos componentes tecnológicos, ya sean dispositivos IoT o una TI más convencional.

Como tal, todas las tecnologías y las nuevas conexiones tienen el mismo tratamiento de seguridad, la lección general aquí es que un programa de seguridad sólido abarca IoT en lugar de preocupaciones de seguridad IoT que exigen un nuevo enfoque.

"Cualquier nueva tecnología que ingrese a nuestra infraestructura, ya sea un nuevo software o mil nuevas direcciones IP, en nuestro campus recibe una rigurosa revisión de seguridad", dijo Sherry. "Esto implica una revisión de la tecnología, su uso, a qué necesita acceder y luego se le asigna el espacio de IP adecuado".

Este artículo se actualizó por última vez en junio 2018

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close