martes, diciembre 11

Dispositivos IoT, un creciente reto para la industria de la seguridad

0
Compartir nota

Manuel-Zamudio

Por Manuel Zamudio, gerente nacional de cuentas en Axis Communications

Todos hemos escuchado la idea sobre que el despliegue del IoT será clave para desarrollar ciudades inteligentes, aeropuertos, mejorar la salud, así como otros aspectos clave en la vida de las personas. Y es una realidad que dicho fenómeno crece en todas partes y seguirá teniendo un impacto positivo en nuestras vidas. Pero es importante destacar que el despliegue de recomendaciones de seguridad en los ecosistemas donde el IoT será fundamental para el correcto funcionamiento de estos dispositivos, es necesario para prevenir ciberataques en un futuro.

Un panorama complejo

Con un gran impacto en la seguridad y privacidad de los ciudadanos, el panorama de amenazas para dispositivos y sistemas IoT es engañoso. Por lo tanto, es importante comprender qué es exactamente lo que se debe proteger e implementar medidas de seguridad específicas para protegernos de las amenazas cibernéticas. Esto es particularmente importante en el contexto de los sistemas de TI, que son infraestructuras esenciales para la operación de infraestructuras críticas y los negocios.

De acuerdo con un reciente estudio, en la actualidad nos encontramos frente a un escenario en donde es importante examinar las diversas superficies de ataque y amenazas, proponer mejores prácticas y recomendaciones de seguridad para proteger dispositivos, datos y sistemas de IoT. Es importante destacar algunos puntos para entender mejor el panorama.

Incorporación de dispositivos a plataformas y aplicaciones IoT: Podemos considerar diferentes enfoques para la incorporación de dispositivos a plataformas y aplicaciones de IoT. La inscripción o el registro de dispositivos implica una serie de pasos automatizados impulsados por una interfaz de programación de aplicaciones (API, por sus siglas en inglés), que no requieren intervención humana. Por lo general, se requiere de un ancla de confianza en el dispositivo, ya sea aprovisionado por el fabricante o agregado como agente por distribuidores, proveedores de soluciones o clientes. El enfoque basado en el anclaje de confianza permite el registro seguro, el aprovisionamiento y la actualización de dispositivos a través de controles de seguridad activos basados en políticas que están diseñados para proteger aplicaciones y servicios de IoT. Las plataformas IoT deben admitir capacidades adecuadas de políticas y listas blancas para automatizarse sin intervención humana.

Establecer seguridad controlada por los propietarios: La postura de seguridad controlada por el propietario es muy importante frente al IoT. Los fabricantes están promoviendo ciertos anclajes de confianza; certificados aprovisionados en los dispositivos durante la fabricación misma para una seguridad desde el principio. Estos podrían funcionar bien en plataformas y aplicaciones cerradas, pero las plataformas abiertas necesitan una seguridad controlada por el propietario y específica de la aplicación. Además, el cumplimiento y las regulaciones exigen el cambio del modelo de seguridad del fabricante a la seguridad controlada por el propietario.

Autenticación IoT: En el contexto de la identidad del usuario, se aplican los modelos de autenticación basados en enfoques multifactoriales. Estos modelos simplemente no son adecuados para dispositivos habilitados para IoT. Este requiere que los dispositivos se autentiquen en otros dispositivos y en el plano de administración de seguridad de acuerdo con los requisitos de la aplicación. Estos métodos pueden utilizar una combinación de: credenciales específicas de la aplicación y anclajes de confianza (hardware o software), impulsada por APIs. Otro reto es asegurarse de que las credenciales o certificados en los dispositivos no sean alterados o copiados a otro dispositivo. Esto requiere un almacenamiento seguro en el dispositivo y una fuerte vinculación de credenciales como parte del proceso de autenticación.

Privacidad e integridad de los datos: Para proteger la información confidencial de los dispositivos, los datos deben cifrarse lo más cerca posible de la fuente. Los modelos típicos de seguridad de nivel de transporte (TLS) no proporcionan seguridad de extremo a extremo ni privacidad de los datos. Adoptar un enfoque criptográfico centrado en los datos le otorgaría seguridad de extremo a extremo y privacidad de los datos, permitiendo diseñar un sistema independiente de cualquier arquitectura de red. Otro escenario a considerar es la protección de datos confidenciales a nivel de campo ya que los protocolos máquina a máquina (M2M, por sus siglas en inglés) pueden entregar contenido a múltiples suscriptores.

Actualizaciones de firmware seguras: Una estrategia de seguridad de IoT debe incluir actualizaciones de software y firmware para dispositivos remotos, mientras se asegura que sólo se instale un software de confianza. La autenticación de dispositivos seguros, la privacidad de datos y la integridad en dichos equipos forman un requisito previo para que esto sea exitoso. El plano de administración de seguridad debe ser capaz de controlar el acceso a los dispositivos para las actualizaciones, verificar el origen y validar la integridad de estas.

Debemos recordar que el Internet de las cosas o IoT es un paradigma creciente con un impacto técnico, social y económico significativo. El IoT plantea desafíos de seguridad y protección muy importantes que deben abordarse para que pueda alcanzar todo su potencial. Muchas consideraciones de seguridad con respecto a este tema no son necesariamente nuevas; se heredan del uso de tecnologías de red. Sin embargo, las características de algunas implementaciones de IoT presentan nuevos desafíos, amenazas y riesgos de seguridad que son múltiples y evolucionan rápidamente. Abordar estos desafíos y garantizar la seguridad en los productos y servicios es una prioridad fundamental de cara hacia un futuro inmediato.

¿Ha usted planificado su estrategia de seguridad de IoT?

 

contactame@esemanal.mx

Compartir nota
Share.

Sobre el autor

Comments are closed.