Informe FTC de los Estados Unidos, alerta por inseguridad de IoT

El Internet de las Cosas ya está conmoviendo la vida cotidiana de millones de personas en todo el mundo a través de la adopción de los monitores de salud y fitness, dispositivos de seguridad para el hogar, automóviles y electrodomésticos conectados, entre otras aplicaciones.

Estos dispositivos brindan la posibilidad de mejorar la monitorización de la salud, brinda carreteras más seguras, y asegura un uso de energía en el hogar, más eficiente, entre otros usos posibles.

No obstante, el informe de la FTC de los Estados Unidos también señala que los dispositivos conectados plantean numerosos problemas de privacidad y seguridad que podrían quebrantar la confianza del consumidor.

El universo de la tecnología se está expandiendo rápidamente hacia la Internet de Todo, y actualmente hay decenas de millones de dispositivos conectados, en uso en todo el mundo, con ese número va a incrementar de manera significativa ya que las empresas de bienes de consumo, fabricantes de automóviles, proveedores de atención médica, y otras empresas siguen invirtiendo en los dispositivos conectados, de acuerdo con los datos citados en el informe de la FTC.

La inmadurez de este mercado en el sentido de seguridad, fue el principal motivo este informe e incluye recomendaciones para las empresas de desarrollo de los dispositivos de Internet de las Cosas:

  • construir la seguridad en los dispositivos desde el principio, y no como una idea de último momento en el proceso de diseño
  • capacitar a los empleados sobre la importancia de la seguridad y garantizar que la seguridad se gestiona a un nivel adecuado en la organización
  • asegurar que cuando los proveedores de servicios externos son contratados, que los proveedores son capaces de mantener la seguridad razonable, y proporcionan una supervisión razonable a sus clientes
  • cuando se identifica un riesgo de seguridad, deben considerar una estrategia de “defensa en profundidad” en la que múltiples capas de seguridad se pueden usar para defenderse de un riesgo particular
  • deben considerar medidas para mantener a los usuarios no autorizados, sin posibilidad de que accedan dispositivo de un consumidor, datos o información personal almacenados en la red
  • deben controlar los dispositivos conectados a través de su ciclo de vida esperado, y cuando sea posible, proporcionar parches de seguridad para cubrir los riesgos conocidos.

La FTC de los Estados Unidos también recomienda que las empresas consideren minimización de los datos y retener dicha información sólo para un período de tiempo determinado, y no de forma indefinida.

El informe tiene un enfoque flexible para la minimización de datos. En virtud de las recomendaciones, las empresas pueden optar por recopilar datos, los datos se limitan a las categorías utilizadas para prestar el servicio ofrecido por el dispositivo, los datos menos sensibles; u optar por quitar la identificación de los datos recogidos.

 

Por Yago Gómez Trenor – Analista de Seguridad de Vintegris