IoT (Internet de las Cosas) y el actual reto que representa en la industria de seguridad

Si le preguntas a cuatro personas distintas que es IoT (Internet de las cosas) probablemente obtengas 4 respuestas diferentes, una de las mejores definiciones que he leído es la ofrecida por SAP ME: “Un mundo donde los objetos físicos están integrados a la perfección a la red de información, y donde estos objetos puedan ser participantes activos de los procesos de los negocios. Los servicios están disponibles en el Internet para interactuar con estos ‘objetos inteligentes’ y pueden consultar y cambiar su estado y cualquier información asociada con ellos, tomando en cuenta asuntos de seguridad y privacidad.”

Cuando se habla de IoT hay tres elementos a considerar: IT (Tecnología de la información), OT (Tecnología de Operación) en el mundo industrial, y CT (Tecnología del consumidor) tales como hogar inteligente, autos inteligentes entre otros. Y encima de todo eso tenemos a los Proveedores de Servicios (SP) que administran estos servicios. Cisco estima que para el año 2020 habrá 50 mil millones de dispositivos conectados y eso representan una grandísima cantidad de dispositivos IP haciendo una cantidad de cosas distintas y esto  representa nuevos retos siendo el primero Escalabilidad especialmente cuando hablamos desde una perspectiva de seguridad esto representa una gran cantidad de dispositivos a administrar.  El otro reto es que el IoT está alterando los modelos actuales de negocios, y existen muchas ventajas cuando se utiliza el IoT en una empresa pero lo que realmente importa es como aprovechar estos beneficios de una manera segura.

Sin embargo, a pesar de las ventajas del IoT hay muchos riesgos de los que se debe estar consciente. Cualquier dispositivo que puede conectarse al internet tiene un sistema operativo integrado en su firmware. Los sistemas operativos a menudo no son diseñados con seguridad como la principal preocupación, y debido a estos existen muchas vulnerabilidades en virtualmente todos estos dispositivos. Un buen ejemplo de esto es el sistema operativo Android ya que hay mucho malware dirigido específicamente a dispositivos android hoy en día, y amenazas similares se darán a conocer  entre dispositivos del IoT a su debido tiempo.

Empresas y usuarios deben estar preparados para el reto en seguridad que representa el IoT y estos son algunos de los riesgos más importantes que involucran al internet de las cosas, y algunas sugerencias para ayudar a prepararse para el reto que está por venir:

• Alteración y ataques de denegación de servicio Muchas compañías hoy en día usan una política llamada BYOD (Trae tu propio dispositivo) esta política aunque es buena para la empresa porque cada quien puede utilizar su propio dispositivo para uso corporativo también representa muchos retos inherentes al IoT por lo que la empresa debería tener la capacidad de administrar  dispositivos perdidos o robados (ya sea para desactivar su conexión o para borrarlos remotamente) este es un punto crítico al momento de lidiar con dispositivos de IoT infectados. Tener una estrategia de seguridad bien definida ayudará a mitigar los riesgos de que datos corporativos terminen en las manos equivocadas.  
• Entender la complejidad de las vulnerabilidades En el año 2014 un atacante anónimo utilizó una vulnerabilidad conocida en un Monitor de Bebé conectado a la web para espiar aun niño de dos años. Este incidente demuestra el alto riesgo que el internet de las cosas representa para empresas y consumidores por igual. Para poder mitigar este riesgo cualquier proyecto que involucre el uso del internet de las cosas debe ser diseñado con una sólida estructura de seguridad.
• Manejo de las vulnerabilidades del IoT Uno de los grandes retos que tienen las empresas es saber como hacer los patch de vulnerabilidades de los dispositivos IoT y también como priorizar la implementación de los Patch. Otro reto para las empresas es lidiar con las credenciales  por defecto que proveen con los dispositivos del IoT, y encima de esto, los dispositivos pueden tener incluido un servidor web el cual puede ser administrado remotamente, acceder y realizar cambios. Esto es una gran vulnerabilidad que puede poner dispositivos del IoT en manos de atacantes.
• Identificando e implementando controles de seguridad las organizaciones que adoptan dispositivos IoT deben definir su propios controles de seguridad de la información para asegurar protección adecuada, redundancia es un punto crítico ya que si un dispositivo falla otro debería tomar su lugar. Las empresas necesitarán utilizar un modelo de seguridad por capas basado en redundancia para mitigar riesgos.
• Satisfacer la necesidad de análisis de seguridad La proliferación de dispositivos conectados a internet está incrementando exponencialmente la cantidad de datos que las empresas necesitan recolectar, agregar, procesar y analizar. Estos datos proveen nuevas oportunidades de negocios para las compañías pero también trae consigo nuevos riesgos de seguridad. Estas compañías necesitarán ser capaces de identificar tráfico tanto legítimo como malicioso proveniente de dispositivos IoT. Se recomienda utilizar las mejores herramientas de análisis disponibles para no solo detectar actividad maliciosa sino también mejorar el servicio a los usuarios. Para prepararse para estos retos, las empresas deben diseñar las herramientas y procesos requeridos para proveer análisis de seguridad adecuado.
• Hardware modular y componentes de Software Seguridad debe ser considerada e implementada en cada aspecto del Internet de las Cosas para así poder mejorar y tener mejor control de las partes y módulos de dispositivos IoT. Debido al incremento en el número de dispositivos IoT puede que sea necesario implementar un paradigma de seguridad como el Forrester Zero Trust Model (Modelo de Confianza Cero de Forrester). El uso de VLANs es una buena práctica para aislar dispositivos IoT y prevenir violaciones de seguridad.
• Rápida demanda en requerimientos de ancho de banda la alza en demanda por Internet potencialmente incrementa el riesgo de continuidad de empresas. Si una aplicación crítica no recibe el ancho de banda requerido, los clientes comenzaran a tener malas experiencias, la productividad de empleados disminuirá y las ganancias de una empresa pueden caer. Para asegurar la disponibilidad y continuidad de sus servicios, las empresas deben añadir ancho de banda e impulsar el uso de herramientas de gestión de tráfico y monitoreo. También para poder mitigar riesgos las compañías deben planificar y observar la tasa de crecimiento de la red para así poder diseñar un plan para aumentar la capacidad lo suficiente para suplir la demanda a medida que va creciendo.

Para culminar hablaremos de Complejidad la cual es una de las más grandes barreras para una seguridad efectiva, y el hecho de asegurar dispositivos IoT incrementara exponencialmente la complejidad en cualquier organización. Por lo tanto se debe mejorar la seguridad haciéndola más eficiente, rápida y económica que antes. Ahora es el momento de mantener los dispositivos IoT bajo control en tu red y redes asociadas con tu empresa, se puede comenzar con una política que delinee que se está haciendo en la red y que no.  Cualquier acción positiva en pro de mejorar y asegurar el internet de las cosas proveerá una recompensa a largo plazo en términos empresariales.