A Internet das coisas (IoT) vem promovendo transformações grandiosas em termos de tecnologia e criando um mercado ainda mais competitivo. Hoje, o mercado de IoT representa bilhões de dólares e continua a crescer exponencialmente.

A IoT promove a inovação empresarial, porém tem o seu preço: o gerenciamento dos riscos de segurança. As novas ameaças e vulnerabilidades associadas aos dispositivos IoT irão desafiar todas as organizações a se preparar para entrar neste mercado crescente, competitivo e com grande potencial para novos negócios.

Alguns números recentes reforçam que a emergência dessa transformação, que não tem volta:

8,4 bilhões de “coisas” conectadas estão em uso em 2017[1];
73% dos executivos estão pesquisando ou iniciando projetos IoT[2];
US$ 964 Bi serão investidos em hardware IOT este ano. Outros US$ 725 bilhões virão do uso de IoT em aplicações de consumo1;
80% dos dispositivos IoT não são testados em busca por falhas de segurança[3];
90% das organizações não têm total confiança em suas estratégias de segurança de IoT[4].

Nesse cenário, o que as empresas podem fazer para reforçar suas estratégias de segurança? Como a sua empresa deve se preparar para esse avanço tecnológico acelerado e amplamente adotado?

Esteja preparado para a IoT

A IoT cria um campo totalmente novo para as empresas. Todos os públicos da sua empresa trazem dispositivos conectados à Internet para a rede corporativa através de conexões sem fio ou com fio. Qualquer dispositivo conectado – uma lousa eletrônica, cafeteiras, câmeras de segurança, alto-falantes Bluetooth – equipado com recursos inteligentes podem representar backdoors potenciais. Essas tecnologias criam desafios significativos para profissionais de segurança da informação.

Para se preparar, os profissionais de segurança devem realizar uma avaliação abrangente dos riscos, identificando todo dispositivo IoT no portfólio. Uma avaliação de risco de IoT deve auditar rede, aplicativos e protocolos de segurança, categorizar e listar o número de dispositivos dentro da rede, seu risco particular e a sensibilidade dos dados em cada dispositivo.

Em seguida, monte uma equipe capaz de conduzir testes de penetração e considere a adoção de uma ferramenta de avaliação de vulnerabilidades para verificar os dispositivos IoT conectados a sua rede para entender suas vulnerabilidades e o risco envolvido no uso de cada dispositivo.

Por fim, você precisará saber o que acontece quando um dispositivo IoT é comprometido, atacado ou usado como integrante de uma botnet. Você precisa se preparar para os cenários críticos e planejar as estratégias de mitigação – de preferência com uma abordagem de segurança em camadas. Você também pode optar por colocar certos dispositivos IoT em redes separadas para proteger seus dados e aplicativos.

Concluindo a avaliação de risco IoT, você terá uma compreensão muito melhor do cenário de segurança e dos desafios existentes.

Segurança no escopo

Os primeiros dispositivos IoT foram introduzidos de forma repentina, mas hoje há bilhões de dispositivos conectados. Infelizmente, a segurança é desconsiderada quando a demanda do consumidor por novos produtos acelera a oferta. No entanto, ao não incorporar envolver segurança no desenvolvimento de novos produtos, falhas potencialmente fatais podem passar nos projetos originais dessas tecnologias mais recentes.

Segurança precisa estar no escopo dos novos projetos de IoT. Quando os fabricantes criam os dispositivos IOT, eles precisam considerar os desafios e riscos envolvidos na conexão desses produtos, como malware, DDoS e até ataques de ransomware. Caso contrário, eles colocam a segurança dos seus clientes em risco.

Atualizações de segurança são de responsabilidade do fabricante

Em 2014, os dispositivos IoT tinham em média 25 vulnerabilidades[5] e esse número continuou a crescer. Desafios permanentes são criados quando esse cenário se integra ao número de vulnerabilidades para computadores, servidores e telefones celulares.

Muitos dispositivos IoT usam versões modificadas do Linux, trazendo dezenas de milhares de linhas de código para o dispositivo. O kernel do Linux tinha 85 vulnerabilidades de alta gravidade em 2016. Muitos fabricantes de dispositivos IoT lançaram produtos prontos sem proteger organizações e usuários domésticos. Para os profissionais e organizações de segurança, o próximo passo é educar os fabricantes da IoT para incorporar a segurança em seus projetos desde o início.

Gerencie Incidentes de Segurança

Você não pode controlar quando os incidentes de segurança podem ocorrer, mas como pode gerenciar com eficiência o processo de mitigação de riscos. Uma equipe de operações de segurança precisa avaliar quais tecnologias de detecção ou prevenção adotar, para ajudar a diminuir o número de incidentes de segurança. Um centro de operações de segurança (SOC) pode aprimorar as habilidades da sua organização, reduzindo drasticamente o tempo médio de detecção e resposta ao incidente.

A parceria com organizações especializadas em segurança pode fazer uma grande diferença durante as implantações de IoT. Elas têm conhecimento e experiência para conduzir as avaliações de risco, descobrir vulnerabilidades específicas do IoT, realizar testes de penetração em seus novos produtos conectados, garantindo segurança nos seus projetos futuros.

[1] 8.4 Billion Connected “Things” Will Be in Use in 2017
[2] 73% of Executives Are Researching & Launching IoT Projects In 2017
[3] 80% of IoT apps not tested for vulnerabilities
[4] The CEO’s Guide to Securing the Internet of Things
[5] Internet Of Things Contains Average Of 25 Vulnerabilities Per Device