La necesidad del ‘Secure-by-design’ en un mundo que evoluciona a toda velocidad

La necesidad del ‘Secure-by-design’ en un mundo que evoluciona a toda velocidad
abril 16, 2021

 

 

 

El nuevo mundo del IoT (Internet de las cosas, en castellano) se caracteriza por los millones de dispositivos conectados. Con un gran número de dispositivos y puntos de acceso a la red más inseguros que nunca, los principios del Secure by Design son esenciales para protegerse contra las crecientes amenazas a la ciberseguridad.

 

En los últimos años, las tecnologías digitales han transformado el mundo, afectando a todos los sectores de la actividad empresarial y a nuestro día a día. El resultado es un mundo de Internet de las Cosas en el que todo está instrumentado e interconectado.

 

A finales de 2018, se estimaba que había 22.000 millones de dispositivos conectados vinculados al Internet de las Cosas en todo el mundo. La previsión es que esta cifra aumentará a 50.000 millones para 2030, creando una red masiva de dispositivos interconectados1.

 

Para sostener este futuro altamente conectado, miles de dispositivos lot están conectados a las redes todos los días. Además, el apetito por nuevas opciones y funcionalidades ha creado una necesidad de velocidad en términos de desarrollo e implementación de nuevos tipos de dispositivos.

 

 

 

El rápido crecimiento de dispositivos complejos y conectados

 

Muchos dispositivos conectados a lot son muy complejos e incorporan algoritmos avanzados de Inteligencia Artificial y otras características de última generación. Las cámaras de seguridad por vídeo basadas en IP son un buen ejemplo. En los últimos 15 años, han evolucionado de simples cámaras de vídeo analógicas a dispositivos IoT complejos y completamente digitalizados, impulsados ​​por machine learning e Inteligencia Artificial.

 

Como sucede con otro tipo de dispositivos, la evolución se ha visto impulsada por la necesidad de los clientes de mejorar las funcionalidades y la conectividad. Esta demanda también aceleró el proceso de desarrollo, de modo que los proveedores compiten para ofrecer las funcionalidades más avanzadas lo más rápido posible para, de este modo, ganar clientes y, también, cuota de mercado.

 

 

 

Equilibrar la velocidad de desarrollo atendiendo a la seguridad

 

La carrera por desarrollar dispositivos IoT con mayor capacidad de interconexión y más funcionalidades ha satisfecho las necesidades operativas de los clientes, pero, a menudo, se ha comprometido la seguridad.

 

Después de todo, aportar seguridad en todo el proceso de producción lleva tiempo, un aspecto valioso del que no siempre se dispone. Debido a las presiones, a las prisas, varios fabricantes de dispositivos han optado por la velocidad de desarrollo y de producción antes que por la seguridad.

 

 

 

Las consecuencias: un aumento global de los incidentes de ciberseguridad

 

La consecuencia de anteponer la velocidad a la seguridad ha sido un enorme aumento de los incidentes graves de ciberseguridad. Los ciberdelincuentes acceden a millones de dispositivos IoT con relativa facilidad, simplemente porque estos dispositivos no se desarrollaron teniendo en cuenta la seguridad.

 

A fines de 2016, por ejemplo, el malware Mirai Botnet se convirtió en noticia en todo el mundo; la seguridad en el mundo del IoT recibió un serio toque de atención. Fue un claro ejemplo de lo que puede salir mal cuando dispositivos de IoT inseguros, como monitores para bebés, enrutadores de red, dispositivos agrícolas, dispositivos médicos, electrodomésticos, DVR, cámaras o detectores de humo se conectan a Internet sin las disposiciones de seguridad adecuadas.

 

En el caso de Mirai, los ciberdelincuentes pudieron piratear millones de dispositivos de IoT inseguros, en este caso, cámaras. Luego utilizaron el poder informático combinado de los dispositivos para lanzar ataques DDoS (Distributed Denial of Service).

 

 

 

Y aun no hemos aprendido la lección

 

Desgraciadamente, han ocurrido muchos más incidentes cibernéticos con dispositivos IoT desde 2016, y continúan sucediendo todos los días. Los investigadores de F-Secure advirtieron en 2019 de que los ataques cibernéticos a los dispositivos IoT están creciendo a un ritmo sin precedentes. Detectaron "un aumento tres veces superior en el número de ataques a más de 2.900 millones de eventos".

 

Según en estudio, esta creciente amenaza se atribuyó, en parte, a “una falta básica de defensas en el firmware o arquitecturas obsoletas y, por otra parte, a una falta de mantenimiento de la seguridad de la información. A menudo, los departamentos de IT ni siquiera son conscientes de todos los dispositivos que tienen en sus redes"2.

 

 

 

La importancia fundamental de la producción Secure by Design

 

Una forma clave de prevenir ataques dañinos a los dispositivos de IoT es mejorar la defensa de estos dispositivos. Desgraciadamente, es extremadamente difícil incorporar seguridad efectiva después de que se haya producido y / o instalado el dispositivo IoT. La forma más eficaz de prevenir las infracciones es implementar la seguridad durante la producción del dispositivo, proceso conocido como producción Secure by Design.

 

Secure by Design consiste en incorporar la seguridad en cada etapa del proceso de producción, desde la fase conceptual hasta la fase de entrega final, como se describe a continuación:

 

 

 

·         En la fase conceptual se definen los requisitos de seguridad.

 

·         En la fase de diseño se desarrolla una arquitectura de seguridad para el diseño del producto.

 

·         En la fase de desarrollo se realiza la revisión y el escaneo del código del software.

 

·         En la fase de verificación se ejecuta la pen testing.

 

·         En la fase de entrega se brinda capacitación en seguridad y soporte técnico.

 

·         En la fase de emergencia se monitoriza la seguridad operativa y se pone en macha la respuesta de emergencia de seguridad.

 

 

Todas estas medidas de seguridad incorporadas al proceso de producción mejoran la resiliencia cibernética de una cámara de seguridad de vídeo y hacen innecesarias las costosas mejoras de seguridad cibernética.

 

 

 

Cómo hacer de Secure by Design una prioridad organizacional

 

Existen varios requisitos previos para los fabricantes que desean integrar los principios de Secure by Design en todos los aspectos de su proceso de producción. Primero, debe haber un compromiso a nivel organizacional para invertir en la seguridad de cada producto. Esto puede tener un impacto en los costes de producción, pero también mejorará drásticamente la seguridad y la credibilidad y, por lo tanto, el valor de los productos al brindar ciertas garantías de seguridad a los clientes.

 

Como requisito adicional, Secure by Design requiere que los fabricantes estén abiertos a las pen testing, pruebas de penetración por parte de terceros una vez que los dispositivos están diseñados, fabricados y operativos. Esto garantiza que los productos puedan resistir las amenazas de ciberseguridad nuevas y emergentes, así como las ya existentes.

 

En última instancia, los principios de Secure by Design requieren que los fabricantes se tomen realmente en serio el refuerzo de su ciberseguridad y la protección de sus clientes contra las violaciones de seguridad. Este es el caso de Hikvision, donde utilizamos los principios de Secure by Design para minimizar el riesgo de ataques de ciberseguridad dañinos en toda nuestra gama de productos.

 

 

 

[1] Fuente: https://statista.com - H.Tankovska, 26 de octubre de 2020

 

[2] Fuente: Forbes.com - 14 de septiembre de 2019

 

 

 

Contáctenos