[24/10/2019] En el 2008, Bernie Madoff admitió haber ideado un esquema Ponzi de 80 mil millones de dólares -un esquema que debería haber generado escepticismo en muchos inversores. Muchas víctimas, incluidos varios jubilados, pasaron por alto las señales de advertencia y quedaron arruinadas financieramente. La mayor parte del dinero nunca fue recuperado.
Si bien no es un esquema Ponzi, los dispositivos de la Internet de las cosas (IoT, por sus siglas en inglés) merecen una buena dosis de escepticismo en lo que respecta a la seguridad de la información y la privacidad de los datos. La instalación de una pequeña pieza de tecnología dentro de su organización puede no parecer una decisión de gestión de riesgos, pero un dispositivo IoT mal configurado puede abrirles las puertas a los delincuentes.
A medida que los dispositivos conectados ("inteligentes”) se abren paso en los procesos comerciales y los sistemas industriales, el crecimiento explosivo de la IoT trae consigo un aumento sin precedentes en los vectores de ataque empresarial. El impacto será un desafío para los equipos de seguridad corporativos -especialmente en términos de cumplimiento de la ley de privacidad y gestión de las vulnerabilidades.
Comprender el riesgo de la IoT
La tecnología siempre ha impulsado el cambio en la forma en que operan las empresas, pero la palabra "disruptivo” a menudo se ha usado en exceso para describir su impacto. Sin embargo, con aproximadamente siete mil millones de dispositivos IoT ya en uso (sin incluir teléfonos o tabletas), y proyecciones de 21 mil millones de dispositivos en uso para el 2025, IoT Analytics pronostica que la era de la IoT puede llegar a ser realmente disruptiva.
No necesitamos esperar hasta el 2025 para imaginar los riesgos derivados de la integración de dispositivos IoT en las operaciones comerciales. Recientemente, un estudio del Instituto Ponemon sobre el riesgo de la IoT, encontró que las filtraciones de datos causadas por dispositivos IoT no seguros aumentaron del 15% al 26% desde el 2017. Algo que complica aún más la seguridad del dispositivo IoT es el hecho que la mayoría de las organizaciones no tiene una función centralizada que los gestione, ni una estrategia clara sobre cómo asegurarlos y mantenerlos. La mayoría de los equipos de seguridad no cuentan con el personal adecuado para manejar la proliferación de dispositivos IoT, e incluso pueden no estar conscientes de su existencia.
La ventaja competitiva y la eficiencia operativa exigirán cada vez más la adopción de la IoT empresarial. Inevitablemente, diversos productos y tecnologías de IoT se unirán en procesos de IoT industriales más grandes. ¿Qué sucede cuando se descubre que un solo componente conectado dentro de estos procesos está transmitiendo datos a terceros desconocidos? Piense en impresoras multifunción (MFP, por sus siglas en inglés) o cámaras de seguridad digitales. Las implicaciones son ilimitadas.
El desafío para los equipos de seguridad
Las organizaciones de seguridad ya tienen dificultades para garantizar que sus sistemas de producción estén parchados; agregar la carga de parchar los dispositivos conectados podría ser algo exagerado. Las "cosas” inteligentes en un ambiente empresarial significarán un aumento dramático en la cantidad de dispositivos que necesitan ser monitoreados y parchados -suponiendo que haya parches disponibles.
Más allá de los problemas de gestión de vulnerabilidades, las implicaciones legales de las filtraciones de privacidad presentarán otro desafío importante. De hecho, la IoT puede impulsar una nueva ola de legislación de ciberseguridad en todo el mundo.
Una señal de esta respuesta legislativa es una nueva ley de California conocida como SB 327, Information Privacy: Connected Devices, que requiere específicamente que los dispositivos IoT sean diseñados con funciones de seguridad que "protejan al dispositivo y a cualquier información contenida en él del acceso no autorizado, destrucción, uso, modificación o divulgación”. La SB 327 se une a otra nueva (más popular) legislación de California: la AB 375, el California Consumer Privacy Act (CCPA), que les permite a los consumidores exigir los datos que una empresa ha recopilado de ellos, así como los nombres de cualquier otro grupo a los que los datos pueden haberse vendido.
En la era de la IoT, las empresas pueden recopilar datos de consumidores y/o empleados a través de dispositivos conectados sin siquiera darse cuenta. ¿Qué sucede cuando los empleados descubren dicha recopilación de datos antes de que sus empleadores lo sepan? Navegar por los desafíos de las nuevas leyes de privacidad y la gestión de vulnerabilidades podría terminar siendo un esfuerzo hercúleo para los equipos de seguridad.
4 pasos para reducir el riesgo de la IoT
En el futuro, las organizaciones deberán considerar cuidadosamente cómo la IoT en el lugar de trabajo puede cruzarse con las leyes de privacidad y protección de datos. Comience tomando estos cuatro pasos para reducir el riesgo:
- Incluya lenguaje específico de IoT en los acuerdos de privacidad de datos
- Aísle los dispositivos IoT en segmentos lógicos separados de la red
- Monitoree los flujos de datos y observe patrones de tráficos inesperados o anómalos
- Asegúrese de que las decisiones de compra de IoT estén impulsadas por consideraciones de seguridad, como la capacidad de cambiar las contraseñas predeterminadas, recibir y aplicar parches, y deshabilitar servicios innecesarios en cualquier dispositivo IoT.
En los próximos días, es posible que el nivel requerido de colaboración estratégica entre los equipos legales y de seguridad supere incluso la intensa participación requerida para abordar el cumplimiento del GDPR. Hasta ese momento, y dada la tasa de expansión del mercado de la IoT, quizás el liderazgo empresarial podría comenzar con la pregunta más simple: ¿estamos siendo lo suficientemente escépticos con nuestra estrategia actual de IoT para proteger adecuadamente a nuestra empresa?
Earl Duby, CSO (EE.UU.)
Earl Duby es vicepresidente y CISO en Lear Corporation, fabricante de sistemas de asientos automotrices y sistemas eléctricos. Los consejos y opiniones expresados en este artículo son del autor y no representan los puntos de vista de Lear Corporation.