La ciberseguridad puede parecer a la vez una preocupación generalizada y nebulosa. Todos los días hay una variedad de noticias que describen bancos, ciudades, hospitales, individuos y prácticamente cualquier otra entidad que fue víctima de un ataque cibernético. Al mismo tiempo, puede ser difícil cuantificar el riesgo de estos ataques. Un número creciente de dispositivos IoT agrava el riesgo al crear una superficie de ataque más grande y abstracta, lo que dificulta aún más la gestión de riesgos.

A continuación se esbozan nueve consejos de seguridad de diferentes expertos de Deloitte, Dragos y F5 Labs.

1. Siga un enfoque de diseño seguro. Los fabricantes que desarrollan productos conectados necesitan integrar la seguridad en el desarrollo de productos lo antes posible. Las organizaciones deberían pensar en el crimen cibernético en todas las partes, incluyendo tecnologías implementadas en las instalaciones en entornos de producción, aplicaciones móviles, en la nube y más allá.

2. La seguridad de IoT requiere tener en cuenta el riesgo de terceros. Uno de IoT es su tendencia a expandir las superficies de ataque de las organizaciones. La superficie de ataque ha aumentado casi exponencialmente desde la superficie de ataque de TI tradicional que había hace cinco o 10 años. Esto aplica tanto a una perspectiva de red como a una de software. Hace décadas, los autos usaban poco el software. Ahora, muchos automóviles requieren más de 100 millones de líneas de código para funcionar. Un fabricante de automóviles escribe este código unido a innumerables proveedores. Además, a medida que los automóviles se vuelven más definidos por el software, se vuelven más dependientes de los servicios en la nube. Y desde el punto de vista de la ciberseguridad, los fabricantes de automóviles, junto con otros tipos de fabricantes, se vuelven más dependientes de sus socios.

3. Investigue el panorama de amenazas. Es desafiante obtener una imagen coherente del panorama de amenazas revisando los titulares y enfocándose en el historial reciente de seguridad cibernética de su propia organización. Dos megatendencias significativas desde el punto de vista de los actores de amenazas son el reciente aumento de los ataques tanto de actores de los estados nacionales como de proverbiales «script kiddies» o aspirantes a piratas informáticos inexpertos, así como jóvenes jugadores expertos en tecnología que crean malware en su tiempo libre. Todos estos actores apuntan a dispositivos IoT, dada su tendencia a ofrecer protecciones de ciberseguridad subóptimas.

4. Tenga una estrategia de seguridad que aborde los riesgos de posventa y privacidad. Para los fabricantes incluye centrarse en la ciberseguridad de sus productos después de la comercialización. El mismo principio general se aplica a las organizaciones con implementaciones de IoT. El objetivo de hacer de la ciberseguridad una prioridad fundamental es especialmente vital en entornos de tecnología operativa. Las organizaciones con entornos OT deben asegurarse de que puedan mitigar los riesgos de ciberseguridad en la etapa más temprana al implementar tecnología conectada.

5. Tener una estrategia clara de gobernanza de ciberseguridad. Las organizaciones de todos los niveles deben esforzarse por garantizar que la conciencia de ciberseguridad se extienda por toda la organización y, al mismo tiempo, seleccionar un modelo de gobernanza para garantizar que los posibles problemas se eleven al actor apropiado.

Para los fabricantes de dispositivos IoT, la responsabilidad de la ciberseguridad no debe ser únicamente el foco de un departamento de seguridad de la información. Dada la importancia de estos productos, los fabricantes deben asegurarse de que la conciencia de ciberseguridad se extienda por toda la organización.

6. La conciencia de la ciberseguridad debería afectar a una organización. La ciberseguridad es un deporte de equipo. Si bien el CISO puede proporcionar liderazgo en seguridad cibernética para ayudar a educar y apoyar a otras partes de la organización, la responsabilidad cibernética debe extenderse a toda la organización, desde diseñadores de productos e ingenieros hasta desarrolladores de aplicaciones y directores de información. Los CISO deberían ayudar a educar a los miembros de la junta, ayudándoles a comprender los tipos de riesgo que deben abordarse.

7. La organización debe contar con los recursos de ciberseguridad apropiados. Profundizar en los detalles técnicos de la ciberseguridad puede tener un cierto atractivo, pero los profesionales de la seguridad deberían poder conversar con los ejecutivos de la compañía y otros empleados en términos simples. Deben poder describir los riesgos generales que enfrenta la empresa y los programas que tiene implementados para abordarlos. Los directorios ven la ciberseguridad como un riesgo comercial clave. Los profesionales de seguridad superiores deberían poder ayudar a cuantificar ese riesgo, lo que a su vez puede ayudar a apuntalar el apoyo a las iniciativas cibernéticas, al tiempo que determinan cómo delegar el liderazgo de esas iniciativas.

8. Atención a los dispositivos IoT. Muchas organizaciones no son plenamente conscientes de todos los dispositivos IoT en su red, lo que dificulta determinar si esos dispositivos se han violado. El desafío es especialmente grave en entornos de tecnología operativa debido al potencial del escaneo activo de la red para causar problemas. Contar con un inventario de IoT es el primer paso, medir el riesgo que representan los dispositivos de IoT individuales y tomar medidas para minimizar ese riesgo es el siguiente en importancia.

9. No olvidar los dispositivos heredados. Algunos dispositivos en red tienden a desvanecerse en el fondo de las mentes de las personas. Es posible que la humilde impresora no se registre en la mente de la mayoría de las personas como un dispositivo conectado. En muchos entornos industriales y de atención médica, no es raro ver computadoras más antiguas conectadas a equipos que ejecutan sistemas operativos como Windows XP o Windows NT.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *