Enigma de ciberseguridad: ¿Quién es responsable de proteger las redes de IoT?

 ciberseguridad de las redes de IoT

Es difícil de superar poder decirle a su sistema de sonido que seleccione y reproducir una canción en particular, o pedir algo en línea usando solo su voz, o hacer que su refrigerador le avise cuando se está acabando de alimentos, o haga que la impresora de su oficina se diagnostique y exija el servicio automáticamente del proveedor.

Características como esta están impulsando la demanda de oficinas inteligentes, hogares inteligentes, electrodomésticos inteligentes, edificios inteligentes y ciudades inteligentes, todo conectado a través de Internet de las cosas (IoT).

El IoT es la red de objetos físicos equipados con sensores, software y otras tecnologías para intercambiar datos con otros dispositivos y sistemas a través de Internet. Estos incluyen sistemas integrados, redes de sensores inalámbricos, sistemas de control, sistemas de automatización de viviendas y edificios y dispositivos domésticos inteligentes, así como teléfonos inteligentes y altavoces inteligentes.

Había 7.600 millones de dispositivos IoT activos en todo el mundo a fines de 2019 y habrá 24.100 millones en 2030, según la firma de investigación de transformación digital Transforma Insights .

Osos de peluche conectados – Espera, ¿qué?

Seguramente impulsadas por las necesidades del trabajo desde casa de 2020, las personas han conectado una multitud de dispositivos no comerciales a sus redes corporativas. Algunos son predecibles y otros pueden resultar sorprendentes. Por ejemplo, osos de peluche y otros juguetes, equipo deportivo como máquinas de ejercicio, dispositivos de juego y automóviles conectados, según la firma mundial de ciberseguridad Palo Alto Networks 'Informe de seguridad de la IoT de 2020

El número y la variedad crecientes de dispositivos conectados a redes de IoT está dificultando progresivamente la implementación de la ciberseguridad, porque cada dispositivo es un punto débil potencial.

Por ejemplo, es posible piratear una gran cantidad de automóviles conectados para cerrar ciudades provocando un atasco. [19659003] Los edificios inteligentes e incluso las ciudades pueden ser pirateados para comprometer los sistemas automatizados que controlan los sistemas HVAC, alarmas contra incendios y otra infraestructura crítica.

Intrusos digitales han accedido a los hogares a través de termostatos inteligentes para aterrorizar a las familias al encender la calefacción de forma remota; y luego hablar con los residentes a través de las cámaras conectadas a Internet.

Los efectos de la piratería probablemente serán más graves en la industria de la salud, donde la falla o el secuestro del equipo pondrá en peligro vidas.

"Dispositivos médicos conectados – desde Bombas de infusión habilitadas para WiFi a máquinas de resonancia magnética inteligentes: aumentan la superficie de ataque de los dispositivos que comparten información y crean problemas de seguridad, incluidos riesgos de privacidad y posibles violaciones de las normas de privacidad ", escribió Anastasios Arampatzis, autor del proveedor de seguridad Tripwire .

Manteniendo los pies de los directores ejecutivos en el fuego

Entonces, ¿quién será responsable de la ciberseguridad en una red de IoT? ¿Los proveedores de aparatos o equipos individuales? ¿Quién es propietario o dirige la red? ¿La empresa u organización que utiliza la red de IoT?

La firma global de investigación y asesoría Gartner predice que, para 2024, el 75 por ciento de los directores ejecutivos serán personalmente responsables de los ataques contra lo que Gartner denomina sistemas ciberfísicos (CPS).

Gartner define los CPS como "sistemas diseñados para orquestar la detección, la computación, el control, las redes y el análisis para interactuar con el mundo físico, incluidos los humanos".

Estos sistemas "sustentan todos los esfuerzos de TI conectada, tecnología operativa (OT) e Internet de las cosas (IoT) donde las consideraciones de seguridad abarcan tanto el mundo físico como el cibernético, como los entornos de atención médica clínica, infraestructura crítica y de uso intensivo de activos ".

OT consta de hardware y software que detecta o provoca un cambio en equipos industriales, activos, procesos y eventos a través del monitoreo y / o control directo.

En otras palabras, el 75 por ciento de los directores ejecutivos podría ser considerado responsable de Io T fallas de seguridad para 2024.

¿Por qué directores ejecutivos? Debido a que los reguladores y los gobiernos aumentarán drásticamente las reglas y regulaciones que gobiernan los CPS en respuesta a un aumento en los incidentes graves resultantes de la falla en asegurar los CPS, escribió el vicepresidente de investigación de Gartner, Katell Thielemann. "Pronto, los directores ejecutivos no podrán alegar ignorancia o retirarse detrás de las pólizas de seguro".

Hacer responsables a los directores ejecutivos "es una posibilidad definitiva y es coherente con la forma en que los directores ejecutivos son responsables de la precisión y legitimidad de sus declaraciones financieras bajo la Ley Sarbanes-Oxley de 2002 ", dijo a TechNewsWorld Perry Carpenter, evangelista jefe y oficial de estrategia de la empresa de capacitación en concientización sobre seguridad KnowBe4 .

La Ley Sarbanes-Oxley fue creada para combatir el fraude corporativo

La Asociación Nacional de Directores Corporativos (NACD) "se da cuenta de que la seguridad cibernética y, por extensión, la seguridad cibernética debe ser un tema que incluso se eleva al nivel de la Junta Directiva", dijo Carpenter. "Ha emitido una guía sobre cómo hacerlo".

Las empresas pueden comprar un seguro cibernético, pero las pólizas de seguro cibernético "son conocidas por no pagar si la empresa no cumple con un alto nivel de seguridad excelencia ", comentó Carpenter.

Además," los organismos reguladores no tendrán prisa por ofrecer salidas fáciles para los directores ejecutivos y las empresas que puedan ser manifiestamente negligentes ".

¿Es viable un enfoque basado en el riesgo?

Existe un movimiento entre las empresas hacia la adopción de un enfoque basado en el riesgo para la seguridad cibernética, según descubrió la consultora de gestión global McKinsey & Co., pero eso no proporcionará protección general a los directores ejecutivos.

Los enfoques basados ​​en el riesgo para la seguridad de la información permiten las organizaciones adoptan estrategias adaptadas a su entorno operativo único, panorama de amenazas y objetivos comerciales, de acuerdo con CDW, que brinda soluciones tecnológicas a clientes comerciales, gubernamentales, educativos y de atención médica en los EE. UU., el Reino Unido y Canadá.

Permiten a los adoptantes " comprender el impacto de los esfuerzos de mitigación de riesgos, proporcionando una visión integral del riesgo y llenando los vacíos que pueden dejar otros enfoques de seguridad. El uso de un enfoque basado en el riesgo encaja perfectamente dentro de las estrategias de gestión de riesgos empresariales (ERM) que están adoptando muchos organizaciones. "

" El riesgo siempre es parte de la ecuación ", dijo Carpenter. "El problema surge cuando las organizaciones o los directores ejecutivos tienen una tolerancia inaceptablemente alta al riesgo o simplemente eligen meter la cabeza en la arena".

Es ampliamente reconocido que no existe tal cosa como un sistema completamente seguro, por lo que no se mantendría ¿Los directores ejecutivos responsables del fracaso de un CPS son exagerados?

"El punto no será tener una protección del 100 por ciento", dijo Carpenter, "sino asegurarse de que haya el debido cuidado en cómo se diseñan los sistemas. Los directores ejecutivos pueden ' No solo levanten las manos y utilicen [the fact that 100 percent security doesn’t exist] como excusa, necesitan construir teniendo en cuenta la seguridad y la resistencia ".

Señalar con los dedos no es tan simple

A pesar de los posibles paralelismos con la Ley Sarbanes-Oxley, la cuestión de la culpa no será fácil de resolver.

"En última instancia, el director ejecutivo es responsable del funcionamiento de su organización, pero la realidad es más matizada que simplemente 'la pelota se detiene aquí' ", dijo a TechNewsWorld Saryu Nayyar, director ejecutivo de la empresa de ciberseguridad global Gurucul.

" Los ciberataques son complejos y a menudo involucran muchas piezas móviles ", dijo Nayyar. "Poner la responsabilidad sobre el director ejecutivo porque es el director ejecutivo puede no ser apropiado".

Dicho esto, cuando los directores ejecutivos deben ser personalmente responsables cuando no establecen un estándar alto para sus equipos de seguridad o no garantizan que se alcance el estándar, Nayyar

No está claro quién sería o debería ser considerado responsable, Salvatore Stolfo, fundador y director de tecnología de Allure Security una aplicación de seguridad como servicio que protege contra estafas de phishing, dijo a TechNewsWorld.

"¿Son los directores ejecutivos de las empresas que fabrican dispositivos de IoT inseguros o los directores ejecutivos de las empresas que los compran e implementan?" preguntó. "No existe una legislación actual que aclare quién teóricamente tendría la responsabilidad".

Una alternativa a responsabilizar personalmente a los directores ejecutivos sería adoptar la recomendación de la Cyberspace Solarium Commission (CSC) de mantener IoT los fabricantes de dispositivos son responsables de vender productos defectuosos o no proporcionar funciones de seguridad básicas, incluida la capacidad de actualizar el software del dispositivo cuando las vulnerabilidades de seguridad se conocen, como recomienda Stolfo.

Esta es una de las 80 recomendaciones hechas por el CSC, que se estableció en 2019 para desarrollar un consenso en la defensa de Estados Unidos en el ciberespacio.

Cómo hacer que las redes de IoT sean más seguras

Palo Alto Networks recomienda estos pasos para proteger las redes de IoT:

  • Emplee el descubrimiento de dispositivos para obtener un inventario detallado y actualizado de la cantidad y los tipos de dispositivos conectados a su red de IoT, sus perfiles de riesgo y sus comportamientos confiables;
  • Segmente su red para contener dispositivos de IoT en sus propias zonas de seguridad estrictamente controladas, manteniéndolos separados de los activos de TI;
  • Adoptar prácticas de contraseñas seguras, reemplazando la contraseña predeterminada de los dispositivos de IoT recién conectados por dispositivos seguros que se adhieran a las políticas de contraseñas empresariales;
  • Continuar con el parche y la actualización del firmware cuando esté disponible; y
  • Supervisar activamente los dispositivos de IoT en todo momento.

Asegurar las redes de IoT requiere una combinación de compra de productos que sean seguros por diseño y adoptar un enfoque holístico de la seguridad, Andrea Carcano, cofundadora de tecnología operativa (OT) y empresa de seguridad de IoT Nozomi Networks dijo a TechNewsWorld

"Los profesionales de TI ya no pueden preocuparse solo por la seguridad y la conectividad de sus redes de TI", dijo Carcano. "Deben pensar en la seguridad de sus sistemas físicos y cibernéticos".


Leave a Reply

Your email address will not be published. Required fields are marked *

CLip art of Flip Day 2 CLip art of Flip Day 1 CLip art of Flip Day 1