Russell Doty, Technology Product Manager de Red Hat, reflexiona sobre la seguridad en IT.
En la industria, el Internet de las Cosas (IoT) está revolucionando la forma en la que sensores y controladores se conectan y construyen, consiguiendo dispositivos cada vez más efectivos e inteligentes. Mediante el uso de una interfaz de red en lugar de conexiones por cable se simplifican enormemente la instalación y expansión de los sistemas.
Junto a estas nuevas capacidades y características vienen también problemas de seguridad. Consideremos un hecho fundamental: cualquier cosa que pueda conectarse a una red es una computadora. Las computadoras son dispositivos de características flexibles que pueden ser modificados -para bien o para mal- y cualquier conexión a la red es un punto de entrada. Si la seguridad la red tiene cobertura perimetral, cada dispositivo IoT que se conecte a la misma estará abriendo un hueco de seguridad.
Primero las buenas noticias: El Internet de las Cosas puede ser seguro. La tecnología existente permite construir un sistema IoT de gran alcance, robusto, seguro y eficaz. Firmas digitales de software, almacenamiento y comunicaciones cifradas, autentificación sólida y prácticas seguras de desarrollo de software son herramientas al alcance de todos.
A continuación, las malas noticias: muchas implementaciones del Internet de las cosas son inseguras. Con la presión de lograr un corto proceso de comercialización, una amplia gama de características y mayor usabilidad, la seguridad puede convertirse en un factor secundario.
Hay varios aspectos a tener en cuenta para construir un IoT seguro:
- Hacer de la seguridad un requisito principal y un criterio en la decisión de compra. Es necesario que los usuarios no compren sistemas o componentes a menos que incluyan una seguridad sólida. Si los compradores hacen de la seguridad un requisito esencial a la hora de elegir, los proveedores de IoT ofrecerán productos más seguros.
- La IoT industrial debe tener en cuenta la vida útil de los sistemas. Muchos de estos estarán en uso durante 10, 20 o 30 años. Esta longeva vida útil tiene varias implicaciones:
- Debe ser posible actualizar el software en todos los dispositivos. El vendedor debe proporcionar un mecanismo para actualizar de forma segura el software al tiempo que evita modificaciones no autorizadas. Los cambios se deben hacer en la red, ya que para los dispositivos IoT Industrial no es fácil la actualización física. Puede haber cientos o miles de dispositivos, muchos instalados en lugares de difícil acceso.
- El proveedor debe comprometerse a facilitar las actualizaciones. Un dispositivo de larga duración tendrá varias versiones de seguridad, correcciones de errores y nuevas características. Con los dispositivos IoT de consumo que normalmente tienen una vida útil más corta, puede ser más efectivo sustituir un dispositivo por otro nuevo en lugar de actualizar el software en los dispositivos existentes. Para los dispositivos IoT industriales es vital seleccionar proveedores que permitan mantener y actualizar el software en sus productos.
- El proveedor debe ser compatible con los estándares del sector, aspecto especialmente importante para las interfaces de red. Los dispositivos IoT deben soportar estos interfaces, además de los protocolos de red. Esto supone un gran reto debido a la rapidez con que la tecnología avanza. Siempre que sea posible, es preferible usar estándares abiertos de mercado como Ethernet, WiFi o Bluetooth.
- Es necesario prestar atención a la identificación, registro y configuración del dispositivo. La mayor usabilidad se produce cuando un dispositivo IoT se puede encender y configurar automáticamente en la red y en el sistema IoT. Esto puede ser apropiado para los dispositivos IoT de consumo, pero conlleva un riesgo para la IoT Industrial. Es necesario poder identificar un nuevo dispositivo, autentificarlo, validarlo y registrarlo de forma segura en el entorno IoT. Evitando de esta manera, intrusiones de dispositivos desconocidos en la red que afecten a todo el entorno.
- El entorno IoT Industrial debe ser controlado continuamente. Es importante supervisar el funcionamiento del sistema para obtener los resultados correctos y asegurar la integridad de la red.
- La gestión IoT es un proceso activo. Los dispositivos y capacidades se mueven, actualizan y eliminan de manera cíclica. A medida que se exploran las capacidades de un sistema IoT, se descubren nuevas formas de interactuar con el sistema y con los datos producidos. Hay que estar siempre atento a la evolución del sistema, ya que es un proceso inevitable.
El futuro del Internet de las Cosas industrial está bajo nuestro control. Las decisiones de compra que se realicen ahora determinarán la futura flexibilidad, solidez y seguridad del producto. ¡Elige sabiamente!