El Departamento de Seguridad Nacional de los Estados Unidos publicó esta semana un documento titulado Principios Estratégicos para Asegurar la Internet de las Cosas (IoT), con el objetivo de informar a usuarios, operadores y fabricantes para que tomen decisiones conscientes al trabajar con dispositivos conectados.
“Nuestra dependencia de tecnologías conectadas creció más rápido que las formas de asegurarla”
“A medida que integramos cada vez más
conexiones de red en la infraestructura crítica de nuestra nación,
procesos importantes que antes se ejecutaban manualmente (y gozaban de inmunidad contra la actividad cibernética malintencionada) son ahora
vulnerables a ciberamenazas. Nuestra creciente dependencia de
tecnologías conectadas en red a nivel nacional ha crecido más rápido que
las formas de asegurarla”, sentenció el informe.
Su publicación llega en un contexto ideal, en el que la seguridad de la IoT está en discusión a lo largo de la comunidad de expertos, empresas y autoridades, sobre todo después de dos casos emblemáticos: el primero y más reciente lo constituyen los ataques DDoS del 21 de octubre
pasado, que dejaron brevemente sin acceso a Internet a los Estados
Unidos e interrumpieron ciertas actividades online cotidianas.
“La seguridad de la IoT es ahora un asunto de seguridad nacional”
El segundo es el ciberataque del año pasado
que deshabilitó temporalmente el suministro eléctrico en partes de
Ucrania. Es ante hechos como estos, entonces, que se debe actuar para
delinar planes y proteger a la IoT en relación al contexto.
“Porque nuestra nación depende de redes que
funcionen en forma apropiada para realizar actividades que contribuyen
al mantenimiento de la vida, la seguridad de la IoT es ahora un asunto
de seguridad nacional”, afirmaron los autores del documento.
¿Cuáles son estos principios estratégicos?
El Departamento de Seguridad Nacional determinó que los problemas de seguridad en la IoT se deben a varios motivos:
- No siempre queda claro quién es responsable de las decisiones de seguridad: una compañía diseña un dispositivo, otra provee el software, otra opera la red en la que se lo integra y otra pone a disposición el equipo.
- No hay normas y estándares aceptados a nivel internacional.
- No hay incentivos a los desarrolladores para que aseguren adecuadamente los productos, dado que no necesariamente enfrentan los costos ni las consecuencias de fallar en este sentido.
Entonces, para pensar en forma abarcadora en cómo proteger la Internet de las Cosas, se proponen los siguientes principios:
1. Incorporar la seguridad en la fase de diseño
Las medidas propuestas en este aspecto tienen que ver con el establecimiento de contraseñas por defecto únicas, robustas y difíciles de adivinar,
de manera que no estén disponibles en la Web. También se propone usar
siempre el sistema operativo más reciente, dentro de lo que sea técnica y
económicamente viable, para evitar vulnerabilidades conocidas; y
diseñar pensando en posibles fallas e interrupciones, para que los dispositivos fallen “en forma segura”, sin causar una mayor disrupción sistémica.
2. Actualizaciones de seguridad y gestión de vulnerabilidades de avanzada
Este eje hace hincapié en automatizar
tanto la corrección de fallas como la liberación de parches y
actualizaciones. A la vez, se propone coordinar la publicación de
vulnerabilidades entre desarrolladores, fabricantes, proveedores de
servicio y los equipos CSIRT y CERT, por ejemplo.
Otro aspecto importante tiene que ver con el ciclo de vida
de las actualizaciones: “No se podrá parchear y actualizar a todos los
dispositivos IoT en forma indefinida”, por lo que es importante alertar a
fabricantes y usuarios sobre los riesgos de usar un dispositivo después
de su fecha de usabilidad.
3. Construir sobre prácticas de seguridad probadas
Un punto de partida es considerar las buenas prácticas ya publicadas por algunas industrias, por ejemplo la automotriz. Luego, se propone implementar la defensa en capas
y compartir información relacionada a incidentes y vulnerabilidades
para que todos los miembros de la cadena sepan cómo afrontarlos.
4. Priorizar las medidas de seguridad según el impacto potencial
Lo principal es identificar el entorno de uso
deseado de cada dispositivo, para determinar qué características
técnicas debe tener, cómo debe funcionar y qué medidas no deben
faltarle. Luego, se propone auditar los equipos para ver qué podría
mejorarse y, una vez en uso, se deberían aplicar reglas de autenticación para su conexión a la red.
5. Promover la transparencia a lo largo de la IoT
Las evaluaciones de riesgo
deberían abarcar a todos los componentes e incluir a desarrolladores y
fabricantes; a la vez, todos deberían poder conocer los materiales y
procesos utilizados por los demás actores. Los programas de recompensas por encontrar vulnerabilidades también contribuyen a la generación de confianza y transparencia en la gestión de fallas.
6. Conectar con cuidado y deliberadamente
En este punto es necesario preguntarse:
¿necesita cada dispositivo en red estar conectado en forma continua y
automática a Internet? Según el documento, ciertas funciones críticas,
sobre todo en el sector industrial, podrían no necesitar de una conexión
directa y esto podría reducir los vectores de ataque. Por lo tanto, se
propone la implementación de “conexiones intencionales” y selectivas.
“Este documento es un primer paso para fortalecer los esfuerzos en proceso, articulando principios generales de seguridad. Pero seguramente se requerirán próximos pasos“, concluyó el informe.
________________________________________________________
Tomado de: http://www.welivesecurity.com/la-es/2016/11/17/principios-estrategicos-proteger-a-la-iot/
Se Respetam Derechos de Autor.
________________________________________________________
Tomado de: http://www.welivesecurity.com/la-es/2016/11/17/principios-estrategicos-proteger-a-la-iot/
Se Respetam Derechos de Autor.