En el primer informe global de seguridad de IoT de Keyfactor, los encuestados revelaron que la seguridad ha cambiado en la mentalidad de los líderes. Comprenden la importancia de la seguridad de IoT y le han asignado un presupuesto.
Los presupuestos de seguridad promediaron los $446.015 y se pronosticó que aumentarían un 19% en los próximos dos años y un 45% en los próximos cinco años.
Sin embargo, las organizaciones tienen dificultades para aplicar su presupuesto de manera efectiva en la prevención de ataques. De hecho, hasta el 52% del presupuesto promedio corre el riesgo de ser desviado para cubrir el coste de las brechas exitosas en dispositivos IoT.
Consulte el informe: Navegando por el estado de la seguridad de IoT >>
Los riesgos aumentan a medida que los organismos legislativos se centran en resolver el desafío de la seguridad de IoT. Gobiernos de todo el mundo están pidiendo a los diseñadores y fabricantes de productos que adopten principios de seguridad desde el diseño para proteger mejor la infraestructura crítica. El estándar Matter y el programa de etiquetado de dispositivos de NIST fomentan productos más seguros y brindan a los consumidores mayor confianza al tomar decisiones de compra seguras.
Aunque estos estándares no han alcanzado el nivel de regulación de cumplimiento, indican hacia dónde se dirige la postura legislativa. Aun así, el informe mostró que el 98% de las organizaciones experimentaron una interrupción relacionada con certificados en los últimos 12 meses. Las interrupciones en las líneas de fabricación costaron a la organización OEM promedio $2,25 millones.
Entonces, si el presupuesto y la prioridad no son obstáculos, ¿por qué la seguridad de IoT sigue siendo tan difícil de alcanzar?
Las mayores barreras para la seguridad de IoT
No está claro si los profesionales de la seguridad se ven más obstaculizados por herramientas incorrectas o por métodos erróneos. Lo más probable es que ambos factores influyan.
Una escasez de conocimiento y comprensión
El noventa y cuatro por ciento de las organizaciones norteamericanas coincidieron en que necesitan mejorar la seguridad de IoT. El sesenta y dos por ciento de las organizaciones afirmaron estar "tan protegidas como es posible".
Estas cifras parecen contradictorias, pero juntas indican una conciencia del riesgo y una falta de comprensión sobre cómo las organizaciones pueden mejorar la seguridad para cubrir esos riesgos.
Por parte de los fabricantes de equipos, el 42% de los OEM citaron la falta de claridad en torno a las mejores prácticas para implementar la seguridad en múltiples plantas de fabricación globales como un desafío principal para asegurar sus líneas de fabricación y producción. También señalaron que su principal desafío para asegurar los dispositivos IoT que fabrican era la incapacidad de cuantificar el impacto de las amenazas de los dispositivos IoT de terceros.
Hay mucho que las organizaciones desconocen en lo que respecta a la seguridad de los dispositivos. Los fabricantes de IoT son expertos en su campo, pero no necesariamente en la seguridad de sus dispositivos. Lo cierto es que, sin una visión de seguridad total de los dispositivos que comience en el diseño inicial y el conocimiento de los hitos tácticos necesarios para lograr esa visión, cualquier avance será un mero disparo en la oscuridad.
Herramientas inadecuadas
El noventa y cuatro por ciento de los encuestados afirmó que su organización utiliza una solución PKI para emitir identidades digitales y/o gestionar certificados en los dispositivos IoT e IIoT que utilizan y/o fabrican.
A primera vista, esto parece positivo. Las organizaciones, sin duda, están dejando de usar hojas de cálculo para rastrear certificados. Sin embargo, un análisis más detallado revela que las organizaciones aún no son tan sofisticadas en sus herramientas como deberían.
El 27% utiliza únicamente una herramienta interna nativa.
Es probable que estas herramientas sean soluciones desarrolladas internamente que ofrecen automatización, visibilidad y escalabilidad limitadas. Suelen ser más arriesgadas y difíciles de gestionar.
El 44% utiliza una combinación de soluciones internas y de terceros.
Es probable que esta estadística se deba a una serie de herramientas específicas de proveedores que solo gestionan certificados emitidos por la autoridad de certificación de ese proveedor. Dado que la organización promedio utiliza nueve CA diferentes, la cobertura específica del proveedor solo añade complejidad y dificulta la visibilidad.
Más herramientas no significan mayor cobertura. Los certificados —incluidos tanto los utilizados por dispositivos IoT como los implementados en el entorno de TI— se gestionan mejor a través de un único centro universal. Hacerlo sienta las mejores bases para la automatización y proporciona una visión holística del estado del panorama de certificados en toda la empresa.
Infraestructura heredada
El cuarenta y uno por ciento de los fabricantes de equipos originales (OEM) afirmó que tendrían que modificar sus instalaciones de producción para incorporar nuevos procesos que permitieran una mayor seguridad. Mientras tanto, el 32 % de los OEM indicó que carece de la infraestructura necesaria para respaldar cambios a gran escala, y el 30 % manifestó que no dispone de la infraestructura para soportar ningún cambio.
Los entornos de fabricación presentan dinámicas propias que dificultan la modernización de los sistemas y la implementación de nuevos procesos. Estos sistemas heredados son complejos y, en ocasiones, existe el temor a depender de Software que pueda provocar tiempos de inactividad no deseados.
Estas dinámicas pueden ser, en cierta medida, difíciles de manejar. Sin embargo, no pueden permanecer desconocidas o sin considerar. Las organizaciones deben establecer una visión para la seguridad de los dispositivos y, posteriormente, buscar soluciones y proveedores que puedan ayudar a ejecutar esa visión y proporcionar la flexibilidad necesaria para prosperar en el futuro. No hay que equivocarse, se avecinan cambios para los OEM. Los sistemas heredados no serán sostenibles indefinidamente. Las nuevas regulaciones, un panorama de amenazas en constante evolución y los consumidores conscientes de la seguridad obligarán a las organizaciones a adaptarse o perecer.
El futuro del IoT
Cada dispositivo IoT individual ofrece a un atacante un punto de entrada potencial a la red de la organización. Los riesgos de la seguridad del IoT van más allá de proteger la reputación de la organización; se extienden a la infraestructura crítica que sustenta nuestro modo de vida.
El mundo del IoT está maduro para la innovación, y es un avance que más líderes estén posicionando la seguridad como un motor clave de la innovación en lugar de una barrera. A medida que esa innovación se desarrolle, los fabricantes de IoT y las organizaciones usuarias deben hacer un buen uso de sus presupuestos de seguridad de IoT y trabajar para comprender el estado del IoT dentro de sus operaciones.
