¿Cómo proteger los dispositivos IoT?: Requerimientos de seguridad de IoT

Los requisitos clave para cualquier solución de seguridad IoT son:

• Protección de datos y dispositivos IoT: autenticación de dispositivos, confidencialidad e integridad de datos, etc.
• Implementación y ejecución de operaciones de seguridad a escala IoT
• Cumplimiento de requisitos y peticiones de conformidad
• Cumplimiento de requisitos de rendimiento según caso de uso

Las soluciones de seguridad del IoT deben implementar los bloques funcionales que se enumeran a continuación como módulos interconectados, no de forma aislada, para cumplir con los requisitos de escala, seguridad de datos, confianza del dispositivo y cumplimiento del IoT.

• Confianza en dispositivos IoT: Determinar y administrar la identidad e integridad del dispositivo
• Confianza en datos IoT: Aplicar políticas para garantizar la seguridad y privacidad de datos de extremo a extremo, desde la creación hasta el consumo.
• Confianza en las operaciones: Automatizar la interacción basada en estándares con tecnologías y productos probados. Por ejemplo: Productos PKI.

Para participar con seguridad en el IoT, cada dispositivo conectado necesita una identificación única antes de una dirección IP. Esta credencial digital establece una raíz de confianza para todo el ciclo de vida del dispositivo: diseño inicial, despliegue y jubilación.

nCipher Security combina HSM nShield con aplicaciones de seguridad de socios tecnológicos de nCipher. De este modo, permite que los fabricantes proporcionen a cada dispositivo una identificación única para procesamiento criptográfico, protección de claves y administración de claves. En cada dispositivo se introduce un certificado digital para habilitar:

• Autenticación de cada dispositivo añadidos a la arquitectura de la organización
• Verificación de la integridad del sistema operativo y las aplicaciones del dispositivo
• Comunicaciones seguras entre dispositivos, pasarelas y la nube
• Actualizaciones autorizadas de software y firmware basadas en código aprobado

Varias organizaciones han desarrollado pautas de seguridad IoT. Entre las cuales se incluyen:

• “Best Practice Guidelines” de la IoT Security Foundation
• “Security Guidance” del Open Web Application Security Project (OWASP)
• “GSMA IoT Security Guidelines & Assessment” de la Groupe Spéciale Mobile Association (GSMA)
• Estados Unidos Publicación especial 800-160 del Commerce National Institute of Standards and Technology (NIST) sobre seguridad en dispositivos IoT
• “Future Proofing the Connected World" de la Cloud Security Alliance (CSA) 13 pasos para desarrollar productos IoT seguros”

Se requiere una autenticación fuerte para confiar en dispositivos IoT. Por ello, cada dispositivo IoT necesita una identidad única para autenticarse cuando se conecte a una pasarela o servidor central. Con esta identificación única, los administradores de TI pueden rastrear cada dispositivo a lo largo de su ciclo de vida, comunicarse de forma segura con él y evitar que ejecute procesos dañinos. Si un dispositivo muestra un comportamiento inesperado, los administradores pueden revocar sus privilegios.

Dispositivos IoT fabricados mediante procesos no seguros permiten alterar tareas de producción para introducir códigos no autorizados o producir unidades destinadas al mercado negro.

Para proteger procesos de fabricación, los módulos de seguridad hardware y software introducen claves criptográficas y certificados digitales. También controlan la cantidad de unidades producidas y el código incorporado en cada una.

Los desarrolladores han adoptado la firma de código para proteger contra malware a empresas, marcas, socios y usuarios. En IoT, la firma de código garantiza la integridad del software y las actualizaciones de firmware. También protege el software contra manipulaciones o incumplimientos de políticas de la organización.

En la criptografía de clave pública, la firma de código es una aplicación de la firma digital basada en certificados para que una organización verifique la identidad del proveedor de software y certifique la integridad del software.

¡Hoy en día hay más dispositivos en línea que personas en el planeta! Los dispositivos son los usuarios número uno de Internet y necesitan identidades digitales para funcionar con seguridad. A medida que las empresas buscan transformar sus modelos comerciales para seguir siendo competitivas, la rápida adopción de tecnologías del IoT está creando una demanda cada vez mayor de infraestructura de clave pública del Internet de las cosas (IoT PKI). Las PKI proporcionan certificados digitales para el creciente número de dispositivos y el software que ejecutan.

Las implementaciones IoT seguras requieren confiar en la autenticidad de los dispositivos y en los datos que recopilan. Sin confianza en los dispositivos y datos IoT, no tiene sentido recopilar información y analizarla para tomar decisiones.

La adopción segura del IoT requiere:

• Habilitar autenticación mutua entre dispositivos conectados y aplicaciones
• Proteger la integridad y confidencialidad de datos recopilados por dispositivos
• Garantizar la legitimidad e integridad del software descargado en los dispositivos
• Preservar la privacidad de datos confidenciales conforme a las regulaciones de seguridad más estrictas