Los dispositivos inteligentes están llegando a ser cada vez más autónomos, y es por ello que los CISO son requeridos por las organizaciones para adoptar nuevos mecanismos y enfoques de confianza. Dionisio Zumerle, director de investigación de Gartner, aporta su punto de vista sobre lo que los CISO tienen que hacer para proteger la integridad de los dispositivos IoT y alcanzar mayor confianza en su adaptación.
¿Cuál es la importancia de la seguridad en el negocio digital?
El negocio digital e IoT pueden parecer distantes para ciertos escenarios empresariales; en realidad, no lo son. Desde el punto de vista de seguridad, la magnitud de estas interacciones puede revelar más vulnerabilidades y necesidades de precaución. En el último año, por ejemplo, más de 3,4 millones de vehículos tuvieron que ser parcheados por vulnerabilidades que afectaron a la seguridad del pasajero. Los temores sobre los riesgos de interconectividad son tales que China ha prohibido a sus fuerzas armadas el uso de las tecnologías portátiles conectadas a Internet.
El modelo tradicional de seguridad de la información da prioridad a la confidencialidad, integridad y disponibilidad de la información. Sin embargo, como negocio digital difumina los mundos digital y físico, y las infracciones digitales pueden desembocar en daño físico. Como resultado, la seguridad del entorno y de los individuos se convierte en el objetivo principal.
Los CISO deben poner más atención en los mecanismos de integridad y seguridad a la hora de seleccionar los dispositivos IoT y los sistemas IoT en desarrollo
¿Qué hay de nuevo en seguridad de la información en el negocio digital?
El cambio en la forma en que nos acercamos a la confianza humano-dispositivo y confianza de dispositivo-dispositivo va a ser fundamental. Internet de las Cosas se compone de dispositivos inteligentes que toman acciones autónomas y la informática tradicional requiere que el dispositivo sea de confianza para satisfacer ciertas propiedades predefinidas. Un dispositivo se considerará de confianza o comprometedor.
Los casos de uso del negocio digital requieren que, al igual que los humanos, los dispositivos establezcan una relación de confianza poco a poco. Los dispositivos deben ser capaces de operar bajo diferentes niveles de confianza, uniéndose a un sistema en un nivel mínimo de confianza que luego se elevará en el tiempo, lo que permitirá acciones más impactantes.
Además, los mecanismos de garantía de confianza tendrán que ser más ágiles y granulares para hacer frente a escenarios de negocios digitales. Por ejemplo, los coches conectados exigen que los sistemas de información y entretenimiento están conectados a los sistemas de control de coche para añadir características convenientes, como el desbloqueo a distancia, encendido remoto y calefacción, y la geolocalización de vehículos.
¿Cómo los líderes de seguridad garantizan la seguridad de sus clientes y / o empleados?
Los dispositivos inteligentes necesitarán cada vez más autonomía para tomar decisiones y realizar acciones que requieren confianza. Mientras, las revelaciones recurrentes sobre la vigilancia generalizada y la creciente capacidad de invasión de las aplicaciones móviles han llevado la atención de la industria de la seguridad a la confidencialidad.
Los CISO deben poner más atención en los mecanismos de integridad y seguridad a la hora de seleccionar los dispositivos IoT y los sistemas IoT en desarrollo; y deben también contextualizar sus enfoques a IoT. Algunos principios surgirán, tales como capacidad de actualización. Tomemos el ejemplo del coche conectado: la vida media de un vehículo puede ser estimado en 8 a 10 años, mientras que un teléfono inteligente tiene una vida útil de aproximadamente dos años, después de lo cual las actualizaciones de seguridad del sistema operativo se vuelven poco frecuentes o cesan por completo. Esta situación llevaría a los coches conectados a ser vulnerables a los ataques durante un periodo de 6 a 8 años.
Es de suma importancia que los CISO garanticen que los componentes conectados se puedan actualizar vía conectividad remota, o sean extraíbles e intercambiables con otros más nuevos.
