Cada vez son más los dispositivos conectados a Internet, no solo en el sector privado, sino también en la industria. Esto hace que la producción sea más eficiente y cada vez más automatizada, lo que ahorra costes y mano de obra. Por lo tanto, Internet de las cosas (IoT - Internet of Things) se está extendiendo rápidamente y la cantidad de dispositivos conectados está aumentando significativamente.
Pero con la creciente dependencia de los dispositivos IoT, la necesidad de fuertes medidas de seguridad cibernética se ha vuelto aún más apremiante. Los legisladores lo han reconocido. Para proteger los datos importantes almacenados en estos dispositivos, los gobiernos de todo el mundo han introducido regulaciones para mejorar la seguridad estándar de los dispositivos IoT. ¿A qué tienes que prestar atención? Una mirada a las regulaciones ayuda.
Regulaciones de IoT en la UE y EE. UU.
En los Estados Unidos, la Ley de mejora de la seguridad cibernética de IoT se aprobó en 2020 y el Instituto Nacional de Estándares y Tecnología (NIST) se encargó de crear un estándar para dispositivos IoT. En mayo de 2021, la administración de Biden aprobó una orden ejecutiva para mejorar la seguridad informática nacional. Luego, en octubre de 2022, la Casa Blanca publicó un folleto que presentaba una etiqueta para dispositivos IoT, comenzando con enrutadores y cámaras domésticas, para indicar su nivel de seguridad y hacerlo visible de un vistazo.
En la Unión Europea, el Parlamento Europeo introdujo la Ley de Ciberseguridad y la Ley de Resiliencia Cibernética, que imponen varios requisitos a los fabricantes antes de que un producto pueda tener la marca CE y colocarse en el mercado europeo. Esto incluye etapas de evaluación y generación de informes, así como el tratamiento de ciberataques o vulnerabilidades a lo largo del ciclo de vida del producto. El Reglamento General de Protección de Datos (GDPR) también se aplica a las empresas que operan en la UE y las obliga a implementar medidas técnicas y organizativas apropiadas para proteger los datos personales.
elementos clave
Para cumplir con las regulaciones, los fabricantes deben implementar los siguientes elementos clave:
- Actualizaciones de software: Los fabricantes deben ofrecer la posibilidad de actualizaciones de firmware y garantizar la validez e integridad de las actualizaciones, especialmente los parches de seguridad.
- protección de datos: Las regulaciones siguen el concepto de "minimización de datos", es decir, solo se recopilan los datos necesarios con el consentimiento del usuario, pero los datos confidenciales se almacenan de forma segura y encriptada.
- Evaluación de riesgos: Los desarrolladores deben realizar la gestión de riesgos durante la fase de diseño y desarrollo y durante todo el ciclo de vida del producto, incluido el análisis de CVE (vulnerabilidades y exposiciones comunes) y el lanzamiento de parches para nuevas vulnerabilidades.
- Configuración del dispositivo: Los dispositivos deben lanzarse con una configuración de seguridad predeterminada que elimine los componentes peligrosos, cierre las interfaces cuando no estén en uso y minimice la superficie de ataque para los procesos a través del "principio de privilegio mínimo".
- Autenticacion y autorizacion: Los servicios y las comunicaciones deben requerir autenticación y autorización, con protección contra ataques de inicio de sesión de fuerza bruta y una política de complejidad de contraseñas.
- comunicación segura: Las comunicaciones entre los activos de IoT deben autenticarse, cifrarse y utilizar protocolos y puertos seguros.
Sin embargo, el cumplimiento de estas regulaciones puede ser un desafío debido a su complejidad. Para simplificar el proceso, se han introducido varias certificaciones y estándares como UL MCV 1376, ETSI EN 303 645, ISO 27402 y NIST.IR 8259 para desglosar las regulaciones en pasos prácticos.
Por lo tanto, las empresas que deseen proteger sus dispositivos IoT contra amenazas inminentes deben usar soluciones que aseguren sus dispositivos con un esfuerzo mínimo e incluyan un servicio de evaluación de riesgos que se pueda integrar en un dispositivo IoT. De esta forma, un dispositivo puede estar protegido contra las amenazas de TI durante toda su vida útil. En el mejor de los casos, la solución debería requerir recursos mínimos y poder integrarse en un producto sin tener que cambiar el código. De esta forma, los dispositivos IoT pueden operar de manera segura y aprovecharlos al máximo.
Más en Checkpoint.com
Sobre el punto de control Check Point Software Technologies GmbH (www.checkpoint.com/de) es un proveedor líder de soluciones de ciberseguridad para administraciones públicas y empresas de todo el mundo. Las soluciones protegen a los clientes de los ataques cibernéticos con una tasa de detección de malware, ransomware y otros tipos de ataques líder en la industria. Check Point ofrece una arquitectura de seguridad de varias capas que protege la información corporativa en la nube, la red y los dispositivos móviles, y el sistema de administración de seguridad de "un punto de control" más completo e intuitivo. Check Point protege a más de 100.000 XNUMX empresas de todos los tamaños.