Llegamos a ustedes gracias a:



Reportajes y análisis

IoT: Una guía corporativa para abordar los problemas de seguridad

[13/06/2018] La Internet de las Cosas (IoT, por sus siglas en inglés) promete beneficios para las empresas que tienen una gran cantidad de datos, ayudándolas a atender mejor a sus clientes. Sin embargo, también hay mucho de qué preocuparse.

Debido a que se conectarán muchos dispositivos, productos, activos, vehículos, edificios, etc., existe la posibilidad de que los hackers y otros delincuentes cibernéticos intenten explotar las debilidades.

"En ecosistemas de IoT, donde miles de tipos de dispositivos, aplicaciones y personas están vinculados a través de una variedad de mecanismos de conectividad, el vector o superficie de ataque es potencialmente ilimitado, señala Laura DiDio, analista principal de la firma de investigación y consultoría ITIC.

"Cualquier punto de la red -desde el borde/perímetro de la red hasta los servidores corporativos, las principales aplicaciones de la línea de negocios, los dispositivos de usuario final y los mecanismos de transmisión [son] vulnerables al ataque. Cualquiera y todos estos puntos pueden ser explotados.

Como resultado, la seguridad del IoT es una gran preocupación para muchas empresas. La firma de investigación 451 Research realizó recientemente una encuesta en línea a más de 600 responsables de TI en todo el mundo y descubrió que el 55% calificaba la seguridad del IoT como su máxima prioridad cuando se les solicitaba clasificar qué tecnologías o procesos consideraban sus organizaciones para las iniciativas de IoT existentes o planificadas. La naturaleza misma de la IoT hace que sea particularmente difícil proteger contra los ataques, señala el informe.

¿Qué pueden hacer las empresas para fortalecer la seguridad de sus entornos de IoT? Estas son algunas de las mejores prácticas sugeridas por expertos de la industria.

Identificar, rastrear y administrar dispositivos de punto final

Sin saber qué dispositivos están conectados y sin llevar a cabo un seguimiento de su actividad, es difícil, si no imposible, garantizar la seguridad de estos puntos finales o endpoints.

"Este es un área crítica, anota Ruggero Contu, director de investigación de Gartner Inc. "Una de las principales preocupaciones de las empresas es obtener una visibilidad completa de los dispositivos inteligentes conectados. Este es un requisito que tiene que ver con los aspectos operativos y de seguridad.

Para algunas organizaciones, "este descubrimiento e identificación se trata de la administración de activos y no tanto de la seguridad, añade Robert Westervelt, director de investigación de la Práctica de Seguridad de Datos en International Data Corp. (IDC). "Esta es el área en la que los proveedores de orquestación y control de acceso a la red están posicionando sus productos, con el componente adicional de conectividad segura y monitoreo para detectar posibles amenazas.

Las empresas deberían hacer un inventario exhaustivo de todo lo que se encuentra en la red de IoT y buscar dispositivos olvidados que pueden contener puertas traseras o puertos abiertos, anota DiDio.

Revisar y solucionar las fallas de seguridad a medida que son descubiertas

Aplicar parches es uno de los conceptos fundamentales de una buena higiene de la seguridad de TI, señala John Pironti, presidente de la firma consultora IP Architects y experto en IoT.

"Si existe un parche relacionado con la seguridad para un dispositivo de IoT, ese es el reconocimiento de los proveedores de una debilidad en sus dispositivos y el parche es la corrección", anota Pironti. "Una vez que el parche está disponible, la responsabilidad del problema se transfiere del proveedor a la organización que usa el dispositivo".

Podría tener sentido utilizar la gestión de la vulnerabilidad y la configuración, y esto sería proporcionado en algunos casos por los productos del escáner de vulnerabilidades, indica Westervelt. Luego haga aplique el parche y la corrección. "La administración de la configuración puede ser un problema mayor para algunas empresas abriendo debilidades más que parchando, agrega.

Es importante recordar que la administración de parches de IoT a menudo es difícil, señala Contu. "Esta es la razón por la cual es importante hacer un descubrimiento completo de activos para identificar dónde es que las organizaciones son potencialmente vulnerables, indica. "Como resultado, es necesario buscar medidas y modelos alternativos para aplicar la seguridad, dado que parchar no siempre es posible. Monitorear el tráfico de la red es una forma de compensar la incapacidad de aplicar parches, comenta Contu.

Priorizar la seguridad de la infraestructura más valiosa de IoT

No todos los datos en el mundo de IoT son iguales. "Es importante adoptar un enfoque basado en el riesgo para la seguridad de IoT, para garantizar que los activos de alto valor se aborden primero y así tratar de protegerlos en función de su valor e importancia para la organización [que] los está utilizando, afirma Pironti.

En el caso de los dispositivos de IoT, una organización podría tener que lidiar con muchos más dispositivos que cuando lo hacía con los equipos informáticos tradicionales, señala Pironti. "No es realista creer que todos estos dispositivos se pueden reparar en cortos períodos de tiempo, añade.

Realizar una prueba de penetración al hardware y software de IoT antes de implementarlos

Si contrata a un proveedor de servicios o una empresa de consultoría para manejar esto, sea específico sobre qué tipo de pruebas de penetración se necesitan.

"Los realizadores de pen-tests con los que hablo para realizar pruebas de penetración de red se encargan de asegurar la integridad de las segmentaciones de red, indica Westervelt. "Algunos entornos requerirán una evaluación de su infraestructura inalámbrica. Creo que las pruebas de penetración de aplicaciones tienen ahora una prioridad ligeramente inferior dentro de IoT, con excepciones para ciertos casos de uso.

Las pruebas de penetración deberían ser parte de un programa de evaluación de riesgos más amplio, señala Contu. "Esperamos una demanda creciente de certificación de seguridad [relacionada con] estas actividades, indica.

Si ocurre un ataque real relacionado con IoT, esté listo para actuar de inmediato. "Construya un plan de respuesta de seguridad y formule una guía y una gobernanza alrededor de este, anota DiDio. "Arme una cadena de responsabilidad y comando en caso de una penetración exitosa.

Saber cómo IoT interactúa con los datos para identificar anomalías y proteger la información personal

Podría querer centrarse en la recolección y agregación segura de datos de sensores, señala Westervelt. Esto podría requerir capacidades de ciberseguridad y antitracción física, dependiendo de dónde se desplegará el dispositivo y el perfil de riesgo del dispositivo.

"Podría requerir cifrado de hardware y/o software -dependiendo de la sensibilidad de los datos recopilados- y PKI [infraestructura de clave pública] para validar dispositivos, sensores y otros componentes, señala Westervelt.

"Otros dispositivos de IoT, como los sistemas de punto de venta, pueden requerir listas blancas, restricciones del sistema operativo y posiblemente antimalware, dependiendo de la funcionalidad del dispositivo.

No usar la configuración de seguridad predeterminada

En algunos casos, las organizaciones elegirán la configuración de seguridad de acuerdo con su postura de seguridad.

"Si se implementa un dispositivo de seguridad de red en una coyuntura crítica, algunas organizaciones podrían optar por implementarlo solo en modo pasivo, señala Westervelt. "Recuerde que con los procesos industriales -donde estamos viendo la implementación de sensores y dispositivos IoT- es posible que no se toleren los falsos positivos. El bloqueo de algo importante podría causar una explosión o incluso provocar el cierre de maquinaria industrial, lo que puede ser extremadamente costoso.

Cambiar la configuración de seguridad también puede aplicarse a los dispositivos reales conectados a través de IoT. Por ejemplo, ha habido un ataque distribuido de denegación de servicio debido a la afectación de millones de cámaras de video configuradas con ajustes predeterminadas.

Proporcionar acceso remoto seguro

Las debilidades de acceso remoto han sido durante mucho tiempo el objetivo favorito de los atacantes, y dentro de IoT muchas organizaciones están buscando formas de proporcionar a los contratistas acceso remoto a ciertos dispositivos, señala Westervelt.

"Las organizaciones deben asegurarse de que cualquier solución que proporciona acceso remoto sea configurada correctamente cuando se implemente, y que existan otros mecanismos para monitorearlo, otorgarlo y revocarlo, anota Westervelt "En algunos escenarios de alto riesgo, si se está considerando el software de acceso remoto, este debe ser verificado minuciosamente para detectar vulnerabilidades.

Segmentar redes para permitir una comunicación segura entre dispositivos

La segmentación de los dispositivos de IoT dentro de las redes permite a las organizaciones limitar su impacto, si es que se las encuentra actuando de manera maliciosa, señala Pironti.

"Una vez que se identifica un comportamiento malicioso desde un dispositivo de IoT, puede ser aislado de la comunicación con otros dispositivos en la red hasta que puedan ser investigados y la situación pueda ser remediada, anota.

Al segmentar dispositivos de IoT, es importante implementar un elemento o capa de inspección entre el segmento de red de IoT y otros segmentos de red para crear un punto de inspección común, anota Pironti. En este punto, se pueden tomar decisiones sobre qué tipo de tráfico puede pasar entre las redes, así como una inspección significativa y enfocada del tráfico.

Esto permite a las organizaciones dirigir las actividades de inspección a tipos de tráfico y comportamientos específicos que son típicos de los dispositivos de IoT, en lugar de tratar de dar cuenta de todos los tipos de tráfico, anota Pironti.

Recodar personas y políticas

IoT no se trata solo de asegurar dispositivos y redes. También es crucial considerar el elemento humano para asegurar el ecosistema de IoT, señala DiDio.

"La seguridad es un 50% dispositivos y mecanismos de protección, seguimiento y autenticación, y un 50% la responsabilidad de los humanos que administran y supervisan el ecosistema de IoT, anota. "Es imperativo que todos los interesados, desde los ejecutivos de nivel C hasta los departamentos de TI, los administradores de seguridad y los usuarios finales, participen plenamente en la defensa y protección del ecosistema de IoT contra los ataques.

Asimismo, revise y actualice la política y los procedimientos de seguridad de las computadoras corporativas existentes. "Si la política de la empresa tiene más de un año, está desactualizada y necesita una revisión para tener en cuenta las implementaciones de IoT, asegúrese de que la política y los procedimientos de seguridad de la computadora corporativa especifiquen y articulen claramente las sanciones por infracciones de primera, segunda y tercera categoría, indica DiDio. "Estos pueden incluir todo, desde advertencias por una ofensa por primera vez, hasta la terminación por ofensas recurrentes.