Seis estrategias para mejorar la ciberseguridad IoT de las compañías

El Internet de las Cosas (IoT, por sus siglas en inglés), al igual que otras tendencias digitales como la automatización, la inteligencia artificial, la analítica de datos, el cloud computing o la robótica, ofrece una gran variedad de oportunidades en el ámbito empresarial. Sin embargo, las amenazas en materia de seguridad son, asimismo, destacadas.

“Como usuario, entiendo claramente la inmensidad de beneficios que los dispositivos de IoT me dan. Desde la capacidad de reservar un taxi a través de una app móvil, hasta la posibilidad de poder reprogramar en remoto mi televisor para grabar el programa favorito de mi hijo. Como experto en seguridad IoT, espero que la innovación siga aflorando más casos de uso, pero siempre considerando los riesgos ciber que puedan llevar implícitos e implantando proactivamente controles de seguridad en toda la cadena, desde el diseño hasta el producto final”, subraya Alejandro Rivas-Vásquez, director de Ciberseguridad en Energía e Infraestructuras y experto en Seguridad IoT de KPMG en España.

Según los datos recogidos en el informe de KPMG Risk or reward: What lurks within your IoT?, se estima que para el año 2020 habrá alrededor de 20.000 millones de dispositivos conectados. Cifra que no debería ser desestimada por los retos en ciberseguridad que presenta, sobre todo en el ámbito empresarial, donde se almacenan grandes cantidades de datos corporativos y datos personales que, en el caso de ser hackeados, podrían tener un impacto reseñable tanto en el negocio como en la reputación de la compañía.

Asimsimo, se estima que más del 25% de las empresas podría sufrir un ataque relacionado con el entorno IoT para 2020, mientras que presupuestos destinados a temas de seguridad relacionados con dichas disciplinas representan menos del 10% de los presupuestos de seguridad IT actuales.

Ante este escenario, el informe señala la urgente necesidad por aumentar el nivel de concienciación sobre los ciberriesgos tanto a nivel del Consejo de Administración como en los equipos de IT y de seguridad para realizar un análisis más exhaustivo, no solo de los dispositivos utilizados dentro de la compañía, sino de todos aquellos que engloban el ecosistema de la empresa.

Cuando pensamos en una ciberamenaza, rápidamente nos vienen a la cabeza aparatos como el teléfono móvil o el ordenador. Sin embargo, una simple impresora podría ser un elemento susceptible de ser atacado informáticamente. La conexión inalámbrica mediante la que enviamos documentos a imprimir resulta suficiente para que un hacker interfiera en su funcionamiento, pudiendo acceder a contraseñas de acceso a información confidencial.

Diferentes riesgos dependiendo del tipo de dispositivo

– Los dispositivos que no producen datos (como sensores de luz y calor o los que monitorizan actividades deportivas) sino que solo los recolectan no suponen un gran riesgo.

– Aquellos dispositivos que recogen información a la vez que la producen presentan diferentes niveles de gravedad, ya que, por ejemplo, que debido a un ataque informático se apaguen las luces de una casa no tiene las mismas consecuencias que en el caso de que dejen de funcionar las de un hospital o las del transporte público.

-Por su parte, los dispositivos de una alta complejidad son más fáciles de atacar ya que el acceso a determinados sistemas operativos facilita la instalación de un virus, y por tanto, el robo de información sensible para la empresa.

Teniendo en cuenta esta nueva realidad, la publicación recoge una serie de buenas prácticas para mejorar la estrategia de ciberseguridad de IoT:

– Mantener un inventario de los dispositivos que posee la organización, como teléfonos personales, tabletas y ordenadores que pertenezcan a los empleados, consumidores, proveedores, mensajeros y demás visitantes, categorizándooslos por su nivel de riesgo.

– Actualización regular de los software de seguridad, programas antivirus y de encriptación. Crear un programa de gestión de las vulnerabilidades. Resultará clave la identificación y reparación de aquellas debilidades que hayan podido surgir en determinados dispositivos a lo largo de todo su ciclo de vida.

– Establecimiento de una gestión eficiente del acceso de terceros. Las compañías deberían realizar un análisis profundo de la inversión en ciberseguridad realizada por los terceros involucrados en su ecosistema de Internet de las Cosas, para poder garantizar que cuentan con sistemas de confidencialidad y ciberseguridad eficientes dentro de su propia organización.

-Segmentación del acceso a las redes de la empresa. Ciertos dispositivos requieren una monitorización adicional. En este sentido, por ejemplo, los visitantes podrían tener acceso a una red de WI-FI específica mientras que al resto de empleados se les habilitaría otra con acceso en exclusiva a los sistemas internos. Se recomienda, asimismo, crear una red aislada para el resto de aparatos inteligentes conectados.

-Proporcionar información detallada sobre el nivel de riesgo y la responsabilidad que tiene cada usuario en la preservación del entorno seguro en la empresa. Depende, por tanto, de la propia organización, la implementación de políticas bien determinadas para el empleado en cuanto a los riesgos que comprende la tendencia cada vez mayor a trabajar desde distintos dispositivos y lugares.

-Considerar el concepto de Secure by Design, abordando los requisitos de seguridad desde el diseño, desarrollo, implantación hasta la gestión de los dispositivos IoT.