La creciente expansión del IoT ha llevado a un aumento sin precedentes en el número de dispositivos conectados. Lo que ha generado una mayor dependencia de estos dispositivos, así como la necesidad de mejorar la ciberseguridad.
Así se destaca en el informe de Check Point, donde solo el 11% de las pymes españolas consultadas, tiene una solución completa de seguridad de IoT, frente a un 52% que está completamente desprotegido.
“Con la introducción de Quantum IoT Embedded buscamos ayudar a los fabricantes a proteger sus dispositivos con el mínimo esfuerzo” detalla Eusebio Nieva, director técnico de Check Point Software para España y Portugal. “La solución incluye un servicio de evaluación de riesgos y la solución independiente Nano Agent integrables en los IoT para proporcionar una protección en tiempo real contra los ciberataques”
Ciberseguridad en IoT
Los gobiernos de todo el mundo han introducido regulaciones para mejorar la seguridad de los dispositivos IoT y proteger la información personal almacenada en ellos. En los Estados Unidos, se aprobó la Ley de Mejora de la Ciberseguridad de IoT y la administración de Biden emitió una Orden Ejecutiva para mejorar la ciberseguridad nacional.
Por su parte, en la Unión Europea, se han introducido la Ley de Ciberseguridad y la Ley de Resiliencia Cibernética, junto con el Reglamento General de Protección de Datos (GDPR) para garantizar la protección adecuada de los datos personales.
Sobre esto, la compañía ha identificado seis elementos clave que los fabricantes de dispositivos IoT deben implementar para cumplir con las nuevas normativas y estándares de seguridad:
- Actualizaciones de software: los fabricantes deben proporcionar la opción de actualizaciones de firmware y garantizar su validez e integridad, especialmente para los parches de seguridad
Pese a la su creciente popularidad y extensión de uso, Check Point Research señala que sólo el 11% de las pymes españolas cuenta actualmente con una solución de seguridad de IoT completa
- Protección de datos: las regulaciones siguen el concepto de «minimización de datos», recopilando solo los necesarios con el consentimiento del usuario y manejando y almacenando de forma segura los datos confidenciales de manera cifrada
- Evaluación de riesgos: los desarrolladores deben seguir un proceso de gestión de riesgos durante la fase de diseño y desarrollo y durante todo el ciclo de vida del producto, incluido el análisis de vulnerabilidades y exposiciones comunes (CVE) y la publicación de parches para nuevas vulnerabilidades
- Configuración del dispositivo: los dispositivos deben liberarse con una configuración de seguridad predeterminada y tener componentes peligrosos eliminados, interfaces cerradas cuando no están en uso y una superficie de ataque minimizada a través del «principio de privilegio mínimo» para los procesos
- Autenticación y autorización: los servicios y la comunicación deben requerir autenticación y autorización, con protección contra ataques de inicio de sesión de fuerza bruta y una política de complejidad de contraseñas
- Comunicación segura: la comunicación entre los activos de IoT debe autenticarse y cifrarse, utilizando protocolos y puertos seguros