Las empresas han comenzado a sufrir pérdidas monetarias significativas motivadas por la falta de prácticas recomendadas en el marco de adopción de Internet de las cosas (IoT) en sus modelos de negocios. De hecho, entre las compañías que afirmaron tener más problemas con la seguridad IoT, el 25% declaró al menos 34 millones de dólares en pérdidas en incidentes de seguridad relacionados con este tipo de tecnología en los últimos dos años, según un estudio difundido por DigiCert.
El 83% de los encuestados indicaron que el IoT es “considerablemente importante” para ellos en la actualidad, mientras que el 92% afirmó que el IoT será “extremadamente importante” para sus respectivas organizaciones en dos años.
La encuesta fue realizada por ReRez Research en septiembre de 2018, con la participación de 700 organizaciones empresariales de industrias de infraestructura crítica de Estados Unidos, Reino Unido, Alemania, Francia y Japón.
Principales preocupaciones
La seguridad y la privacidad ocuparon los primeros lugares en la lista de preocupaciones para los proyectos de IoT; el 82% de los encuestados afirmó estar “algo preocupado” o “muy preocupado” por los desafíos de seguridad.
Para brindar visibilidad a los desafíos específicos con los que se encuentran las empresas en las implementaciones del IoT, se solicitó que los encuestados respondieran una serie de preguntas con una amplia variación de terminología. Con una metodología de encuesta estándar, las respuestas de los encuestados se calificaron y se dividieron en tres niveles:
- Nivel alto: empresas que experimentan menos problemas y demuestran un cierto nivel de competencia para mitigar aspectos específicos de seguridad del IoT.
- Nivel medio: empresas que se encuentran en el rango medio en términos de sus resultados de seguridad del IoT.
- Nivel bajo: empresas que experimentan más problemas y tienen una probabilidad mucho mayor de admitir dificultades para controlar la seguridad del IoT.
Medidas incorrectas relacionadas con la seguridad del IoT
Se consultó a los encuestados sobre los incidentes de seguridad relacionados con el IoT que sus organizaciones experimentaron en los últimos dos años. La diferencia entre las empresas de nivel alto y de nivel bajo fue inevitable. Las compañías que tenían más problemas con la implementación de la IoT tenían también una probabilidad mucho más alta de verse afectadas por incidentes de seguridad relacionados con IoT. Cada una de las empresas de nivel bajo experimentó un incidente de seguridad relacionado con IoT en ese lapso, en comparación con apenas un 32 por ciento de las empresas de nivel alto. Las empresas de nivel bajo también evidenciaron una mayor probabilidad de tener problemas en estas áreas específicas.
- Una probabilidad más de seis veces mayor de haber experimentado ataques de denegación de servicio (DNS) basados en el IoT.
- Una probabilidad más de seis veces mayor de haber experimentado acceso no autorizado a dispositivos del IoT.
- Una probabilidad casi seis veces mayor de probabilidad de haber experimentado fugas de datos basadas en el IoT.
- Una probabilidad cuatro veces y media mayor de haber experimentado ataques de malware o ransomware basados en IoT.
Estos incidentes de seguridad no fueron menores. Entre las compañías encuestadas que más problemas tienen con la seguridad del IoT, el 25% declaró al menos 34 millones de dólares en pérdidas en incidentes de seguridad relacionados con IoT en los últimos dos años.
Las cinco principales áreas con mayores costos en los últimos dos años fueron daños monetarios, pérdida de productividad, multas legales por cumplimiento, pérdida de reputación, y baja en el precio de acciones.
Al mismo tiempo, y aunque las empresas de nivel alto tomaron algunas medidas incorrectas relacionadas con la seguridad, una abrumadora mayoría (casi el 80 por ciento) no debió incurrir en costos asociados con estas medidas incorrectas. Las empresas de nivel alto atribuyeron sus éxitos en materia de seguridad a las siguientes prácticas:
- Cifrado de datos sensibles.
- Garantía de integridad de datos en tránsito.
- Escalamiento de medidas de seguridad.
- Protección de actualizaciones inalámbricas.
- Protección de almacenamiento de claves de cifrado basado en software.
Cinco recomendaciones
La encuesta destaca cinco prácticas recomendadas para ayudar a que las compañías que buscan implementar el IoT logren el mismo éxito que las empresas de rendimiento más alto:
1. Evaluar el riesgo: realice pruebas de penetración para determinar el riesgo de los dispositivos conectados. Evalúe el riesgo y diseñe una lista de prioridades para enfrentar los principales problemas de seguridad, como autenticación y cifrado. Una evaluación de riesgo sólida lo ayudará a garantizar que no queden brechas en su panorama general de seguridad de conexión.
2. Cifrar todo: a medida que evalúa casos de uso para sus dispositivos conectados, asegúrese de que todos los datos estén cifrados, tanto los inactivos como los que están en tránsito. El cifrado de extremo a extremo debe ser un requisito del producto para garantizar que esta característica clave se implemente en todos sus proyectos de IoT.
3. Autenticar siempre: revise todas las conexiones que se realizan hacia su dispositivo, incluidos dispositivos y usuarios, para asegurarse de que los esquemas de autenticación permitan únicamente conexiones de confianza en su dispositivo de IoT. El uso de certificados digitales ayuda a ofrecer una autenticación transparente con identidades vinculadas, que están unidas con protocolos de cifrado.
4. Fomentar la integridad: dé cuenta de los aspectos básicos de la integridad de los datos y del dispositivo a fin de incluir un arranque seguro cada vez que se inicia el dispositivo, actualizaciones inalámbricas seguras y el uso de la firma de código para garantizar la integridad de todos los códigos que se ejecutan en el dispositivo.
5. Adoptar una estrategia de escala: asegúrese de tener una estructura y una arquitectura de seguridad escalables y listas para admitir implementaciones del IoT. Planifique de forma acorde y trabaje con terceros que tengan la escala y la experiencia para ayudarle a lograr sus metas, a fin de poder concentrarse en la competencia principal de su compañía.