Tecnología
mar 10 de septiembre de 2019

Cíber-(in)seguridad en Internet de las cosas

Llamado a automatizar e institucionalizar la tarea del responsable en seguridad

La velocidad con que las empresas avanzan en conectar todas sus máquinas a la web y entre sí preocupa a quienes advierten la vulnerabilidad que eso implica.

En julio de este a√Īo 2018, una firma de seguridad descubri√≥ que un grupo de c√≠ber criminales hab√≠a robado la informaci√≥n de un casino hackeando uno de sus acuarios. El termostato de ese acuario, conectado a Internet, ten√≠a un nivel bajo de seguridad. Los hackers aprovecharon esa vulnerabilidad para hacer pie en la red del casino. Una vez all√≠, pudieron acceder a la base de datos que se llevaron, otra vez usando ese termostato.

 

Internet de las cosas (IoT) va creciendo.

Las empresas la están integrando en todas las áreas de la operación. La duda es si en el apuro por adoptar la transformación digital no se estarán olvidando de consultar con el responsable de seguridad informática, o CISO, para incorporar otra sigla anglosajona.

Como IoT conecta el mundo f√≠sico con el mundo c√≠ber, la huella digital de las empresas se expande exponencialmente ofreciendo cada vez m√°s vulnerabilidades a los atacantes listos para aprovecharlas. Por su mismo dise√Īo, los dispositivos IoT tienen poca memoria. Por la exigencia de movilidad, de duraci√≥n de bater√≠a y de econom√≠a de precios, los sensores terminan siendo delgados pero indefensos. Adem√°s, el software IoT no permite parches autom√°ticos, lo que va en contra de uno de los principales preceptos de la c√≠berseguridad: emparchar inmediatamente. Como si eso fuera poco, los dispositivos suelen venir con contrase√Īas previamente cargadas que no se pueden cambiar.

Otra vulnerabilidad.  

Todo esto, sumado a la multitud de dispositivos de IoT que corren una enorme cantidad de plataformas de software, complican la tarea del CISO y deberían preocupar al CEO. Un ataque realizado a través de IoT podría ser catastrófico. Muchas grandes organizaciones hacen controles de seguridad regularmente pero la escala del peligro que se acerca requiere dos medidas adicionales: automatizar e institucionalizar.

La primera asegura controles rutinarios y r√°pidos en los miles de diminutos sensores IoT. La segunda ayuda al CISO a desarrollar herramientas para hackeos cada vez m√°s sofisticados.

Automatización.

La seguridad autom√°tica tiene varias formas. Las plataformas automatizadas controlan los VPN y detectan intromisiones en curso para detenerlas. Con inteligencia artificial, las plataformas automatizadas pueden detectar actividad anormal. Adem√°s, la autenticaci√≥n verifica cualquier dispositivo conectado a la red en un nivel m√°s sofisticado que el de usuario y contrase√Īa. Usa un certificado digital que impide que un termostato hable con un hacker.

Institucionalización.

La automatizaci√≥n no alcanza. Con IoT habr√≠a que hacer el mismo due diligence que se le hace a cualquier infraestructura de TI. Para asegurarse de que los avances tecnol√≥gicos no introduzcan fallas de seguridad, los CISO deber√≠an participar en la compra, dise√Īo o implementaci√≥n de todas las transformaciones tecnol√≥gicas, inclusive en IoT. Esto exige un cambio paradigm√°tico en el rol del responsable de seguridad inform√°tica; no se le deber√≠a aislar en un silo dentro la organizaci√≥n; habr√≠a que involucrarlo en todos los aspectos de una instituci√≥n, desde la capacitaci√≥n de los empleados hasta la selecci√≥n de vendedores.

Comentarios