En los últimos meses, he mantenido más conversaciones que nunca con equipos de productos, ingenieros y responsables de seguridad que se enfrentan a la misma presión: cómo seguir el ritmo de los cambios en la seguridad IoT sin ralentizar la innovación necesaria para lanzar nuevos productos.
Desde las nuevas normativas IoT y el aumento de las expectativas de seguridad de los consumidores hasta los ciberataques cada vez más sofisticados contra dispositivos inteligentes, los retos son reales, y van en aumento. Precisamente por eso hemos actualizado nuestros 10 pasos para la seguridad de IoT . No solo para actualizar el contenido, sino para ofrecer a los fabricantes de equipos originales una guía práctica basada en la realidad actual.
Novedades
Esta edición recientemente actualizada es su guía para crear productos seguros, conformes y preparados para el futuro. La edición actualizada:
- Refleja los nuevos modelos de amenaza: El firmware, las cadenas de suministro software y las identidades de los dispositivos son ahora objetivos prioritarios.
- Abarca la evolución de las normas y expectativas: Lo que era aceptable hace tres años ya no lo es hoy.
- Aborda los retos de ingeniería: De la criptoagilidad a las actualizaciones OTA en entornos con recursos limitados.
- Añade orientaciones más detalladas sobre la ampliación segura: Porque lo que funciona para 10 dispositivos no sirve para 10.000.
Así que, con esto en mente, he reunido cinco prioridades básicas en las que deberían centrarse todos los fabricantes de equipos originales para empezar a integrar la seguridad desde el diseño, hoy mismo. Manos a la obra.
🛠️ Seguridad por diseño
1. Construir una arquitectura de confianza cero con PKI para IoT
La base de la confianza digital está en la infraestructura de clave pública (PKI), por lo que es fundamental establecer la raíz de confianza (RoT) en las primeras fases del proceso de desarrollo. Hay algunas consideraciones a tener en cuenta, como la RoT hardware, software o híbrida, así como los elementos de diseño, incluidos los tipos de clave y algoritmo, por ejemplo.
En resumen, es esencial pensar en las opciones de diseño por adelantado porque es el punto de partida para establecer una plataforma de seguridad del producto para los dispositivos que está desarrollando ahora y en el futuro.
2. Implantar el aprovisionamiento seguro y la gestión del ciclo de vida
Una vez establecida la RoT, puede establecerse un proceso seguro de aprovisionamiento inicial de dispositivos. Normalmente se emite un certificado de nacimiento para cada dispositivo de borde, en forma de certificado X.509 que es la identidad inmutable del dispositivo. Se mantiene durante toda la vida útil del dispositivo para demostrar su origen y autenticidad.
También se pueden emitir certificados operativos a dispositivos utilizados por un cliente final para garantizar la confianza en tiempo de ejecución y establecer conexiones TLS seguras. conexionesTLS a lo largo del tiempo. También es fundamental contar con un sólido proceso de gestión del ciclo de vida de los certificados para gestionar las identidades a lo largo del tiempo.
3. Proteger las actualizaciones de firmware y OTA
Las actualizaciones de firmware over the air son habituales, pero es esencial asegurarse de haber implementado un proceso de desarrollo de código seguro, incluida la firma inicial, la auditoría y las actualizaciones remotas. Esto evita que se instale malware en los dispositivos que ha vendido a los clientes y garantiza que dispone de un registro adecuado de todas las operaciones de firma en caso de auditoría.
4. Incorporar criptoagilidad y seguridad de cara al futuro
El NIST ha anunciado que los algoritmos RSA y ECC quedarán obsoletos para el año 2030, por lo que los fabricantes de equipos originales deben pensar en cómo actualizar la criptografía que se encuentra dentro de los dispositivos de campo, especialmente si los dispositivos aún están en garantía, o necesitarán estar operativos más allá de esta fecha límite inminente.
Existe la oportunidad de que los productos conectados también adopten algoritmos de seguridad cuántica. Aunque la integración depende de las limitaciones hardware y software , es crucial -especialmente en determinadas industrias- tenerlo en cuenta en el desarrollo de las líneas de productos actuales para garantizar la seguridad y la resistencia a largo plazo.
5. Asignar la propiedad de la seguridad a lo largo del ciclo de vida del producto
La seguridad de los productos no es responsabilidad de una sola persona o empresa. Es una combinación de varias partes interesadas que se unen con un plan cohesionado, desde el fabricante de componentes, pasando por el integrador de productos o soluciones, hasta el operador o cliente final.
Garantizar una seguridad sólida de los dispositivos IoT a lo largo del ciclo de vida del producto requiere una clara rendición de cuentas en cada etapa. La industria o los reguladores regionales también desempeñan un papel importante a la hora de proporcionar orientación para ayudar a elevar el nivel de los dispositivos conectados, especialmente aquellos que protegen nuestras infraestructuras críticas y nuestra calidad de vida.
La seguridad IoT avanza rápidamente: no se quede atrás
La seguridad desde el diseño ya no es solo una práctica recomendada: es fundamental para una seguridad sólida de los dispositivos IoT . Comience con estas cinco prioridades y utilice el libro electrónico actualizado como guía práctica para reforzar su postura de seguridad en todos los productos conectados.
👉 Descargar la nueva versión revisada 10 pasos para la seguridad IoT y dé el primer paso hacia la creación de dispositivos más seguros y resistentes.
