Los principios de seguridad por diseño son vitales en el modo de crisis

“Si no planifica, estás planeando fallar ". —Proverbio moderno

Con tanto enfoque en las interrupciones de COVID-19 a corto plazo, ha habido menos discusión sobre sus ramificaciones a largo plazo para la adopción de tecnología.

Un escenario probable es que la pandemia impulse un aumento a largo plazo en la automatización y la gestión remota de activos que van desde máquinas industriales hasta sistemas de calefacción, ventilación y aire acondicionado (HVAC) y cadenas de suministro. En la atención de la salud, es probable que se produzca un repunte a largo plazo en la atención virtual y la telesalud. Si bien muchas organizaciones con presiones presupuestarias han suspendido sus operaciones, la pandemia allanará el camino para que las organizaciones mejor posicionadas puedan automatizar los procesos.

A principios de marzo, las empresas comenzaron a repensar los procesos comerciales y otras operaciones después de que la Organización Mundial de la Salud clasificara al COVID-19 como una pandemia. Lo más obvio es que ha habido un "gran aumento en los usuarios reportados de Slack y Microsoft Teams para la colaboración", dijo Chris Kocher, director gerente de Gray Heron, una firma de consultoría de gestión. Los proveedores de teleconferencias también han experimentado rápidos avances. "Teladoc para telesalud también ha experimentado un gran crecimiento", agregó Kocher.

[ Mundo de IoT es el evento de IoT más grande de Norteamérica donde los estrategas, tecnólogos e implementadores se conectan, poniendo IoT, AI, 5G y la ventaja en acción en las verticales de la industria. Reserve su boleto ahora. ]

El acceso remoto a los sistemas de control industrial (ICS) también ha aumentado recientemente, luego de una caída durante los últimos años, según los datos de Shodan. Solo en los EE. UU., Ahora hay casi 50,000 dispositivos ICS conectados a Internet. El uso del protocolo de escritorio remoto, que permite a los usuarios de Windows administrar estaciones de trabajo o servidores de forma remota, también ha aumentado, luego de que el protocolo comenzara a caer en desgracia a fines de 2019 como resultado de vulnerabilidades de seguridad.

Muchas organizaciones industriales ya cuentan con "monitoreo remoto de nivel básico", dijo Yasser Khan, director ejecutivo de One Tech. Estas capacidades relativamente simples eran suficientes cuando los trabajadores aún podían inspeccionar las máquinas en persona. Pero debido a que muchas instalaciones se han reducido a tripulaciones esqueléticas, sus prioridades han cambiado. Los gerentes de planta buscan cada vez más "determinar cómo pueden obtener más información sobre el estado de sus máquinas, de forma remota", dijo Khan.

Muchas organizaciones también están reconsiderando la planificación de la recuperación ante desastres, según Nitin Kumar, director ejecutivo de Appnomic. “A menudo, lo que sucede cuando un desastre natural o un virus informático golpea a una organización y sus sistemas se caen, se cambia a una especie de modo manual”, dijo Kumar. "El negocio continúa, pero a un ritmo más lento". Pero COVID-19 no es un desastre normal. “Ahora, su capacidad manual y de demanda se ha visto afectada y la capacidad de su sistema está obstruida o inaccesible. Por lo tanto, necesita más sistemas o automatización, no más personal ". Es probable que las organizaciones que pueden permitirse expandir la automatización lo hagan mientras reconsideran su planificación de recuperación ante desastres y su planificación de la continuidad del negocio.

La expansión de la conectividad y la automatización no es nada nuevo, por supuesto. En 2016, el gurú de la seguridad Bruce Schneier observó que la intervención humana es cada vez más innecesaria. "Internet ahora siente, piensa y actúa", escribió. "Estamos construyendo un robot de tamaño mundial y ni siquiera nos damos cuenta". Schneier concluyó que es vital considerar lo que denominó un "nuevo robot que abarca todo el mundo".

Aunque el papel social del software se ha expandido durante décadas, las ramificaciones de seguridad de un mundo con dispositivos habilitados para IoT automatizados o semiautomatizados generalizados podrían ser profundas. “Las computadoras tienen una enorme cantidad de poder para ayudarnos en nuestras vidas y mejorarlas, pero cuanto más complejo es el sistema, más cosas pueden salir mal”, dijo Kate Stewart, directora senior de programas estratégicos de la Fundación Linux. "Tenemos que tratar de descubrir cómo comprender qué puede salir mal, mitigar el daño y aumentar la confiabilidad del software".

S ecure por diseño

Los conceptos tradicionales de ciberseguridad, como la seguridad por diseño, a veces se quedan en el camino cuando las organizaciones están en modo de respuesta a una crisis. COVID-19 “hará que la adhesión a los principios de seguridad por diseño sea un desafío”, dijo John Loveland, director global de estrategia de ciberseguridad de Verizon. "Todo el mundo se mueve muy rápido". A medida que las organizaciones avanzan para expandir las capacidades de automatización y trabajo remoto durante la crisis, es más probable que cometan errores. “No puede permitir que la tecnología o los nuevos procesos comerciales superen la seguridad que hay detrás. Debe asegurarse de que su equipo de seguridad interno sea parte de cada decisión que tome con respecto a nuevas tecnologías, procesos o formas de trabajar ”.

Los expertos recomiendan considerar la seguridad en la etapa más temprana posible al planificar las implementaciones de tecnología. “Asegúrese de involucrar a las partes interesadas, la empresa y los operadores en las discusiones de seguridad”, recomendó Bob Martin, copresidente del Grupo de trabajo de confiabilidad del software en Industrial Internet Consortium.

“Debe considerar [la seguridad] como uno de los aspectos principales de cualquier solución y, como los cimientos de una casa, todo lo demás se construye sobre eso”, dijo Andrew Jamieson, director de seguridad y tecnología de UL. Las organizaciones que descuidan construir una base correcta corren el riesgo de reconstruirla o "al menos dedican una gran cantidad de tiempo y esfuerzo a arreglar algo que podría haberse remediado mucho más fácilmente", dijo Jamieson.

Aún así, es poco probable que los principios de seguridad por diseño encabecen la lista de prioridades a medida que las organizaciones se mueven abruptamente hacia el trabajo remoto, el control remoto de activos y posiblemente expandan las capacidades de automatización. “Eso es de hecho un gran problema de seguridad, incluso cuando se utilizan tecnologías seguras porque no hay tiempo para aplicarlas de forma segura”, dijo Frank Hißen, consultor de seguridad independiente.

Los principios de seguridad por diseño a menudo incorporan una variedad de piezas de hardware y tecnología. Ensamblarlos puede ser una especie de rompecabezas. “A veces, los proveedores que venden las 'piezas del rompecabezas'” que componen una implementación carecen de las medidas de seguridad adecuadas, dijo Chris Catterton, director de ingeniería de soluciones de One Tech. Ampliar el alcance de las capacidades de acceso remoto de una implementación de IoT aumenta la necesidad de "incluir seguridad en los puntos finales, así como a nivel del sistema, ya sea a través de la nube o sistemas locales a los que se accede a través de VPN", dijo Catterton.

F búsqueda y restablecimiento del saldo de seguridad

Si bien la integración de funciones de seguridad en productos y procesos es vital, no es posible anticipar todas las posibles amenazas futuras. "No siempre se pueden tomar decisiones de diseño sobre seguridad al principio de un proyecto y mantenerlas válidas", dijo Jamieson.

A menudo, existe una tensión entre agregar nuevas funciones al software y garantizar que se mantenga seguro de usar y protegido. "Hay muchas funciones que aparecen en nuestros teléfonos celulares que se bloquean al azar y las consecuencias, aunque son molestas, no ponen en peligro la vida", dijo Stewart. "Vemos cada vez más el uso de código abierto en aplicaciones en las que, si el software no es confiable, podría dañar a alguien".

En última instancia, proteger los sistemas se reduce a la capacidad de recuperación y la agilidad. "Si construye solo para la resiliencia, tendrá problemas" cuando surjan nuevas vulnerabilidades de seguridad ", dijo Jamieson. "Por lo tanto, en el mundo actual también se necesita agilidad:la capacidad de cambiar, parchear, actualizar o refactorizar sistemas rápidamente cuando las cosas cambian".

La agilidad en la seguridad también se conecta a los principios de seguridad por diseño. "Es necesario crear seguridad desde el principio, y ese enfoque de seguridad debe incluir aspectos de resiliencia y agilidad", dijo Jamieson. "Si no diseñas para la seguridad, estás diseñando para fallar".