Por qué los problemas de seguridad de IoT recuerdan a los generados por BYOD
Los profesionales de TI deben aislar los dispositivos de IoT del resto de la red empresarial, tal vez en una red propia, para que no se conviertan en puertas traseras para atacantes.
Jeff Wilbur, director de la Online Trust Alliance explica por qué la seguridad de la empresa IoT se parece mucho a BYOD. Wilbur afirma dice que es mejor adoptar los dispositivos de IoT de los empleados y permitir que se usen de forma segura que prohibirlos y arriesgar su uso no autorizado y desprotegido. Del mismo modo, los dispositivos industriales de IoT desplegados por las empresas deberían ser eliminados de la red corporativa más amplia con el fin de minimizar el riesgo, aseguró en una entrevista con Network World.
Wilbur asegura que hace unos años se dieron cuenta que el mercado de IoT estaba creciendo, "que la magnitud de dispositivos iba a ser muy grande, dispositivos enviando y recibiendo datos, y generando datos que también debían ser seguros y privados, por lo que creamos una lista a través de un grupo de trabajo que finalmente involucró a más de cien organizaciones diferentes. Ese (grupo) creó una lista de principios, principalmente dirigida a fabricantes, por lo que las propiedades de seguridad, privacidad y ciclo de vida de los productos de IoT, y lo que deberían considerar al construir un producto desde el principio".
Esta lista se actualiza según sea necesario y se traslada al usuario es una guía sobre qué tipo de productos comprar y qué características de seguridad y privacidad que deberían tener. La realidad es que no todos los productos se ajustan a esa lista. Y cuando los productos de consumo se introducen en la empresa ... la gente de TI puede o no saber que está allí, y estos productos pueden recopilar datos o ser una especie de puerta de entrada vulnerable al resto de la red si no están apropiadamente aislados o tratados.
Wilbur señala que si la empresa dedide mantenerlos fuera hay que administrarlos dentro porque si entra por la puerta trasera es cuando puede ser peligroso, pero también puede, si se maneja adecuadamente, estar bien.
Muchos de estos dispositivos tienen contraseñas predeterminadas o codificadas, si son alcanzables, podrían ser el punto de entrada de un atacante, pueden o no ser actualizables por software, por lo que existen recomendaciones para establecer algunas políticas y reglas para los empleados sobre lo que pueden traer y las características que debería tener. El peligro, y esto es lo mismo que BYOD, es que si eres demasiado restrictivo, terminas creando un entorno en la sombra, "en lugar de hacerlo con los ojos bien abiertos para que sepas en qué te estás metiendo" asegura Wilbur. Y añade "Recomendamos configurar una red separada para esos dispositivos. La mayoría de las empresas configuran una red de invitados para Wi-Fi, así que ¿por qué no tener una red específica para IoT o por qué no tenerlas también en su red de invitados? Depende de la compañía y de cómo quieren organizar las cosas".
