Introducing the 2024 PKI & Digital Trust Report     | Download the Report

Lo que los OEM deben saber sobre la seguridad en IoT

Internet de los objetos (IoT)

La confianza digital es la columna vertebral de cualquier tecnología, pero a medida que los dispositivos conectados se abren camino en todas las facetas de la vida, esa confianza se ha convertido en algo innegociable.

Pero, ¿a quién pertenece esa seguridad? 

KeyfactorEl primer informe global de IoT encuestó a 1.200 profesionales de Norteamérica, EMEA y APAC, representantes de organizaciones de fabricaciónTI telecomunicaciones, energía, petróleo y gas, comercio minorista, construcción, servicios financieros y muchos más.

Estos encuestados se reparten a partes iguales entre las organizaciones que utilizan IoT dispositivos y las organizaciones de fabricación que los construyen. El informe analiza en profundidad los métodos y prioridades que los fabricantes de equipos originales están aprovechando para optimizar sus productos conectados y IoT y sortear los obstáculos que suponen los riesgos y los costes. obstáculos de riesgo y costes.

Los fabricantes de equipos originales asumen la responsabilidad de proteger los dispositivos, pero creen que debe ser un esfuerzo conjunto.

El 48% de los encuestados cree que el fabricante de IoT o de los dispositivos conectados debería ser responsable en su mayor parte o en su totalidad de las violaciones cibernéticas en sus productos.

Podría ser fácil suponer que en un informe dividido al 50% entre organizaciones empresariales y fabricantes de equipos originales, ese 48% comprende a las organizaciones no fabricantes. Pero no es así.

El 99% de las organizaciones de fabricantes de equipos originales afirmaron que están buscando formas de proteger sus dispositivos, y más del 90% de los fabricantes de equipos originales coincidieron en que deberían dar prioridad a la seguridad por encima de la funcionalidad general o el diseño del producto. De hecho, la "falta de presupuesto" se situó como el menor reto para la seguridad de los dispositivos.

En general, los fabricantes de equipos originales parecen comprender que la seguridad añade valor a su propuesta y puede, en última instancia, impulsar su negocio y diferenciarlos en el mercado. Al igual que en el mundo empresarial general, el mundo de los OEM se está dando cuenta de que la seguridad puede servir como acelerador en lugar de como centro de costes con las inversiones y la estrategia adecuadas. 

El 45% de los fabricantes de equipos originales está totalmente de acuerdo en que la seguridad de IoT debe tenerse en cuenta en la fase de diseño del producto.

El movimiento "shift-left" llega también a la seguridad. La seguridad se está volviendo tan importante, tan relevante en todos los aspectos de la creación de productos, que simplemente no puede relegarse a una entidad o fase. 

Es posible que la normativa venga a reforzar esta realidad. Las infraestructuras digitales y los sistemas ciberfísicos tienen implicaciones en el mundo real. A medida que los gobiernos tratan de reforzar la seguridad de estos sistemas abogan por una responsabilidad compartida entre los diseñadores de productos, los fabricantes de equipos y los propios usuarios finales.

Los fabricantes de equipos originales están dispuestos a compartir esta responsabilidad, y más de la mitad coinciden en que informar sobre los riesgos de seguridad es una responsabilidad. Si más organizaciones adoptaran este enfoque, permitiría una mejor colaboración con las organizaciones de operadores y usuarios para prevenir riesgos.

La falta de normalización y la complejidad de la cadena de suministro dificultan la seguridad de IoT

El OEM medio utiliza tres métodos para proteger los dispositivos conectados que fabrica, como se indica en la figura 10 de nuestro informe nuestro informe.

Los tres métodos más utilizados fueron:

  • Asignación de un identificador único verificado mediante PKI antes de asignar un identificador público. 
  • Firmar el código y comprobarlo en el arranque y a intervalos durante la ejecución.
  • Poner una clave y un certificado de por vida en el dispositivo para la comunicación.

Sin embargo, estos métodos no son omnipresentes. Al igual que para desarrollar y fabricar productos se necesitan distintos métodos, también los hay para garantizar su seguridad.

Esto ilustra cómo conseguir la seguridad de IoT es cualquier cosa menos sencillo. En la amplia gama de aplicaciones de IoT , cada una tiene sus propios requisitos y limitaciones. Esto aumenta la complejidad de diseñar protocolos de seguridad eficaces que puedan aplicarse universalmente.

A medida que evolucione el panorama, es probable que los diseñadores y vendedores de productos avancen hacia un mundo más interoperable, como demuestra la norma Matter publicada a principios de este año. Sea como fuere, es probable que esto se traduzca en un enfoque más racionalizado de la seguridad de los dispositivos conectados de distintos fabricantes.

Las mayores preocupaciones sobre la cadena de suministro ponen de manifiesto la necesidad de establecer asociaciones con los proveedores

El ciclo de vida de los dispositivos IoT es complejo, desde el diseño, el desarrollo, la fabricación, la distribución y las actualizaciones continuas. Cada etapa representa su propio conjunto de vulnerabilidades y puntos de entrada potenciales para las ciberamenazas. 

Los principales retos a los que se enfrentan los fabricantes de equipos originales para asegurar las cadenas de suministro son:

  • Falta de claridad en torno a las mejores prácticas para implantar la seguridad en las líneas de fabricación globales.
  • Preocupación por que una interrupción provoque una parada de los equipos que afecte a la producción.
  • Mayor potencial de ciberataques
  • La falta de infraestructuras digitales adecuadas
  • La falta de competencias o talento para gestionar estructuras complejas 

Por lo general, los fabricantes de equipos originales no se sienten preparados para realizar los cambios necesarios para garantizar la seguridad de los dispositivos a gran escala. Para muchos, la actualización de sus sistemas exigiría una transformación digital tan drástica y perturbadora que no es viable. Otros simplemente carecen de los recursos y los conocimientos necesarios. 

Forjar alianzas con los proveedores será clave para lograr y ampliar la seguridad de los dispositivos.

Las interrupciones relacionadas con los certificados acumulan costes catastróficos

El 98% de las organizaciones informaron de al menos una interrupción de certificados en los últimos 12 meses.

El coste medio total para las organizaciones de las interrupciones certificadas en sus líneas de fabricación durante el año pasado ascendió a la increíble cifra de 2,25 millones de dólares. Los costes en APAC (2,84 millones de dólares) y en Norteamérica (2,61 millones de dólares) fueron incluso superiores. 

Mientras que sólo el 6% de las organizaciones no utilizan PKI para gestionar los ciclos de vida de los certificados, el 27% de las organizaciones los gestionan con soluciones internas. La externalización de la PKI puede ser un punto de partida obvio a la hora de recortar la carga de la seguridad y el mantenimiento. 

Seguridad durante toda la vida útil del producto

La gestión del ciclo de vida de los componentes de ciberseguridad dentro del producto ha surgido como la mayor responsabilidad que las organizaciones de fabricantes de equipos originales tienen con sus clientes. Es importante que las organizaciones comprendan que su obligación no termina con la venta del producto. La asistencia y el desarrollo continuos frente al cambiante panorama de las amenazas son cruciales. 

Pero la comunicación será igual de importante. La colaboración y una mentalidad proactiva entre los fabricantes de equipos originales, los operadores y las organizaciones de usuarios, e incluso los usuarios finales, serán necesarias para lograr realmente la confianza digital en el mundo conectado del mañana.