Ciudad de México, diciembre de 2018.- . Un nuevo estudio de DigiCert, Inc., proveedor mundial de soluciones de seguridad TLS/SSL, PKI y el IoT, revela que las empresas han comenzado a sufrir pérdidas monetarias significativas motivadas por la falta de prácticas recomendadas en el marco de adopción de Internet de las cosas (IoT) en sus modelos de negocios. De hecho, entre las compañías encuestadas que más problemas tienen con la seguridad del IoT, el 25 por ciento declaró al menos 34 millones de dólares en pérdidas en incidentes de seguridad relacionados con el IoT en los últimos dos años.
Estas conclusiones se dan en un momento en el que la importancia del IoT en las organizaciones típicas es cada vez mayor. El 83 por ciento de los encuestados indicaron que el IoT es considerablemente importante para ellos en la actualidad, mientras que el 92% afirmó que el IoT será extremadamente importante para sus respectivas organizaciones en dos años.
La encuesta fue realizada por ReRez Research en septiembre de 2018, con la participación de 700 organizaciones empresariales de industrias de infraestructura crítica de Estados Unidos, Reino Unido, Alemania, Francia y Japón.
Principales preocupaciones
La seguridad y la privacidad ocuparon los primeros lugares en la lista de preocupaciones para los proyectos de IoT; el 82 por ciento de los encuestados afirmó estar algo preocupado o muy preocupado por los desafíos de seguridad.
“Las empresas de hoy entienden la realidad de Internet de las Cosas está entre nosotros y seguirá revolucionando la manera en que vivimos, trabajamos y nos recreamos”, explicó Mike Nelson, vicepresidente de seguridad del IoT de DigiCert. “Proteger los dispositivos del IoT sigue siendo una de las principales prioridades, y muchas empresas tienen problemas para lograrlo. Sin embargo, integrar la seguridad desde el principio y hasta el momento de las implementaciones del IoT es vital para mitigar una cantidad cada vez mayor de ataques, una tendencia que seguramente continuará. La diligencia debida relacionada con la autenticación, el cifrado y la integridad de los dispositivos y los sistemas del IoT puede ayudar a que las empresas adopten de manera segura y confiable el IoT”.
Empresas de mayor y menor rendimiento
Para brindar visibilidad a los desafíos específicos con los que se encuentran las empresas en las implementaciones del IoT, se solicitó que los encuestados respondieran una serie de preguntas con una amplia variación de terminología. Con una metodología de encuesta estándar, las respuestas de los encuestados se calificaron y se dividieron en tres niveles:
• Nivel alto: empresas que experimentan menos problemas y demuestran un cierto nivel de competencia para mitigar aspectos específicos de seguridad del IoT.
• Nivel medio: empresas que se encuentran en el rango medio en términos de sus resultados de seguridad del IoT.
• Nivel bajo: empresas que experimentan más problemas y tienen una probabilidad mucho mayor de admitir dificultades para controlar la seguridad del IoT.
Medidas incorrectas relacionadas con la seguridad del IoT
Se consultó a los encuestados sobre los incidentes de seguridad relacionados con el IoT que sus organizaciones experimentaron en los últimos dos años. La diferencia entre las empresas de nivel alto y de nivel bajo fue inevitable. Las compañías que tenían más problemas con la implementación de la IoT tenían también una probabilidad mucho más alta de verse afectadas por incidentes de seguridad relacionados con IoT. Cada una de las empresas de nivel bajo experimentó un incidente de seguridad relacionado con IoT en ese lapso, en comparación con apenas un 32 por ciento de las empresas de nivel alto. Las empresas de nivel bajo también evidenciaron una mayor probabilidad de tener problemas en estas áreas específicas.
• Una probabilidad más de seis veces mayor de haber experimentado ataques de denegación de servicio (DNS) basados en el IoT
• Una probabilidad más de seis veces mayor de haber experimentado acceso no autorizado a dispositivos del IoT
• Una probabilidad casi seis veces mayor de probabilidad de haber experimentado fugas de datos basadas en el IoT
• Una probabilidad cuatro veces y media mayor de haber experimentado ataques de malware o ransomware basados en IoT
Estos incidentes de seguridad no fueron menores. Entre las compañías encuestadas que más problemas tienen con la seguridad del IoT, el 25 por ciento declaró al menos 34 millones de dólares en pérdidas en incidentes de seguridad relacionados con IoT en los últimos dos años.
Las cinco principales áreas con mayores costos en los últimos dos años fueron las siguientes:
• Daños monetarios
• Pérdida de productividad
• Multas legales/de cumplimiento
• Pérdida de reputación
• Precio de acciones
Al mismo tiempo, y aunque las empresas de nivel alto tomaron algunas medidas incorrectas relacionadas con la seguridad, una abrumadora mayoría (casi el 80 por ciento) no debió incurrir en costos asociados con estas medidas incorrectas. Las empresas de nivel alto atribuyeron sus éxitos en materia de seguridad a las siguientes prácticas:
• Cifrado de datos sensibles
• Garantía de integridad de datos en tránsito
• Escalamiento de medidas de seguridad
• Protección de actualizaciones inalámbricas
• Protección de almacenamiento de claves de cifrado basado en software
“Cuando se trata de acelerar implementaciones del IoT, es vital que las compañías lleguen a un equilibrio entre obtener eficiencia y mantener la seguridad y privacidad”, explicó Nelson. “Este estudio demuestra que las empresas que están implementando prácticas recomendadas de seguridad poseen una menor exposición a riesgos y daños resultantes de ataques a los dispositivos conectados. Al mismo tiempo, da la sensación de que estas prácticas recomendadas de seguridad del IoT, como autenticación e identidad, cifrado e integridad, van en aumento, y que las compañías comienzan a darse cuenta de lo que está en juego”.
Recomendaciones
La encuesta destaca cinco prácticas recomendadas para ayudar a que las compañías que buscan implementar el IoT logren el mismo éxito que las empresas de rendimiento más alto:
1. Evaluar el riesgo: realice pruebas de penetración para determinar el riesgo de los dispositivos conectados. Evalúe el riesgo y diseñe una lista de prioridades para enfrentar los principales problemas de seguridad, como autenticación y cifrado. Una evaluación de riesgo sólida lo ayudará a garantizar que no queden brechas en su panorama general de seguridad de conexión.
2. Cifrar todo: a medida que evalúa casos de uso para sus dispositivos conectados, asegúrese de que todos los datos estén cifrados, tanto los inactivos como los que están en tránsito. El cifrado de extremo a extremo debe ser un requisito del producto para garantizar que esta característica clave se implemente en todos sus proyectos de IoT.
3. Autenticar siempre: revise todas las conexiones que se realizan hacia su dispositivo, incluidos dispositivos y usuarios, para asegurarse de que los esquemas de autenticación permitan únicamente conexiones de confianza en su dispositivo de IoT. El uso de certificados digitales ayuda a ofrecer una autenticación transparente con identidades vinculadas, que están unidas con protocolos de cifrado.
4. Fomentar la integridad: dé cuenta de los aspectos básicos de la integridad de los datos y del dispositivo a fin de incluir un arranque seguro cada vez que se inicia el dispositivo, actualizaciones inalámbricas seguras y el uso de la firma de código para garantizar la integridad de todos los códigos que se ejecutan en el dispositivo.
5. Adoptar una estrategia de escala: asegúrese de tener una estructura y una arquitectura de seguridad escalables y listas para admitir implementaciones del IoT. Planifique de forma acorde y trabaje con terceros que tengan la escala y la experiencia para ayudarle a lograr sus metas, a fin de poder concentrarse en la competencia principal de su compañía.
Para obtener más información sobre la encuesta, consulte https://www.digicert.com/es/state-of-iot-security-survey/