Clicky

¿Cómo podemos construir una Internet de las Cosas segura?

IoT segura

Documento: Building a Trusted and Managed IoT World

Tenemos pruebas casi diarias de que Internet de las Cosas (Internet of Things - IoT), tal como es ahora, es un campo minado de temas de seguridad que están esperando ser explotados.

La desafortunada realidad es que los proveedores de IoT y los fabricantes que se concentran en la funcionalidad en lugar de seguridad y privacidad son los que harán más dinero y, por lo tanto, más probabilidades de continuar haciendo negocios.

Otra lamentable realidad es que las organizaciones gubernamentales y de otro tipo que deben impulsar mejores estrategias, políticas, normas y estándares de seguridad cibernética están muy rezagadas.

Panorama general

IoT desarrollo

¿Qué se necesita para construir un ecosistema de IoT de confianza?

Por un lado, los países tendrán que desarrollar estrategias nacionales de IoT e incluir en ellas principios rectores para la seguridad y la privacidad de IoT. Entonces, todas las industrias que implementan dispositivos IoT - y hay muchas - tendrán que dar prioridad a la seguridad IoT, y las organizaciones de la industria tendrán que involucrarse en la construcción y mantenimiento de políticas, leyes y regulaciones de seguridad IoT robustas.

Las organizaciones y alianzas de estándares tendrán que trabajar en proponer y diseñar estándares de tecnología de seguridad para enfrentar los desafíos de seguridad de IoT a un ritmo más rápido. Algunos de ellos - el Instituto Nacional de Estándares y Tecnología (NIST) y el Grupo de Trabajo de Ingeniería de Internet (IETF), por ejemplo - ya han comenzado a prescindir de los frameworks de seguridad y las directrices de ciberseguridad para el IoT y trabajan en hacer seguros los protocolos aplicables, pero las normas técnicas detalladas que pueden guiar la implementación en las industrias son todavía escasas.

Por último, todos ellos, junto con académicos y desarrolladores (tanto de soluciones cerradas como de código abierto) deben cooperar y compartir conocimientos. Como señalaron expertos de Huawei y el Instituto Nacional de Seguridad Cibernética en un documento publicado recientemente, "ninguna empresa u organización puede resolver los problemas de seguridad del IoT".

iot security layers

Debemos construir un mundo de IoT seguro de múltiples capas y de extremo a extremo

Los riesgos y amenazas de seguridad de IoT son muchos, y la privacidad es el mayor desafío legal vinculado al despliegue de IoT. Las protecciones de seguridad y privacidad deben ser incorporadas desde el principio, e implican mejores decisiones y soluciones para cada paso del proceso de desarrollo e implementación.

"La seguridad IoT se manifiesta en chips, dispositivos, y sus sistemas operativos, redes, plataformas de administración, aplicaciones y operación empresarial", señalaron los expertos. "Además de la protección de seguridad en cada capa, se desarrolla un completo sistema de defensa de extremo a extremo basado en la interdependencia del dispositivo, la tubería y la nube".

Los chips seguros pueden proporcionar encriptación y aislamiento a nivel de hardware, arranque seguro y soporte de firmas de software y firmware. El sistema operativo debe proporcionar protección de memoria y mecanismos aislados de programación, separación de privilegios y aislamiento de procesos, autenticación de identidad de confianza, actualización de firmware seguro, control de acceso a servicios de Internet, cifrado y descifrado y administración de claves.

IoT seguridad chip

La seguridad del punto final IoT requiere una nueva arquitectura de seguridad que ofrezca seguridad física (desde el entorno), seguridad de acceso (para proteger los puntos finales de ser utilizados como escalones para atacar a los nodos de red críticos), seguridad del entorno (firmas de software, acceso a listas blancas, etc.), seguridad de los datos de servicio y la gestión unificada (durante todo el ciclo de vida del dispositivo).

La seguridad de la capa de red involucra viejos mecanismos de seguridad y nuevos requisitos de seguridad para las tecnologías de comunicación IoT y los muchos protocolos propietarios y redes de control industrial. Además, antivirus y defensa APT.

El principal factor en lo que respecta a la seguridad de la plataforma y la aplicación es que la gestión es de datos personales y su almacenamiento seguro. Y, por último, para completarlo todo, son necesarias las plataformas de análisis de seguridad de Big Data para proporcionar un conocimiento de la situación, monitoreo, visualización y defensa de seguridad de toda la red.

Hay muchas prácticas de seguridad que pueden ayudar con cada paso del desarrollo, despliegue, operación y procesos de mantenimiento, y el documento técnico "Building a Trusted and Managed IoT World" (archivo PDF) contiene una lista útil. También incluye una descripción general de los casos de seguridad típicos de IoT (casa inteligente, red inteligente, ascensores).

Jesus_Caceres