La Agencia Europea para la Ciberseguridad (ENISA) ha publicado unas nuevas directrices para asegurar el Internet of Things (IoT) y conseguir así que toda la cadena de suministro del IoT (hardware, software y servicios) sea segura. El documento se centra en los procesos reales de la cadena de suministros utilizada para el desarrollo de productos IoT y definir directrices de seguridad para toda la vida útil del producto: desde los requisitos de diseño, hasta la entrega para su uso final y mantenimiento, así como su eliminación. El estudio tiene como objetivo ayudar a los fabricantes, desarrolladores e integradores de productos y soluciones para la toma de las mejores decisiones de seguridad cuando se construyen, desplieguen o evalúan soluciones y productos IoT.
La naturaleza heterogénea del ecosistema IoT y su uso crítico hacen de la seguridad un aspecto esencial. Aunque la mayoría de los proveedores de hardware y software para el IoT consideran y aplican medidas de seguridad durante el diseño y el desarrollo de sus productos y servicios, las repercusiones e implicaciones en materia de seguridad abarcan necesariamente toda la cadena de suministros en las que se producen estas soluciones.
Si bien el IoT se está utilizando como una tecnología habilitadora clave para asegurar las cadena de suministros de varias industrias (por ejemplo, mediante el seguimiento de los activos, las materias primas, los suministros, etc.), debe garantizarse la seguridad de la propia cadena de suministro del IoT. La cadena de suministros del IoT se enfrenta actualmente a una amplia gama de amenazas, desde las físicas hasta las relacionadas con la seguridad cibernética. Las organizaciones se están volviendo más dependientes que nunca de terceros, y es muy difícil poder controlar las medidas de seguridad de los diferentes socios de la cadena de suministro del IoT, convirtiéndose la cadena en sí misma en uno de los eslabones débiles de la ciberseguridad. Además, hoy en días, las organizaciones tienen menos visibilidad y comprensión de cómo se desarrolla, integra y despliega la tecnología que adquieren que nunca antes. Por lo que es fundamental establecer una cadena de suministros segura en toda el ecosistema IoT, desde el diseño conceptual inicial hasta la entrega al usuario final y el mantenimiento o incluso la reutilización.
“La seguridad de la cadena de suministros de productos y servicios TICs debería ser un requisito previo para su posterior adopción, en particular para la infraestructura y los servicios críticos. Sólo entonces podremos cosechar los beneficios asociados a su despliegue generalizado, como sucede con el IoT”, explica el director ejecutivo de la Agencia Europea de Ciberseguridad, Juhan Lepassaar.
En el contexto de la elaboración de estas “Guidelines for Securing the IoT – Securing Supply Chain for IoT”, ENISA ha realizado un estudio que identifica la la existencia de componentes y proveedores de terceros no fiables y la gestión de la vulnerabilidad de los componentes de terceros como las dos principales amenazas a la cadena de suministro del IoT. En la publicación se analizan las diferentes etapas del proceso de desarrollo, se examinan las consideraciones de seguridad más importantes, se identifican las buenas prácticas que deben tenerse en cuenta en cada etapa y se ofrecen a los lectores recursos adicionales de otras iniciativas, normas y directrices.
Como en la mayoría de los casos se utilizan productos preparados previamente para construir una solución de IoT, introducir el concepto de seguridad por diseño y seguridad por defecto es un componente fundamental para proteger esta tecnología emergente. La Agencia ha trabajado con expertos en IoT para crear pautas de seguridad específicas para toda la vida útil de los dispositivos IoT. Estas pautas para ayudar a abordar la complejidad de IoT se enfocan en reunir a los actores clave en la cadena de suministro para adoptar un enfoque integral de seguridad, aprovechar los estándares existentes e implementar la seguridad por principios de diseño.
Puede consultar el documento completo en el siguiente enlace:
https://www.enisa.europa.eu/publications/guidelines-for-securing-the-internet-of-things
Fuente de imágenes: ENISA