La consultora Gartner pronostica que para el año 2021 habrá unos 25.000 millones de dispositivos IoT conectados. El problema es que muchos de ellos pueden quedar expuestos a ataques informáticos. Por este motivo, el Instituto Nacional de Ciberseguridad (INCIBE) ha publicado la guía Seguridad en la instalación y uso de dispositivos IoT disponible para su descarga gratuita aquí.
Su finalidad es concienciar y prevenir a las organizaciones sobre las posibles amenazas de la digitalización en el mundo empresarial. Por este motivo, en ella se recogen todas las medidas de seguridad que debe incorporar cualquier empresario al uso de dispositivos IoT, desde el punto de vista de su administración, ciclo de vida e información que generan e intercambian. Algunas de ellas son la utilización de técnicas criptográficas que cifren la información o la aplicación de actualizaciones o parches de seguridad.
Contenido de la guía
La guía se divide en cinco grandes bloques:
- Qué son los dispositivos IoT y cuál es su utilización en el mundo empresarial.
- Principales amenazas que pueden afectarles.
- Vectores de ataque.
- Medidas de seguridad que se deben implantar para hacer frente a los riesgos inherentes a estos dispositivos.
- Decálogo de recomendaciones de ciberseguridad.
Por tanto, este organismo invita a pequeñas, medianas y grandes empresas a consultar esta guía con el fin de implantar las medidas de seguridad necesarias para conseguir un entorno seguro y minimizar los riesgos de sufrir un incidente de seguridad.
Decálogo de recomendaciones de seguridad en dispositivos IoT
Estas son las principales recomendaciones de seguridad que se recogen en esta guía:
- Minimizar el uso de dispositivos IoT en la empresa utilizando únicamente los que sean estrictamente necesarios.
- No usar, en la medida de lo posible, dispositivos IoT que transmitan información o cuya gestión se realice desde servidores externos «en la nube», aunque sea del fabricante.
- Comprobar las configuraciones por defecto del dispositivo, especialmente antes de permitir su acceso desde Internet y, de ser posible, elegir aquellos que permitan un elevado nivel de seguridad.
- Si no es posible establecer configuraciones de seguridad robustas no se permitirá el acceso al dispositivo desde Internet y preferiblemente tampoco desde la red local.
- Establecer siempre contraseñas de acceso y administración robustas. Siempre que sea posible se forzará su uso.
- Mantener actualizado el dispositivo a la última versión.
- Mantener abiertos a Internet únicamente aquellos servicios que sean necesarios para su administración remota y los que no lo sean se deben deshabilitar. También hay que cambiar los puertos de los servicios cuando sea posible.
- Utilizar dispositivos de seguridad perimetral como cortafuegos para proteger la seguridad del dispositivo IoT.
- Emplear mecanismos que permitan asegurar la autenticidad, integridad y confidencialidad de las comunicaciones, especialmente si estas se realizan vía WiFi.
- Auditar periódicamente los dispositivos IoT.
- Concienciar a los empleados sobre la importancia de la ciberseguridad en el día a día de su trabajo y en la administración y uso de este tipo de dispositivos.
- Comprobar la seguridad física del dispositivo y aplicar las medidas necesarias que eviten manipulaciones de terceros.
Archivado en: