¿Los dispositivos de IoT ponen en riesgo a su organización?

En las oficinas de las pequeñas y medianas empresas de hoy en día, puede encontrar una amplia gama de dispositivos inteligentes, como impresoras, cámaras, sensores de servicios públicos y cerraduras de puertas, todos los cuales se pueden comunicar con otros dispositivos a través de conexiones inalámbricas. Incluso la sala de descanso del personal está comenzando a beneficiarse de las tecnologías de próxima generación, como los refrigeradores inteligentes y las cafeteras inteligentes.

Aunque Internet de las cosas (IoT) ha introducido una gran cantidad de eficiencia a través de la conectividad, también ha creado millones de nuevas superficies de ataque debido a un diseño de seguridad débil o prácticas administrativas. No solo se han atacado y comprometido los dispositivos, los piratas informáticos han utilizado los dispositivos colectivamente en botnets para lanzar ataques distribuidos de denegación de servicio (DDoS) contra sitios web y redes de la compañía. El sitio web de Krebs on Security, por ejemplo, sufrió uno de los ataques más poderosos hasta la fecha, en el que el malware de Mirai "zombieizó" un conjunto de dispositivos de IoT conectados a Internet que tenían nombres de usuario y contraseñas predeterminados de fábrica.

Riesgos de seguridad con equipo IoT

Muchos dispositivos IoT no fueron diseñados con una seguridad fuerte y configurable. Algunos dispositivos tienen una contraseña codificada que no se puede cambiar sin una actualización de firmware, que puede no estar disponible porque el proveedor simplemente no la ha creado o el producto ya no es compatible. Otro problema potencial es la infección de malware de aplicaciones que controlan dispositivos IoT.

David Britton, vicepresidente de soluciones de la industria, fraude e identidad en Experian, advierte que Universal Plug and Play (UPnP) es una preocupación relacionada, especialmente con respecto a los enrutadores inalámbricos.

"Varios enrutadores admiten esta capacidad de conexión automática, y algunos tienen UPnP habilitado de forma predeterminada", dijo Britton. "UPnP permite a los dispositivos reconocer de inmediato y conectarse a una red, e incluso establecer comunicaciones con otros dispositivos en la red sin intervención humana o configuración. El desafío desde una perspectiva de seguridad es que hay una visibilidad reducida o control para el administrador sobre cuándo esos dispositivos se ponen en línea, o qué permisos de seguridad pueden invocar. "

Britton también señala que el diverso conjunto de tecnologías y protocolos de conexión utilizados por los dispositivos IoT, como Wi-Fi, Bluetooth, RFID y ZigBee, presentan una capa adicional de complejidad. Cada tipo de conectividad viene con diferentes niveles de seguridad y diferentes herramientas administrativas. Para las pequeñas tiendas que no cuentan con soporte técnico interno, tratar de estar al tanto de todo es difícil en el mejor de los casos, haciéndolos aún más vulnerables a los ataques.

Formas de controlar las amenazas y reducir el riesgo

Entonces, ¿Cuál es la solución para la debacle de la seguridad de IoT?

Johannes Ullrich, decano de investigación en SANS Technology Institute, dice que "las organizaciones deben comenzar por controlar la adquisición y el inventario de los dispositivos de IoT". En su artículo SANS Internet Storm Center, Ullrich detalla las preguntas pertinentes para los proveedores durante la fase de evaluación del producto, sobre cuánto tiempo planea el proveedor lanzar actualizaciones de seguridad y cómo implementa el encriptado.

Britton cree que es importante un inventario completo también, indicando que debe rastrear las versiones de firmware, la fecha de la última actualización, los puertos utilizados por los dispositivos IoT y la última fecha en que se actualizaron las contraseñas, entre otros elementos. También recomienda establecer una tarea recurrente en su calendario para actualizar, modificar y verificar el final de la vida útil de los dispositivos IoT, para evitar vulnerabilidades de seguridad inherentes a los dispositivos heredados.

Tanto Ullrich como Britton creen que es fundamental cambiar la contraseña predeterminada en cada uno Dispositivo IoT antes de conectarlo a una red. Un dispositivo que carece de la seguridad adecuada puede abrir una puerta a su red, que un pirata informático puede explotar en segundos y seguir adelante para acceder a otros dispositivos conectados.

Recomiendan permitir una seguridad sólida en todas las redes Wi-Fi, lo que implica cosas como aplicar enrutadores fuertes y contraseñas de red, usar el cifrado y limitar el acceso a la red (desde Internet siempre que sea posible) a través de un firewall. Para los enrutadores inalámbricos, Britton dice que deshabilite la configuración de UPnP en el enrutador para evitar cualquier conexión de dispositivo no deseada. Si un dispositivo IoT admite autenticación de dos factores, aprovéchelo. Esto puede ser tan simple como obtener un código que se debe ingresar al iniciar sesión en el dispositivo, lo que agrega otra capa de protección.

Nuestras fuentes también aconsejaron estar atentos en la administración de las aplicaciones instaladas. Descargue aplicaciones solo de proveedores acreditados o creados por entidades de confianza, y ejecute software anti-malware actualizado en dispositivos IoT o aquellos utilizados para configurar dispositivos IoT.

Por último, realice alertas y notificaciones, y pruebas y verificación, parte de su lista de verificación de mejores prácticas. Ullrich recomienda registrarse con cada proveedor para recibir una notificación cuando se liberen los parches, y poner sistemas en su lugar que le avisen si un dispositivo no autorizado está conectado a su red. En el frente de las pruebas, asegúrese de probar los dispositivos que se conectan a los servicios en la nube de un proveedor para garantizar que estén protegiendo los datos lo suficiente. Averigüe cómo se autentica el dispositivo en los sistemas del proveedor y si los datos están cifrados correctamente: debe usar el protocolo de Seguridad de la capa de transporte (TLS) para las transmisiones.

Para obtener más consejos de ciberseguridad, visite nuestra guía Mobby Business.

La democratización del espíritu empresarial (y por qué importa)

El espíritu empresarial está de moda. Parece que todos los que conoces hoy en día están comenzando su propio negocio, o conocen a alguien que lo es. Tampoco es su imaginación: la era de Internet y todo lo que la acompaña ha hecho que el emprendimiento sea más accesible que nunca. Mientras que las tecnologías como las plataformas de crowdfunding, los programas de diseño web DIY y las redes sociales han permitido a los empresarios aspirantes modernos lograr sus sueños, la "democratización del emprendimiento" es tanto un fenómeno cultural como tecnológico, dijo Stewart Thornhill, director ejecutivo del Instituto de Estudios Empresariales Zell Lurie de la Universidad de Michigan.

(Negocio)

Prevenir problemas de ausentismo de empleados con una política de tiempo de inactividad inteligente

¿Tiene un empleado que está constantemente diciendo "enfermo" o tomando un tiempo de descanso excesivo? Si bien muchas ausencias de empleados son legítimas, el ausentismo no programado recurrente realmente puede interrumpir un negocio, especialmente si el empleado toma tiempo libre pagado. Su primer instinto podría ser disciplinar al empleado, acusarlo de aprovecharse, o incluso amenazar con disparar ellos.

(Negocio)