Seguridad de IoT:cómo impulsar la transformación digital mientras se minimiza el riesgo

En solo unos pocos años, Internet de las cosas (IoT) ha reformado radicalmente la forma en que vivimos y trabajamos. Desde los dispositivos en nuestras muñecas y en nuestros hogares hasta los edificios conectados y las fábricas inteligentes en las que pasamos nuestra vida laboral, nos hace más seguros, felices y productivos al tiempo que ofrece nuevas oportunidades de crecimiento para las organizaciones. La tecnología está a la vanguardia de una revolución de transformación digital que ya está impregnando la gran mayoría de las empresas, lo que ayuda a hacerlas más eficientes, ágiles y centradas en el cliente.

Sin embargo, la expansión digital también significa un mayor riesgo digital:las últimas cifras revelan un aumento interanual del 100% en los ataques de IoT. La clave para los equipos de TI, por lo tanto, es respaldar el crecimiento del negocio mientras se minimizan estos riesgos cibernéticos a través de las mejores prácticas de seguridad adaptadas para la nueva era conectada.

Digitalización

IoT ha recorrido un largo camino en un espacio de tiempo relativamente corto. Gartner predice que habrá 14,2 mil millones de cosas conectadas en uso en 2019, y el total llegará a 25 mil millones para 2021. Con este creciente volumen de dispositivos, se ha producido una explosión de datos. Cisco estima que la cantidad total de datos creados por todos los dispositivos alcanzará los 600Zettabytes por año en 2020, frente a solo 145Zettabytes anuales en 2015. Esta es una gran cantidad de datos:un solo Zettabyte equivale a mil millones de Terabytes.

¿Por qué el IoT ha comenzado a impregnar los entornos empresariales de forma tan completa en los últimos años? Una encuesta de Forbes Insights de 700 ejecutivos de 2018 ayuda a explicarlo. Encuentra que el 60% de las empresas están expandiendo o transformando nuevas líneas de negocios, un número similar (63%) está brindando servicios nuevos / actualizados a los clientes y más de un tercio (36%) está considerando nuevas empresas comerciales. Durante los próximos 12 meses, casi todos los encuestados (94%) predijeron que las ganancias crecerían entre un 5% y un 15% gracias a IoT.

Los sensores de IoT, los datos recopilados y enviados a la nube para su análisis, ofrecen nuevas oportunidades importantes para mejorar la experiencia del cliente, optimizar los procesos comerciales complejos y crear nuevos servicios gracias a los conocimientos revelados. Esto podría incluir empresas de servicios públicos que monitorean las señales de advertencia temprana de fugas de agua o cortes de energía, empresas de fabricación que mejoran la eficiencia operativa en la fábrica y fabricantes de hardware que brindan nuevos servicios posventa para los clientes basados ​​en el mantenimiento predictivo.

El riesgo está en todas partes

El desafío al que se enfrenta cualquier empresa que esté aumentando su uso de IoT y los sistemas de IoT industrial (IIoT) es que habrá expandido la superficie de ataque corporativa en el proceso. Un vistazo rápido a las áreas de superficie de ataque de IoT de OWASP El documento ilustra cuántos nuevos puntos posibles de debilidad se introducen. Estos van desde los dispositivos en sí, incluidos el firmware, la memoria y las interfaces físicas / web, hasta las API de backend, los sistemas de nube conectados, el tráfico de red, los mecanismos de actualización y la aplicación móvil.

Uno de los mayores riesgos de estos sistemas es que son producidos por fabricantes que no tienen un conocimiento adecuado de las mejores prácticas de seguridad de TI. Esto puede resultar en graves debilidades y vulnerabilidades sistémicas que los atacantes pueden aprovechar, desde fallas de software hasta productos que se envían con inicios de sesión predeterminados de fábrica. También podría significar que los productos son difíciles de actualizar y / o que no existe un programa para emitir parches de seguridad.

Tales fallas podrían explotarse en una variedad de escenarios de ataque. Podrían usarse para violar las redes corporativas como parte de una incursión de robo de datos o sabotear procesos operativos clave, ya sea para extorsionar a la organización víctima o simplemente para causar la máxima interrupción. En un escenario más común, los piratas informáticos pueden escanear Internet en busca de dispositivos públicos que aún estén protegidos solo por contraseñas predeterminadas de fábrica o fáciles de adivinar / descifrar, y reclutarlas en redes de bots. Este es el modelo utilizado por los infames atacantes de Mirai y posteriormente adaptado en muchos otros ataques de imitación. Estas botnets se pueden utilizar para una variedad de tareas, incluida la denegación de servicio distribuida (DDoS), el fraude publicitario y la propagación de troyanos bancarios.

En la oscuridad

La dificultad para los equipos de seguridad de TI a menudo es ganar visibilidad sobre todos los puntos finales de IoT en la organización, y algunos dispositivos de IoT que se detectan a menudo pueden estar funcionando sin el conocimiento del departamento de TI. Este factor de TI en la sombra es en muchos sentidos el sucesor del desafío BYOD empresarial, excepto que en lugar de teléfonos móviles, los usuarios están incorporando dispositivos portátiles inteligentes y otros dispositivos que luego se conectan a la red corporativa, lo que aumenta el riesgo cibernético. Solo considere un televisor inteligente secuestrado por atacantes para espiar las reuniones de la junta, por ejemplo, o un hervidor inteligente en la cafetería del personal que se usa como cabeza de playa para lanzar una incursión de robo de datos contra la red corporativa.

Aún peor para los jefes de seguridad de TI es que tienen que gestionar este creciente riesgo cibernético con menos profesionales cualificados a los que recurrir. De hecho, la demanda de roles de IoT se disparó un 49% en el cuarto trimestre de 2018 con respecto a los tres meses anteriores, según un grupo de reclutamiento.

Los reguladores se ponen al día

El impacto de cualquier ciberamenaza importante relacionada con IoT podría ser grave. La pérdida de datos, las interrupciones de los sistemas de TI, la interrupción operativa y similares pueden provocar daños financieros y de reputación. El costo de investigar y remediar una brecha de seguridad por sí solo puede ser prohibitivo. Una interrupción grave podría requerir una gran inversión de fondos en horas extraordinarias del personal de TI. Las multas reglamentarias son otro coste cada vez más importante a tener en cuenta. No solo hay que considerar el GDPR para cualquier problema que afecte a los datos personales de los clientes o empleados, la Directiva NIS de la UE también exige la seguridad de las mejores prácticas para las empresas que operan en industrias críticas específicas. Ambos conllevan las mismas multas máximas.

Esta supervisión regulatoria está invadiendo ambos lados del Atlántico. Una nueva pieza de legislación propuesta en los EE. UU. Requerirá que el Instituto Nacional de Estándares y Tecnología (NIST) elabore pautas de seguridad mínimas para los fabricantes de IoT y exija que las agencias federales solo compren a proveedores que cumplan con estos estándares básicos.

Visibilidad y control

Si se aprueba, esta legislación de los EE. UU. Podría basarse en un estándar europeo ETSI TS 103 645, que a su vez se basó en un código de prácticas propuesto por el gobierno del Reino Unido para la industria. Sin duda, es un gran comienzo y, con suerte, impulsará a la industria a ser más consciente de la seguridad, al tiempo que capacita a los consumidores y las empresas para buscar los productos más seguros en el mercado. Pero en realidad, tomará un tiempo para que tales pasos se filtren en el mercado, e incluso entonces, es posible que las organizaciones ya estén ejecutando miles de terminales de IoT heredados inseguros.

Los equipos de seguridad de TI deben actuar ahora, obteniendo una mejor comprensión de su entorno de IoT. Las herramientas de gestión de activos de TI deberían poder ayudar aquí proporcionando el primer paso más importante:la visibilidad. Luego, asegúrese de que el firmware del dispositivo esté actualizado a través de herramientas de administración de parches automatizadas y que este proceso sea monitoreado para asegurarse de que esté funcionando correctamente; algunas actualizaciones de seguridad están enterradas en el sitio web de un proveedor y requieren la intervención humana para garantizar que se hayan habilitado . Además, los equipos de TI deben verificar que los nombres de usuario / contraseñas se cambien inmediatamente a credenciales sólidas y únicas. Aún mejor, reemplácelos con autenticación multifactor. Otras mejores prácticas podrían incluir el cifrado de datos en tránsito, la supervisión continua de la red, la gestión de identidades, la segmentación de la red y más. Finalmente, no olvide el aspecto de las personas de la ciberseguridad:se debe enseñar a los empleados a comprender los riesgos de seguridad asociados con IoT y cómo usar los sistemas y dispositivos de manera segura.

Esta es la forma de obtener el mayor valor de cualquier iniciativa de IoT, sin exponer a la empresa a riesgos adicionales innecesarios. Solo se necesita una brecha de seguridad grave para socavar el crecimiento impulsado por la innovación, tan vital para el éxito del negocio digital moderno.