Llamado a automatizar e institucionalizar la tarea del responsable en seguridad.
La velocidad con que las empresas avanzan en conectar todas sus máquinas a la web y entre sí preocupa a quienes advierten la vulnerabilidad que eso implica.
En julio de este año 2018, una firma de seguridad descubrió que un grupo de cíber criminales había robado la información de un casino hackeando uno de sus acuarios. El termostato de ese acuario, conectado a Internet, tenía un nivel bajo de seguridad. Los hackers aprovecharon esa vulnerabilidad para hacer pie en la red del casino. Una vez allí, pudieron acceder a la base de datos que se llevaron, otra vez usando ese termostato.
Internet de las cosas (IoT) va creciendo.
Las empresas la están integrando en todas las áreas de la operación. La duda es si en el apuro por adoptar la transformación digital no se estarán olvidando de consultar con el responsable de seguridad informática, o CISO, para incorporar otra sigla anglosajona.
Como IoT conecta el mundo físico con el mundo cíber, la huella digital de las empresas se expande exponencialmente ofreciendo cada vez más vulnerabilidades a los atacantes listos para aprovecharlas. Por su mismo diseño, los dispositivos IoT tienen poca memoria. Por la exigencia de movilidad, de duración de batería y de economía de precios, los sensores terminan siendo delgados pero indefensos. Además, el software IoT no permite parches automáticos, lo que va en contra de uno de los principales preceptos de la cíberseguridad: emparchar inmediatamente. Como si eso fuera poco, los dispositivos suelen venir con contraseñas previamente cargadas que no se pueden cambiar.
Otra vulnerabilidad.
Todo esto, sumado a la multitud de dispositivos de IoT que corren una enorme cantidad de plataformas de software, complican la tarea del CISO y deberían preocupar al CEO. Un ataque realizado a través de IoT podría ser catastrófico. Muchas grandes organizaciones hacen controles de seguridad regularmente pero la escala del peligro que se acerca requiere dos medidas adicionales: automatizar e institucionalizar.
La primera asegura controles rutinarios y rápidos en los miles de diminutos sensores IoT. La segunda ayuda al CISO a desarrollar herramientas para hackeos cada vez más sofisticados.
Automatización.
La seguridad automática tiene varias formas. Las plataformas automatizadas controlan los VPN y detectan intromisiones en curso para detenerlas. Con inteligencia artificial, las plataformas automatizadas pueden detectar actividad anormal. Además, la autenticación verifica cualquier dispositivo conectado a la red en un nivel más sofisticado que el de usuario y contraseña. Usa un certificado digital que impide que un termostato hable con un hacker.
Institucionalización.
La automatización no alcanza. Con IoT habría que hacer el mismo due diligence que se le hace a cualquier infraestructura de TI. Para asegurarse de que los avances tecnológicos no introduzcan fallas de seguridad, los CISO deberían participar en la compra, diseño o implementación de todas las transformaciones tecnológicas, inclusive en IoT. Esto exige un cambio paradigmático en el rol del responsable de seguridad informática; no se le debería aislar en un silo dentro la organización; habría que involucrarlo en todos los aspectos de una institución, desde la capacitación de los empleados hasta la selección de vendedores.