Llegamos a ustedes gracias a:



Reportajes y análisis

5 formas para prepararse para las amenazas de seguridad en la IoC

La emoción por los beneficios de la IoT pronto podría dar paso a la preocupación por el incierto panorama sobre su seguridad

IoC, IoT, Internet of Things

[22/01/2015] Tanto para negocios como para consumidores, la Internet de las Cosas (IoT, por sus siglas en inglés) está ayudando a crear dispositivos más inteligentes y más eficientes. Para la empresa TI y los profesionales de la seguridad, también está creando un dolor de cabeza.

Muchos negocios están entusiasmados por desplegar dispositivos inteligentes, y que la IoT capitalice los muchos beneficios. Ese entusiasmo, sin embargo, puede estar nublando su juicio cuando se trata de riesgos de seguridad. Una reciente encuesta tanto de ejecutivos como de profesionales TI publicado por la compañía de ciberseguridad Tripwire encontró que el 63% de ejecutivos nivel C (chiefs) afirmaron que posiblemente adoptarían la IoT para incrementar la productividad y la eficiencia, mientras que solo el 27% reportaron estar "bastante preocupados sobre los riesgos de la seguridad.

Por otro lado, solo un 30% de los profesionales de TI sostuvieron que su compañía estaba equipada para determinar si los productos IoT son seguros en su ambiente, y el 59% de aquellos que trabajan en negocios medianos y grandes dijeron que creían que la Internet de las Cosas potencialmente podría convertirse en "el riesgo más significativo en su red.

Si quieren estar listos para la IoT, los profesionales de TI y la seguridad tendrán que entender los riesgos, y qué pueden hacer para mitigarlos. A continuación cinco lugares donde comenzar.

No subestime el impacto en la seguridad de la Internet de las Cosas

La Internet de las Cosas ya ha sido víctima de ciberataques en el mundo real. En enero pasado, el proveedor de seguridad Proofpoint reveló lo que llamó "el primer ataque probado en artefactos inteligentes para el hogar. Al descubrir una botnet que involucraba a más de 100 mil dispositivos que ayudaban a distribuir más de 750 mil correos electrónicos que contenían enlaces hacia software malicioso, Proofpoint encontró que más del 25% de los dispositivos involucrados en la botnet no fueron clasificados como computadoras o dispositivos inteligentes móviles, incluyendo televisores y refrigeradoras inteligentes.

Un ejemplo más empresarial surgió tras el gran ataque a Target de finales del 2013. Cuando se reveló que los atacantes usaron credenciales de red robadas de un contratista de calefacción y aire acondicionado que trabajaba con Target, el investigador de seguridad Brian Krebs citó fuentes que señalaban la creciente adopción de sistemas controladores de temperatura inteligentes en tiendas de retail para mejorar la experiencia del cliente y manejar mejor el costo de la energía.

"Para soportar esta solución, los proveedores necesitan ser capaces de tener el control remoto en el sistema, para de esta forma hacer mantenimiento (actualizaciones, parches, etcétera) o solucionar irregularidades y temas de conectividad con el software, indicó la fuente, de acuerdo a Krebs. "Esto se encuentra dentro del tema del ahorro de costos, con presencia de muchas soluciones en una organización dada. Y para ahorrar en personal, a veces es mejor permitir que el soporte lo dé el proveedor en lugar de tener que entrenar y contratar más personal.

El contratista en cuestión, que confirmó ser parte de la investigación, más tarde negó haber conducido un monitoreo remoto. Sin embargo, las especulaciones de Kreb dieron luz a una situación muy probable, exponiendo los riesgos inherentes de abrir la red de la compañía a la IoT. Un tercer proveedor al que se le designa la administración de dispositivos que se conectan a su red, podría ser el eslabón débil necesario para que los cibercriminales obtengan acceso a sus datos confidenciales. Considerando lo entusiasmados que están tantos negocios en implementar tecnologías inteligentes similares, esta fue una situación hipotética que TI debería tomarse en serio.

TI y Operaciones deben comunicarse cuando compren y desplieguen dispositivos inteligentes

Tradicionalmente, eran pocas las veces en las que el negocio debía tomar en cuenta la ciberseguridad cuando compraba equipo para la oficina. Pero ahora que muchos dispositivos, tradicionalmente tontos, se están comenzando a conectar a Internet, puede ayudar mantener informado a TI con que nueva tecnología podría estar lidiando.

En una entrevista con Network World el año pasado, el vicepresidente de investigación de Gartner, Hugh LeHong, advirtió sobre la afluencia de tecnología operativa inteligente, que va desde los equipos médicos de alta tecnología hasta las máquinas dispensadoras en las salas de descanso, algo de lo que TI no tenía que preocuparse previamente. En la nueva realidad de la Internet de las Cosas, TI deberá estar involucrado inclusive cuando la compañía esté considerando comprar una maquina dispensadora  

"Los CIO deben entender esto. Aunque no vayan a ser los dueños de las máquinas dispensadoras, necesitan preocuparse de cosas como esas, indica LeHong. "A eso nos referimos con convergencia. TO y TIya no pueden sentarse en mundos separados. Necesitan discutir cosas como el gobierno corporativo, la seguridad, las licencias para el software y el mantenimiento.

Haga seguimiento de las actualizaciones de software de los dispositivos inteligentes

Como escribió Kirk Steinklauber, global lead network architect de IBM en el blog de IBM sobre inteligencia de la seguridad, "si hoy ya tenemos problemas para mantener actualizadas nuestras computadoras, teléfonos inteligentes y tabletas con la última versión del código, ¿no sería una pesadilla tratar de mantener a estos millones de dispositivos actualizados y libres de bugs de seguridad?

Esto aplica no solo para los dispositivos a la mano, sino también para las aplicaciones usadas para controlarlos, que pueden ser desplegadas en los dispositivos usados en toda la compañía.

Esto refuerza la importancia de la cooperación entre TI y Operaciones al desplegar la IoT y los dispositivos inteligentes. TI debería establecer procesos y protocolos estrictos para dar cuenta del software que acompañará a cualquier nuevo dispositivo inteligente. Como muchos aprendieron luego de que los empleados empezaron a usar sus propios smartphones para acceder a los datos corporativos, tratar de hacerse responsable de un conjunto diverso de dispositivos y de sus bugs de software es mucho más difícil una vez que ya están siendo usados.

Eduque a los usuarios acerca del riesgo

Algunas organizaciones podrían estar expuestas a la Internet de las Cosas contra su voluntad.

Respondiendo a una encuesta de Tripwire, aproximadamente el 75% de los trabajadores remotos y el personal de TI afirmó que acceden a documentos corporativos desde sus redes de Internet caseras, lo que es un problema considerando que Tripwire afirma que entre el 25% y el 50% de esos mismos grupos reportaron tener al menos un dispositivo casero inteligente conectado esa misma red.

No es difícil imaginar lo que podría pasar desde ahí. El reporte de Tripwire citó el significativamente vulnerable puerto USB como ejemplo. Se usa para cargar los aparatos electrónicos personales, y podría ser el medio de entrada para una cadena de malware que puede dar el salto de la casa del empleado a la red corporativa.

Además de mejorar el nivel de protección interna contra malware, hay poco que la empresa pueda hacer para mitigar el riesgo, aparte de alertar a los empleados de la amenaza que ellos mismos pueden representar debido a sus prácticas de trabajo remotas. De no mediar otros problemas, TI deberá reforzar la importancia del uso de las muchas herramientas que separan los dispositivos y datos personales de los datos corporativos.

Educar a TI sobre los matices de la IoT

La IoT está todavía en sus etapas iniciales. Docenas de grandes compañías tecnológicas aún siguen tratando de descubrir qué estándares tienen el mayor sentido, y no hay grandes plataformas que hayan surgido, como iOS y Android lo hicieron en el espacio móvil. Esta combinación de fuerzas competitivas ha generado un ecosistema que incluso los profesionales TI reconocidos tienen que aprender a manejar. Cisco admitió esto en Octubre cuando anunció un nuevo consorcio que incluye a instituciones educativas y firmas de selección de personal que apunta a ayudar a los profesionales de TI a desarrollar habilidades para manejar los nuevos retos de seguridad en la Internet de las Cosas.

Por supuesto, han sido solo dos meses desde que Cisco siquiera anunciara su nueva iniciativa educativa, así que la IoT se mantiene como un área inestable de TI en términos de habilidades.

Para las compañías que aún no se encuentran lo suficientemente equipadas para afrontar los temas de seguridad de la IoT, el mejor enfoque podría ser esperar hasta que sea más fácil de manejar.

Colin Neagle, Network World (EE.UU.)