Seguridad de IoT:¿de quién es la responsabilidad?

A menudo, se considera que las personas son el eslabón más débil de una cadena de seguridad, ya que se las engaña para que revelen contraseñas o elijan contraseñas que son fácilmente descifrables. Este es un concepto erróneo que puede llevar a algunos propietarios de negocios o profesionales de TI a creer que IoT, dado su nivel casi total de automatización, es intrínsecamente seguro. Nada podría estar más lejos de la verdad, porque nada es intrínsecamente seguro.

Los entornos de IoT son un laberinto de oportunidades para los ciberdelincuentes, y este año se espera que ese laberinto crezca en tamaño en un 15% (año tras año) para llegar a 20 mil millones de dispositivos, según IHS Markit . Para poner eso en contexto, la cantidad total de suscripciones móviles únicas a nivel mundial es de 4.900 millones (según la GSMA ). IoT eclipsa el uso de dispositivos móviles P2P en términos de conexiones y, posteriormente, en términos de su potencial de violaciones de seguridad, dice Sanjay Khatri, director global de marketing de productos de Cisco IoT.

La cadena de valor de IoT es larga y compleja, y cada elemento es esencial e interdependiente. Cada eslabón de la cadena representa una vulnerabilidad potencial y, al igual que cualquier otra industria, ningún proveedor puede cubrir todas las vulnerabilidades de seguridad de IoT.

Este panorama fragmentado significa que la seguridad de IoT se lleva una aldea.

Creación de la aldea de seguridad de IoT

El fabricante del dispositivo es posiblemente la cadena más obvia para el enlace de IoT. Estas empresas no son necesariamente el fabricante de las "cosas" que se conectan, sino que son fabricantes especializados de elementos como los módulos de comunicaciones y los sensores que permiten que las cosas se conecten.

Establecer la responsabilidad de asegurar las cosas es crucial. La parte con responsabilidad técnica puede ser diferente de la parte que los usuarios finales consideran responsable. Sin embargo, en última instancia, la empresa orientada al usuario final asumirá la responsabilidad, ya que están en la línea de fuego si las cosas salen mal.

Es probable que los usuarios finales vean al proveedor de hardware como la parte responsable, pero es más probable que existan problemas en el software. Los desarrolladores deben incluir controles estrictos para autenticar el acceso de los usuarios y el software de IoT debe tener mecanismos sólidos de detección y prevención de fraude para proteger tanto el dispositivo como los datos.

Las vulnerabilidades también existen a nivel de red, ya que los dispositivos se conectan a Internet a través de celulares, Wi-Fi, Bluetooth, LPWAN o incluso por satélite. En el caso de los celulares, ya hay un cierto nivel de seguridad incorporado. La conectividad celular utiliza estándares globales como claves de cifrado y algoritmos de cifrado en la propia SIM para transmitir y recibir datos de forma segura. El IoT celular también permite analizar los datos del dispositivo en redes privadas para aislarlos del tráfico de otras redes.

Los proveedores de plataformas en la nube también desempeñarán un papel fundamental en el desarrollo de un panorama de seguridad de IoT en pleno funcionamiento. Algunos, como IBM, Microsoft y Salesforce , se centrará en proteger los datos generados por los dispositivos conectados en la nube. Mientras que las plataformas de IoT administrarán, monitorearán y asegurarán la conectividad de los dispositivos implementados.

Protección del dispositivo

El nivel de riesgo involucrado con un dispositivo variará según el contexto de cómo se esté utilizando. Las capas de seguridad, como la autenticación, el acceso de usuarios, el acceso a aplicaciones, la gestión del ciclo de vida del dispositivo y el cifrado de datos, deben tenerse en cuenta para proteger los dispositivos conectados.

A menudo existe una relación costo / beneficio entre proteger todo y pagar por todo, y esto puede ser bastante pronunciado para los dispositivos en los que se utilizan grandes cantidades. Además, los datos del dispositivo tienen diferentes niveles de sensibilidad. Comprender qué y cuántos dispositivos están en uso, y el tipo de datos que se recopilan son los primeros pasos fundamentales para crear la estrategia de seguridad de dispositivos adecuada.

Protección de datos y redes

Si los dispositivos son puertas de enlace, las redes representan las autopistas de conectividad a través de las cuales se transportan los datos a las aplicaciones en la nube que brindan servicios de IoT. Proteger esta autopista es tan importante como mantener los dispositivos seguros, porque si bien los dispositivos pueden ser seguros, hay una miríada de puntos de entrada en cualquier red. Existen numerosas opciones para proteger una red y la estrategia utilizada dependerá del tipo de conectividad, las redes y el uso del dispositivo.

La conectividad inalámbrica, como Wi-Fi o celular, y las conexiones de línea fija tienen su propio conjunto de protocolos de seguridad. Los datos del dispositivo siempre deben cifrarse y analizarse en redes privadas seguras en lugar de enviarse abiertamente a través de Internet. Además, la autenticación de red permite a los usuarios verificar y autorizar dispositivos tanto en la red como en aplicaciones dentro de la red.

Cobertura de nubes

IoT se deriva de la conexión de dispositivos a la nube a través de redes seguras, por lo que no se puede dejar de enfatizar la importancia de una seguridad sólida en la nube. Al proteger la infraestructura de la nube, las organizaciones deben considerar prácticas de seguridad tanto digitales como no digitales. Adherirse a estándares como ISO / IEC 27001 puede proporcionar una parte fundamental de una estrategia general para garantizar la seguridad de la información.

Además de proteger el entorno general, las empresas deben ser granulares con controles para las aplicaciones de IoT en sí mismas, específicamente con el acceso basado en roles y la detección de anomalías. Con el acceso basado en roles, las organizaciones deben implementar listas de control de acceso y administración de identidades para garantizar que las aplicaciones en la nube brinden el acceso correcto a las personas adecuadas. La detección de anomalías garantiza que la plataforma de IoT no solo pueda detectar comportamientos anómalos o sospechosos, sino que también automatice la corrección de cualquier anomalía.

La lista de verificación de seguridad de IoT

Las previsiones para el crecimiento de IoT son enormes, sin embargo, una recompensa masiva conlleva un riesgo enorme. Las empresas a lo largo de la cadena de valor deben adoptar una visión holística de la aldea de la seguridad que, por supuesto, es más fácil decirlo que hacerlo.

Para ayudar a enfocar su estrategia de seguridad de IoT, asegúrese de:

• Evaluar la identificación y autenticación de un extremo a otro de todas las entidades involucradas en el Servicio de IoT (es decir, pasarelas, dispositivos terminales, red doméstica, redes de roaming, plataformas de servicio)
• Asegúrese de que todos los datos de usuario compartidos entre el dispositivo de punto final y los servidores de servicios de fondo estén encriptados.
• Almacenar y utilizar datos "personales" y regulados de acuerdo con la legislación local sobre privacidad y protección de datos
• Utilice una plataforma de administración de conectividad de IoT y establezca políticas de seguridad basadas en reglas para una acción inmediata en caso de comportamiento anómalo
• Adopte un enfoque de seguridad holístico a nivel de red

El autor de este blog es Sanjay Khatri, director global de marketing de productos, Cisco IoT