8 pasos para hacer sistemas más seguros

Hoy estamos viendo el auge de la Internet de las cosas o IoT, donde literalmente miles de millones de dispositivos están cada vez más conectados a Internet y compartiendo la información y los datos que recopilan. Estos podrían ser dispositivos simples como un termostato o bombilla o dispositivos más complejos como cámaras de CCTV y los llamados Smart Bins.

Esta interconexión y capacidad de compartir información puede aportar un nivel de inteligencia y eficiencia que no se podían haber imaginado en el pasado. Hoy en día, los edificios pueden optimizar su rendimiento para garantizar que cumplen no solo los requisitos de los habitantes en términos de comodidad y seguridad, sino los requisitos legales o ambientales obligatorios. Y ya no es necesario que el ayuntamiento envíe camiones todos los días o varias veces al día para vaciar los contenedores de basura porque los contenedores pueden contener más basura (o reciclar) gracias a un compactador integrado y cuando se está llenando, se pone en contacto con el consejo local para informarle de que necesita vaciarse. Estos son dos ejemplos sencillos de cómo la conectividad y la inteligencia están ayudando a mejorar el rendimiento y la eficiencia.

Sin embargo, hay un inconveniente en este creciente nivel de conectividad y esto se relaciona con la seguridad. Con la explosión de dispositivos que ahora se están interconectando junto con la sensibilidad de muchos de estos dispositivos, es necesario garantizar que estos dispositivos se conecten con un alto grado de seguridad.

Como un ejemplo de lo que podría salir mal cuando los malos son capaces de tomar ventaja de las hazañas en un entorno IoT, no busque más allá de la película Die Hard 4.0 protagonizada por nada menos que Bruce Willis. Aunque algo anticuada hoy en día, la película ilustra lo que podría suceder si los atacantes pudieran tomar el control de los edificios y la infraestructura crítica, como los sistemas de control de tráfico.

Si bien esta película puede parecer fantasiosa en su descripción de lo que los hackers capaces podrían lograr potencialmente, es importante entender que la seguridad comprende una serie de contramedidas para reducir o mitigar la probabilidad de un ataque y la gravedad del ataque. Y si bien puede parecer de sentido común, hay muchas tareas comunes o rutinarias para mejorar la seguridad que aún no se están implementando. Echemos un vistazo a algunos de estos.

1. Cambiar los nombres de usuario y contraseñas por defecto. La mayoría, si no todos los dispositivos, tienen nombres de usuario y contraseñas predeterminados que pueden ser encontrados fácilmente por un niño usando un motor de búsqueda. Las contraseñas predeterminadas deben cambiarse inmediatamente y aún mejor es también cambiar, eliminar o deshabilitar el nombre de usuario predeterminado.
2. No comparta contraseñas. Cada usuario de un sistema debe tener su propio nombre de usuario y contraseña. Esto asegura que cuando ese usuario deja la organización, su cuenta puede simplemente ser desactivada o eliminada y no hay necesidad de cambiar los detalles de la cuenta compartida para cada sistema al que el usuario tuvo acceso (lo que en realidad no sucede).
3. Utilice una autenticación fuerte. El uso de contraseñas fuertes que tienen una longitud razonable con una combinación de letras, números y caracteres especiales y no incluyen palabras de diccionario asegura que las contraseñas no se pueden comprometer fácilmente. Mejor aún es utilizar certificados digitales con las claves que se generan dentro de un token o dispositivo que no solo ofrece una autenticación fuerte, sino que también proporciona no repudiación.
4. Utilice la autenticación centralizada. El uso de un sistema de autenticación centralizado como Active Directory, RADIUS o LDAP simplifica el proceso de gestión de la información del usuario, ya que hay un solo sistema que debe administrarse en lugar de varios sistemas.
5. Restringir el acceso. El acceso a los sistemas debe limitarse al nivel mínimo requerido para que un usuario realice las tareas que necesita realizar. Además, los cortafuegos deben utilizarse para separar y aislar los sistemas de modo que sea menos probable que un problema o un ataque a un sistema afecte a otros sistemas.
6. Integrar redundancia. La redundancia debe integrarse para garantizar que el sistema siga funcionando en caso de fallo o ataque. En muchos casos, el costo de la pérdida de negocio es mucho mayor que el costo adicional de la redundancia.
7. No se olvide de la seguridad física. La seguridad se trata de capas, y una de estas capas es el acceso físico. Si un atacante puede obtener acceso físico a un sistema, su tarea se hará más simple, así que asegúrese de que el acceso físico solo está disponible para aquellos que lo necesitan.
8. Mantener copias de seguridad. De vez en cuando, las cosas van a salir mal. Y cuando esto sucede, es importante que tenga una copia de seguridad que esté fuera de línea y almacenada en una ubicación física diferente.

Si bien estos pasos pueden parecer simples y de sentido común, hay muchos sistemas de IoT hoy en día donde el nivel de seguridad en uso deja mucho que desear. Hay muchas cosas adicionales que se pueden implementar, pero asegurar que cada uno de las recomendaciones anteriores se lleve a cabo será un gran paso hacia la mejora de la seguridad de los sistemas que se implementan hoy en día.

También te puede interesar…

La tecnología aumenta debido al COVID-19

La pandemia COVID-19 ha puesto en exposición otra dependencia tecnológica de un sistema de salud que...

Una solución integrada para la gestión de dispositivos de punto final a escala

Una solución para la gestión de terminales a gran escala de Allied Telesis y Forescout