Las empresas de todas las industrias tienen que lidiar con las amenazas de seguridad cibernética que vienen con el uso cada vez mayor de dispositivos conectados. Para proteger los datos de la organización, es fundamental establecer marcos de ciberseguridad sólidos para Internet de las cosas ( IoT ).
En un esfuerzo por estandarizar los procesos y aliviar la carga de la seguridad de la información del entorno de datos, el Instituto Nacional de Estándares y Tecnología ( NIST ) emitió una convocatoria de artículos el 18 de abril de 2018.
Índice de Negocio
Gestión de riesgos de Internet de las cosas (IoT)
¿Qué es Internet de las cosas?
La definición amplia de Internet de las cosas cubre cualquier dispositivo que pueda conectarse a Internet u otro dispositivo a través de la tecnología Bluetooth. Por ejemplo, su teléfono inteligente, computadora portátil, auriculares Bluetooth, reloj inteligente y otros productos de consumo de tecnología moderna se incluyen en IoT.
Sin embargo, IoT no se limita solo a productos de consumo. Los dispositivos utilizados en industrias como la salud, la banca, el petróleo y el gas, la ingeniería y otras, que pueden conectarse a Internet, también se incluyen en el ecosistema más amplio de IoT.
IoT impulsa la eficiencia en el mundo actual. Por ejemplo, puede controlar la seguridad de su hogar con cámaras CCTV y acceder a los datos que recopilan a través de su teléfono. Las empresas también pueden mejorar la eficiencia en sus procesos mediante el uso de herramientas de productividad.
Riesgos de seguridad del uso de dispositivos de IoT
Es fácil controlar las computadoras. Por ejemplo, puede establecer contraseñas para restringir el acceso a ellas.
Sin embargo, con el Internet de las cosas, controlar los dispositivos es un poco difícil. Esto se debe a que el ecosistema de IoT ayuda por completo a automatizar las actividades para que interactuemos menos con los dispositivos y obtengamos más información.
Por ejemplo, los médicos pueden usar marcapasos equipados con capacidades de IoT para monitorear corazones. Los médicos no necesitarán estar físicamente con el paciente para obtener los datos del corazón.
Sin embargo, surge un riesgo de seguridad cuando estos datos se transmiten desde el marcapasos habilitado para IoT a otros dispositivos, por ejemplo, una computadora portátil. Dado que estos dos dispositivos (marcapasos y computadora portátil) no están en la misma red, los datos que se transmiten entre ellos pueden ser interceptados por terceros, lo que puede resultar desastroso.
Los mayores riesgos de Internet de las cosas
Los dispositivos habilitados para IoT plantean una serie de problemas de seguridad relacionados con la interceptación de los datos que se comparten entre los dispositivos. Estas brechas de seguridad deberían ayudar a informar su estrategia de gestión de riesgos.
Autenticación
Las conexiones Bluetooth no proporcionan un alto nivel de autenticación como lo hacen las conexiones de red. Cuando conecta su computadora portátil a una red Wi-Fi, puede configurar protocolos de autenticación como un nombre de usuario y una contraseña. Incluso puede configurar la autenticación multifactor para mayor seguridad.
Cuando los dispositivos se conectan entre sí a través de Bluetooth, obtienen una «dirección» única que es similar a una dirección IP. Sin embargo, los usuarios no pueden poner un nombre de usuario o contraseña en esta dirección con fines de autenticación.
Confidencialidad
Dado que la información que se transfiere de un dispositivo a otro en el ecosistema de IoT no está protegida mediante un método de autenticación, puede ser interceptada por terceros. Este escenario puede desarrollarse como lo que sucede con las «redes Wi-Fi públicas», donde los usuarios pueden acceder a los dispositivos de otros usuarios.
Autorización
Con las redes tradicionales, puede controlar los usuarios que pueden acceder a su dispositivo, así como los datos a los que pueden acceder. Por otro lado, la seguridad de las conexiones Bluetooth no es sólida para proteger los dispositivos conectados entre sí de usuarios y programas no autorizados.
Dado que Bluetooth no se puede proteger con un nombre de usuario y contraseña, no puede controlar lo que un usuario puede o no puede acceder en el dispositivo.
Integridad
Dado que no hay forma de establecer autorizaciones, no puede estar seguro de las personas o programas que acceden a los datos que se comparten a través de la conexión Bluetooth. Esto significa que cualquiera puede interceptar los datos que se transfieren a través de la conexión Bluetooth, así como los de los dispositivos que están conectados entre sí.
Emparejamiento
Para emparejar un dispositivo Bluetooth IoT con una computadora, tableta o teléfono inteligente, debe haber una conexión para compartir información entre ellos. Cuando deja el dispositivo principal abierto a una conexión Bluetooth para formar su conexión IoT, otros dispositivos en la zona pueden ver la conexión Bluetooth y conectarse al dispositivo principal.
Objetivo del proyecto «Criptografía ligera» de NIST
Por el momento, no existen estándares de IoT y, dado lo diversos que son los dispositivos de IoT, no se pueden subestimar sus riesgos potenciales. Por ejemplo, si se piratea una jeringa de IoT que se utiliza para disipar analgésicos, los resultados pueden ser catastróficos. ¡Imagínese a un actor malintencionado pirateando la jeringa para robar datos o incluso sobredosis a un paciente!
NIST propone la creación de estándares de IoT que aumentarán la protección de datos en todos los dispositivos. A través del proyecto Lightweight Cryptography, NIST propone un conjunto mínimo de requisitos de autenticación que protegerán los dispositivos de IoT contra ataques de fuerza bruta . El proyecto también busca que las soluciones de IoT funcionen rápidamente, consuman poca energía y mantengan un bajo nivel de energía. Aprovechar tanto el marco NIST como HITRUST (CSF) puede ayudar a su organización a mantenerse a la vanguardia de los ataques de día cero que pueden dañar la salud y / o seguridad de sus clientes al aprovechar los dispositivos de IoT para las operaciones comerciales diarias.