Hace dos años, la Fundación de seguridad “Internet of Things” anunció un nuevo marco para el cumplimiento de la seguridad. Aquí hay una descripción general de IoT y un resumen completo de cómo el nuevo marco de cumplimiento de seguridad afectará las operaciones de los equipos de InfoSec.
¿Qué es “Internet de las cosas (IoT)”?
Internet de las cosas es un término que existe desde hace relativamente mucho tiempo y se utiliza para referirse a la interconectividad de todas las cosas con las capacidades de Internet, como teléfonos inteligentes, sistemas domésticos inteligentes, tabletas, etc. Sin embargo, la verdadera definición de IoT ha evolucionado y, en la actualidad, el término se utiliza para referirse a un escenario en el que las personas, los objetos o los animales reciben claves de identificación únicas y la capacidad de transferir y recibir datos a través de cualquier red dada sin necesidad. para la interacción de persona a computadora o de persona a persona.
Por otro lado, Forbes describe el Internet de las cosas como la técnica de interconectar dispositivos que cuentan con un mecanismo de encendido / apagado a la web o entre sí. Estos dispositivos que se alimentan a través de la interconectividad se utilizan en la escuela, el lugar de trabajo y el hogar para diversos fines. La interconectividad está en el centro de IoT, y eso es lo que genera los enormes riesgos y desafíos de seguridad.
La velocidad de conexión es demasiada
Los diversos riesgos de seguridad de IoT se propagan por la mayor velocidad de implementación y la falta de conocimiento preciso del consumidor. Aunque la mayoría de las personas son conscientes de su existencia, solo unas pocas personas pueden explicar lo que implica y cómo se puede lograr la seguridad a través del complejo paradigma de IoT. El subcomité de Comunicación y Tecnología y el de Comercio, Fabricación y Comercio celebraron una audiencia conjunta el 16 de noviembre de 2016 para discutir los diversos riesgos asociados con IoT.
Lo primero que se discutió durante la audiencia fue el ataque de denegación de servicio de octubre de 2016 que se diseñó armando dispositivos conectados a una red no segura, como cámaras. Una vez que todos los dispositivos estuvieron bajo el control total de los piratas informáticos de sombrero negro, se utilizaron para inundar las solicitudes de DoS a la red, lo que hizo que toda la red fuera ineficaz. Varias estadísticas indicaron la existencia de al menos 3.000 millones de dispositivos inteligentes y no inteligentes conectados como posibles puntos de entrada. Con el creciente número de vehículos conectados y dispositivos médicos que se fabrican todos los días, proteger el número cada vez mayor de posibles puntos de entrada solo se volverá más desafiante.
La Fundación de seguridad de IoT
Con el número creciente de empresas que ofrecen servicios basados en la nube conectados a través de redes inalámbricas, la seguridad sigue siendo un tema pertinente que debe abordarse. IoT Security Foundation es simplemente una respuesta internacional colaborativa y sin fines de lucro a los desafíos sofisticados causados por la seguridad en el mundo moderno hiperconectado. El IoTSF sirve como un organismo de seguridad autónomo y regulador cuyo mandato principal es mejorar la seguridad de la información y los datos para el Internet de las cosas y al mismo tiempo permitir y defender la innovación. Los estándares establecidos por el IoTSF podrían compararse con los establecidos por el ISO. La importancia de Internet of Things Security Foundation radica en su capacidad única de hacer que los expertos y profesionales en seguridad que trabajan en diferentes áreas de la seguridad de la información se conviertan en innovadores y creen dispositivos de formas únicas pero simples que los mantengan seguros.
El marco de Internet de las cosas
Además del marco de IoTSF, CISCO también se ha presentado y ha propuesto otro marco de IoT. Ambos marcos adoptan un enfoque diferente para administrar y proteger la información. El marco de IoTSF ofrece una lista de verificación completa destinada a ayudar a las organizaciones que comenzaron, mientras que el marco de CISCO se centra principalmente en proporcionar definiciones e información útil para ayudar a los expertos de InfoSec a comprender los diversos problemas de seguridad que rodean a IoT. La combinación de los dos marcos puede ayudar a crear una base firme para un programa eficaz.
La lista de verificación del marco de IoTSF crea un enfoque basado en riesgos que es más similar a los programas de cumplimiento típicos. La evaluación de riesgos implica una inspección exhaustiva de todos los negocios y productos actualmente en funcionamiento para establecer su nivel de preparación ante riesgos. Este marco cubre 12 áreas críticas que deben revisarse:
Aplicación del dispositivo Hardware y seguridad física del dispositivo Proceso y responsabilidad de la seguridad empresarial Sistemas operativos del dispositivo Interfaz de usuario web Autenticación y autorización Privacidad Interfaces cableadas e inalámbricas del dispositivo Configuración Elementos de red en la nube Cifrado y gestión de claves para hardware Cadena de suministro y producción seguras
El marco proporciona preguntas integrales para cada una de estas áreas y también ofrece un lugar para vincular su evidencia. Las organizaciones que desean mantenerse a la vanguardia de la curva de cumplimiento ya han comenzado el proceso de revisión de la seguridad de IoT y han tomado las medidas adecuadas para salvaguardar la integridad de su información.
Con el número cada vez mayor de dispositivos IoT conectados, es necesario que todos los fabricantes, empresas e incluso clientes trabajen en equipo para mantener seguros sus dispositivos, información, software y hardware.
Bio del autor
Ken Lynch es un veterano de la puesta en marcha de software empresarial, a quien siempre le ha fascinado lo que impulsa a los trabajadores a trabajar y cómo hacer que el trabajo sea más atractivo. Ken fundó Reciprocity para perseguir precisamente eso. Ha impulsado el éxito de Reciprocity con este objetivo basado en la misión de involucrar a los empleados con los objetivos de gobierno, riesgo y cumplimiento de su empresa para crear ciudadanos corporativos con más mentalidad social. Ken obtuvo su licenciatura en Ciencias de la Computación e Ingeniería Eléctrica del MIT.
