Sin políticas y un inventario visible de la tecnología de IoT entrante, las organizaciones ponen su red y sus datos en riesgo de acceso no autorizado a dispositivos intrínsecamente inseguros.
Por Mary K. Pratt
Los líderes empresariales implementan millones de dispositivos cada año para construir sus implementaciones de IoT, pero no son los únicos que se conectan a las redes corporativas. Los empleados también implementan una asombrosa cantidad de dispositivos inteligentes en el lugar de trabajo, muchos de los cuales no están autorizados para su uso. Esta tendencia, conocida como IoT en las sombras o shadow IoT, pone en riesgo a las organizaciones.
IoT en las sombras, al igual que TI en las sombras (shadow IT), crea un riesgo de seguridad porque no hay visibilidad de los dispositivos por parte de los departamentos de TI y seguridad de TI, y lo que no se puede ver no se puede monitorear ni proteger.
«Representa una seria amenaza para las organizaciones, ya que proporciona un vector a través del cual el tráfico malicioso puede pasar fácilmente sin ser detectado», dijo Michela Menting, directora de investigación de seguridad digital de la firma de asesoría de mercado tecnológico ABI Research.
El uso de tecnología no autorizada no es nada nuevo para los ejecutivos de TI y seguridad, que han competido durante décadas con las TI en las sombras. Los expertos definen TI en la sombra como la implementación y el uso de hardware y software que no ha sido autorizado o aprobado por el departamento de tecnología, ni examinado por el equipo de seguridad.
IoT en las sombras amplía el desafío al que se enfrentan los líderes de TI y seguridad. Deben equilibrar el apoyo a la tecnología que facilita el trabajo de los trabajadores y la protección contra las amenazas a la ciberseguridad.
«A menudo, es bastante fácil para las personas agregar dispositivos conectados a internet o redes de dispositivos a las redes corporativas sin el conocimiento o la aprobación de TI. Por lo general, los usuarios agregan estos dispositivos para su conveniencia personal o para ayudarlos a hacer su trabajo, sin comprender que están potencialmente agregando riesgo al entorno empresarial. La gran mayoría de estos dispositivos no son seguros por diseño», dijo Andrew Howard, CEO de Kudelski Security, una compañía global de ciberseguridad.
En el informe de la firma de seguridad y automatización de TI Infoblox What is Lurking on Your Network: Exposing the threat of shadow devices, los investigadores encontraron que los tipos más comunes de dispositivos de IoT en las sombras son rastreadores de actividad física; asistentes digitales, como Alexa de Amazon; televisores inteligentes; dispositivos de cocina inteligentes, como microondas conectados; y consolas de juegos, como Xbox y PlayStation.
Otros dispositivos de IoT en la sombra podrían incluir impresoras inalámbricas, termostatos inalámbricos y cámaras de vigilancia, que el departamento de instalaciones o los trabajadores pueden instalar fácilmente sin profesionales de TI o de seguridad.
Algunas organizaciones también encuentran que los empleados conectan altavoces inteligentes, luces conectadas y hardware Raspberry Pi. La Raspberry Pi es una pequeña computadora de placa única que los propietarios pueden configurar para realizar cualquier cantidad de tareas, dijo Anthony James, vicepresidente de marketing de productos de Infoblox.
«Se reduce más a los artículos personales que la gente está conectando, dispositivos que no requieren mucha experiencia técnica», agregó James. «Todas esas cosas que tienen una dirección IP y se han convertido en un gran punto ciego para muchas organizaciones».