Los dispositivos conectados, lo que comúnmente conocemos como Internet de las Cosas (IoT), merecen una buena dosis de escepticismo en lo que respecta a la seguridad de la información y la privacidad de los datos.
La instalación de una simple pieza tecnológica en una empresa puede parecer que no es decisión del departamento de seguridad, pero ese dispositivo mal gestionado puede ser la puerta de entrada de muchos ciberdelincuentes.
La explosión de dispositivos conectados ha sido tan grande y tan rápida que ha traído consigo un aumento sin precedentes de vectores de ataque empresarial. El impacto será todo un desafío para los equipos de seguridad corporativos, especialmente en términos de cumplimiento de leyes de privacidad y gestión de vulnerabilidades.
Comprender el riesgo
La tecnología siempre ha impulsado el cambio en la forma en que operan las empresas. Sin embargo, con aproximadamente 7,000 millones de dispositivos ya en uso (sin incluir teléfonos o tabletas), y las proyecciones de hasta 21,000 millones para 2025, esta era es totalmente disruptiva. Pero no necesitamos llegar hasta dicha fecha para imaginar los riesgos derivados de la integración de dispositivos IoT en las operaciones comerciales. Recientemente, un estudio del instituto Ponemon descubrió que las infracciones de datos causadas por dispositivos IoT no seguros aumentaron el 15% al 26% desde 2017. Además, el escenario se complica si tenemos en cuenta que la mayoría de las organizaciones no tienen una función centralizada que los administre, ni una estrategia clara sobre cómo asegurarlos y mantenerlos. La mayoría de los equipos no cuentan con el personal adecuado para manejar tal proliferación de dispositivos, e incluso pueden no saber de la presencia de muchos.
La ventaja competitiva y la eficiencia operativa exigirán cada vez más la adopción de IoT empresarial. Inevitablemente, diversos productos conectados se unirán a procesos industriales mucho más grandes. ¿Qué sucede cuando se descubre que un solo componente conectado dentro de estos procesos está transmitiendo datos a terceros desconocidos? Las implicaciones son ilimitadas.
El desafío para los equipos de seguridad
Los Ciso ya tienen dificultades para garantizar que sus sistemas de producción estén parcheados. Sumar la carga de parchear dispositivos conectados podría ser una dificultad insalvable. Los objetos inteligentes en un entorno empresarial significarán un aumento dramático en la cantidad de dispositivos que necesitan ser monitorizados y parcheados, suponiendo que haya parches disponibles.
Más allá de los problemas de gestión de vulnerabilidades, las implicaciones legales de las violaciones de privacidad representarán otro reto importante. De hecho, IoT puede impulsar una nueva ola de legislación sobre ciberseguridad en todo el mundo.
Una señal de esta respuesta legislativa es la nueva le y de California que requiere, específicamente, que los dispositivos IoT estén diseñados con características “que protejan el dispositivo y cualquier información en el mismo contra el acceso no autorizado, destrucción, uso, modificación o divulgación”.
En la era de IoT, las empresas pueden recopilar datos de consumidores y empleados a través de dispositivos conectados sin ni siquiera darse cuenta. ¿Qué sucede cuando los empleados descubren dicha recopilación antes de que sus jefes lo sepan? Navegar por los desafíos de las nuevas leyes de privacidad y la gestión de vulnerabilidades podría terminar siendo un esfuerzo hercúleo para los equipos de seguridad.
Cuatro pasos para reducir el riesgo
En el futuro, las organizaciones deberán considerar cómo Internet de las Cosas en el trabajo puede cruzarse con las leyes. Por ello, es importante tomar en cuenta estos cuatro pasos:
- Incluir lenguaje específico de IoT en acuerdos de privacidad de datos
- Aislar los dispositivos en segmentos lógicos separados de la red
- Monitorizar los flujos y observar patrones de tráfico inesperados o anómalos
- Asegurar que las decisiones de compre de productos conectados están basadas en consideraciones de seguridad, como la capacidad de cambiar las contraseñas predeterminadas, recibir y aplicar parches y deshabilitar los servicios innecesarios en cualquier objeto conectado.
Earl Duby, CSO
