La seguridad de IoT empresarial es un problema de la cadena de suministro



Las organizaciones que deseen aprovechar los beneficios potenciales de los sistemas de IoT en entornos empresariales deben comenzar a evaluar el riesgo de terceros durante el proceso de adquisición.

Seamos realistas: la mayoría de las empresas no están construyendo sus propios sistemas de World-wide-web de las cosas (IoT). Muy pocas organizaciones tienen la escala para desarrollar e implementar sus propios dispositivos de IoT en sus entornos: el components tiende a ser especializado, la mayoría del software package no se parece al substance que su horda corporativa de desarrolladores de Java usa para escribir código, y allí simplemente no es suficiente valor para que proyectos riesgosos como ese tengan sentido. Por lo tanto, las empresas tienden a comprar dispositivos de IoT de consumo y calzarlos en sus arquitecturas de seguridad corporativa, y puede ser un desafío lograr que se ajusten correctamente. Esto no significa que las empresas estén indefensas frente a los riesgos de seguridad de IoT, pero sí convierte la seguridad de IoT empresarial en un problema de la cadena de suministro.

Riesgos y consecuencias de no abordar estos problemas
Los dispositivos y sistemas de IoT representan una superficie de ataque empresarial adicional, lo mismo que permitir a los usuarios «traer su propio dispositivo» para dispositivos móviles. Estos dispositivos exponen a la organización a los mismos tipos de riesgo que otros dispositivos implementados en la purple corporativa. Las fallas de seguridad en los dispositivos de IoT pueden llevar a la toma de command del dispositivo y la exposición de datos confidenciales, y brindan a los atacantes un punto de apoyo en la pink corporativa que se puede utilizar para lanzar ataques adicionales.

Además, estos sistemas de IoT tienden a traficar una gran cantidad de datos sensibles, incluida información confidencial y patentada, e información que tiene implicaciones de privacidad. Estos datos saldrán del firewall corporativo y serán procesados ​​por los servicios alojados por el proveedor del sistema de IoT y colocarán la carga en la empresa para comprender cómo estos sistemas de IoT afectan su postura de riesgo.

Mejores prácticas para evaluar y gestionar el riesgo de terceros de IoT
El riesgo de terceros debe abordarse de manera estructurada como parte de un programa common de gestión de riesgos del proveedor. Los nuevos sistemas de IoT que se implementarán en las redes empresariales y procesarán la información empresarial confidencial deben ejecutarse mediante un proceso de investigación, para que las organizaciones comprendan el cambio en la exposición al riesgo. Este proceso puede compartir muchas de las mismas características de un programa de gestión de riesgos de un proveedor estándar, pero es posible que deba aumentarse para abordar algunas de las preocupaciones específicas que plantean los sistemas de IoT. Debido a que estos sistemas incorporan components especializado con sistemas operativos potencialmente no estándar, las preguntas sobre las prácticas de actualización y los ciclos de vida de soporte son de unique interés.

Modelado de amenazas es un enfoque excelente para comprender mejor la arquitectura de los sistemas de IoT y cómo encajarán en las arquitecturas de seguridad empresarial. Esto implica enumerar los diversos activos del sistema, identificar las conexiones entre ellos y elaborar una lista de posibles debilidades.

Las evaluaciones de seguridad también se pueden realizar en los propios dispositivos de IoT, así como en los servicios internet de soporte y otros activos. Normalmente, las evaluaciones de los dispositivos en sí se pueden realizar sin autorización, aunque las empresas deben revisar sus acuerdos de licencia, que pueden tener prohibiciones contra prácticas como la ingeniería inversa. La realización de pruebas de seguridad de los servicios de soporte generalmente requiere la participación, o al menos el consentimiento explícito, del proveedor de IoT. Es mejor solicitar el acceso para realizar pruebas de seguridad durante el proceso de adquisición cuando la empresa tiene influencia, no después.

Preguntas que deben hacer los líderes de seguridad y los administradores de riesgos
En última instancia, hay muchas preguntas que entran en el proceso de evaluación de los posibles proveedores de sistemas de IoT para determinar el impacto que tendrán sus productos en el entorno de IoT de una empresa. Una pareja que representa un buen punto de partida incluye:

  • ¿Cuáles son las características de seguridad de estos dispositivos de IoT? y sus servicios de apoyo?
  • ¿Qué prácticas aplica este proveedor durante el ciclo de vida de desarrollo de sus sistemas para ayudar a construir sistemas seguros?
  • ¿Cómo afectará la implementación de estos dispositivos de IoT a nuestra superficie de ataque empresarial common y a nuestra arquitectura de seguridad empresarial?

Riesgos de IoT que el programa de gestión de riesgos de terceros debería cubrir
Un programa de gestión de riesgos de terceros dirigido a los riesgos de IoT debe cubrir las preocupaciones estándar de confidencialidad, integridad y disponibilidad aplicadas a los datos a los que tendrá acceso el sistema de IoT. Si el sistema de IoT va a tener acceso a datos que los coloquen dentro del alcance de cualquier ley reguladora o de cumplimiento, probablemente aumente los requisitos de evaluación.

Estos programas deben analizar las implicaciones de seguridad iniciales de la implementación de sistemas de IoT, así como los riesgos continuos a medida que pasa el tiempo y se identifican vulnerabilidades. Muchos sistemas de IoT pueden ser difíciles, si no imposibles, de actualizar después de su implementación, por lo que los programas de gestión de riesgos de terceros deben rastrear la capacidad de actualizar los sistemas de IoT a lo largo del tiempo a medida que se identifican las fallas y, con suerte, se abordan.

Marcos y estándares existentes
Existen algunos estándares emergentes para la seguridad de IoT, pero ninguno ha tenido un impacto significativo en la industria. los Proyecto OWASP Online of Items tiene enlaces a una serie de recursos valiosos para organizaciones que buscan comprender las implicaciones de seguridad de los dispositivos de IoT y los servicios asociados para consumidores, empresas y consumidores industriales. Estos incluyen una lista de los 10 principales riesgos, metodologías de prueba de seguridad y un ejemplo de un sistema defectuoso para la práctica de prueba, así como otros materiales.

La Agencia de la Unión Europea para la Ciberseguridad (ENISA) también ha publicado algunos materiales valiosos para organizaciones que deseen construir y / o implementar sistemas seguros de IoT. Sería valioso si existiera un marco de seguridad dominante para los sistemas de IoT, pero la variabilidad en la arquitectura y los casos de uso de estos sistemas dificulta la elaboración de estándares de orientación y evaluación que puedan aplicarse de manera prescriptiva en toda la categoría.

Conclusión
Debido a que la mayoría de las empresas no construyen sus propios sistemas de IoT, el riesgo del IoT empresarial es en gran medida un problema de la cadena de suministro. Las organizaciones que deseen aprovechar los beneficios potenciales de los sistemas de IoT en entornos empresariales estarían bien atendidas para comenzar a evaluar este riesgo de terceros durante el proceso de adquisición para anticipar y abordar mejor los riesgos de seguridad asociados con el sistema de IoT que están buscando. adoptar.

Dan Cornell, un experto en seguridad de aplicaciones reconocido a nivel mundial, tiene más de 20 años de experiencia en la arquitectura, el desarrollo y la protección de sistemas de computer software basados ​​en la internet. Como director de tecnología y director de Denim Group, Ltd., lidera el equipo de tecnología para ayudar a Fortune 500 … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia initial