Wilbur asegura que hace unos años se dieron cuenta que el mercado de IoT estaba creciendo, “que la magnitud de dispositivos iba a ser muy grande, dispositivos enviando y recibiendo datos, y generando datos que también debían ser seguros y privados, por lo que creamos una lista a través de un grupo de trabajo que finalmente involucró a más de cien organizaciones diferentes.
Ese (grupo) creó una lista de principios dirigida a fabricantes, que hace referencia a las propiedades de seguridad, privacidad y ciclo de vida de los productos de IoT, y lo que deberían considerar al construir un producto desde el principio”.
Esta lista se actualiza según sea necesario y se traslada al usuario. De acuerdo con Wilbur, es una guía sobre qué tipo de productos comprar y qué características de seguridad y privacidad que deberían tener. La realidad es que no todos los productos se ajustan a esa lista. Y cuando los productos de consumo se introducen en la empresa… el personal del área TI puede o no saber que está allí, y estos productos pueden recopilar datos o ser una especie de puerta de entrada vulnerable al resto de la red si no están apropiadamente aislados o tratados.
De acuerdo con Wilbur, si la empresa decide mantenerlos fuera hay que administrarlos dentro porque si entra por la puerta trasera es cuando puede ser peligroso, pero también puede, si se maneja adecuadamente, estar bien.
Muchos de estos dispositivos tienen contraseñas predeterminadas o codificadas, si son alcanzables, podrían ser el punto de entrada de un atacante, pueden o no ser actualizables por software, por lo que existen recomendaciones para establecer algunas políticas y reglas para los empleados sobre lo que pueden traer y las características que debería tener.
El peligro –y esto es lo mismo que BYOD– es que si eres demasiado restrictivo, terminas creando un entorno en la sombra, “en lugar de hacerlo con los ojos bien abiertos para que sepas en qué te estás metiendo”, asegura Wilbur.
Y añade “Recomendamos configurar una red separada para esos dispositivos. La mayoría de las empresas configuran una red de invitados para Wi-Fi, así que ¿por qué no tener una red específica para IoT o por qué no tenerlas también en su red de invitados? Depende de la compañía y de cómo quieren organizar las cosas”.
Jon Gold, CIO EE.UU. / IDG.es
