¿Qué es IoT SAFE?
Las aplicaciones IoT implican dispositivos que recopilan, procesan y transmiten datos a los servidores de la empresa o a aplicaciones basadas en la nube. Para que las organizaciones protejan tanto sus dispositivos como a sus usuarios, existe una necesidad obvia de garantizar que los datos se transmitan de forma segura solo a/desde dispositivos IoT aprobados y autenticados.
Aquí es donde entra en juego IoT SAFE. Desarrollado por la GSMA (Global System for Mobile Communications) y la SIM Alliance, IoT SAFE es un estándar de seguridad interoperable para todo el sector. Proporciona un medio para identificar de forma exclusiva los dispositivos, para la autenticación mutua entre dispositivos y aplicaciones, y también regula el cifrado de datos para garantizar que los despliegues de IoT y M2M a gran escala puedan mantenerse seguros. Los elementos clave de IoT SAFE son:
Basado en SIM
Con IoT SAFE, la tarjeta SIM (o SIM integrada) se utiliza como una especie de «criptocaja fuerte» (o «Raíz de Confianza») donde se almacenan y gestionan las claves de seguridad.
Su SIM es idéntica en capacidad de seguridad a su tarjeta bancaria, son la misma pieza hecha en las mismas fábricas. Un pequeño programa informático (el applet IoT SAFE) se instala en la tarjeta SIM y gestiona una nueva interfaz de comunicación segura.
Seguridad sin intervención
El operador de la red puede instalar y configurar el applet IoT SAFE completamente en remoto en cuanto se pone en marcha el dispositivo. A continuación, el applet crea dos claves criptográficas: una privada, almacenada en la tarjeta SIM, y otra pública, que se envía al servidor del operador.
A continuación, el dispositivo habilitado para IoT SAFE puede establecer una conexión segura con la nube a través de una sesión TLS autenticada mutuamente. El cliente puede administrar sus propias políticas de gestión de claves. Puede sustituir las claves, revocarlas si parece que la seguridad se ha visto comprometida e incluso desconectar el dispositivo de la red cuando sea necesario. Todo ello sin necesidad de acceder físicamente al dispositivo.
¿Cuáles son los mayores riesgos del uso de IoT?
Una mayor superficie de ataque
A medida que una empresa escala sus proyectos de IoT, cada nueva conexión aumenta la superficie de ataque al incrementar el número de oportunidades para que los ciberdelincuentes descubran y exploten vulnerabilidades. Estas brechas pueden conducir a la suplantación de dispositivos o a ataques de ransomware. Existen una serie de buenas prácticas, como el cierre de puertos y conexiones cuando no son estrictamente necesarios para la aplicación, el direccionamiento IP privado, las APN privadas y las VPN. Sin embargo, IoT SAFE añade una capa adicional de protección al automatizar de forma segura el aprovisionamiento y la distribución de claves de seguridad a un grupo de proveedores estrictamente controlado.
Control de acceso
Lo ideal sería que los servicios y datos del IoT sólo estuvieran al alcance de usuarios autorizados. Tanto la red como los dispositivos individuales deben estar protegidos de forma que se pueda confiar en todos los dispositivos y personas que acceden a ella.
Exposición de datos
La transmisión de texto plano conlleva el riesgo de un ataque Man-in-the-Middle, por el que los datos son interceptados durante la transmisión. Los datos, tanto en reposo como en movimiento, deben cifrarse adecuadamente.
Vulnerabilidades de las aplicaciones
Los operadores necesitan la capacidad de aplicar parches de software para estar al tanto de las vulnerabilidades de software que se manifiestan después de la implantación. Sin aprovisionamiento y gestión remotos («over-the-air«), mantener los dispositivos actualizados supone un gran desafío.
Interacción con el usuario final
En los proyectos de IoT orientados al cliente, cuanto mayor sea la dependencia de la acción del usuario final para configurar los ajustes de seguridad, mayor será la probabilidad de que los dispositivos queden expuestos a amenazas de seguridad. Los riesgos pueden reducirse configurando esos ajustes a nivel de operador mediante gestión remota.
¿Por qué es importante IoT SAFE?
IoT SAFE desvincula la seguridad de las aplicaciones de dispositivos vulnerables de una manera extremadamente rentable utilizando la SIM que de todos modos ya necesita. IoT SAFE ofrece un modelo totalmente estandarizado para la seguridad del IoT, que fomenta la interoperabilidad entre fabricantes de dispositivos y proveedores de servicios. Esto significa que, a medida que evoluciona su estrategia de IoT, puede añadir nuevos dispositivos -e incluso cambiar de operador e infraestructura en la nube- sin tener que cambiar constantemente entre distintos sistemas de seguridad patentados.
También permite el aprovisionamiento y la gestión inalámbricos, por lo que es logísticamente posible mantener el control sobre la configuración de seguridad de un gran número de dispositivos sin necesidad de acceder físicamente a ellos.
Beneficios de la seguridad IoT
Un enfoque basado en las mejores prácticas para la seguridad IoT implica examinar de cerca sus aplicaciones específicas, la naturaleza de los datos procesados y transmitidos, junto con los riesgos de seguridad específicos a los que se enfrenta. A continuación, se trata de establecer controles adecuados (por ejemplo, autenticación de dispositivos, cifrado y controles de acceso) para hacer frente a esos riesgos.
Las ventajas de la seguridad de IoT son las siguientes:
Apoyando su
estrategia IoT
Una seguridad robusta garantiza la protección de la integridad de los datos, los dispositivos y los usuarios, maximizando la probabilidad de que los proyectos de IoT existentes cumplan sus objetivos, además de proporcionar una base sólida para ampliar esos proyectos en el futuro a través de mercados más amplios y nuevas funciones.
Maximizando
los ingresos
Las medidas de seguridad reducen el riesgo de que los servicios queden fuera de línea, con la consiguiente interrupción de los flujos de ingresos. En el caso de los proyectos de cara al cliente, garantiza la prestación de un servicio fiable, lo que contribuye a aumentar la fidelidad y el valor del cliente a largo plazo.
Cumplimiento
de la normativa
Si adopta las mejores prácticas del sector, podrá demostrar tanto a los organismos reguladores como a los clientes que está tomando medidas razonables para salvaguardar los datos de los clientes. Esto ayuda a evitar incumplir la soberanía de datos y otras normativas sobre privacidad.
Apoyo a nuevos
modelos de negocio
Desde la automatización avanzada en entornos industriales y de fabricación hasta nuevas iniciativas como la facturación instantánea y el pago por uso en aplicaciones orientadas al cliente, la seguridad adecuada proporciona una base que permite iniciativas de IoT cada vez más complejas (y rentables).
Descubra más
Wireless Logic permite a las organizaciones tomar las mejores decisiones posibles en materia de seguridad para aplicaciones IoT, en línea con las necesidades actuales y los objetivos futuros.
Para explorar sus alternativas, hable hoy con nosotros. Para ampliar sus conocimientos en torno a conceptos del IoT, nuestro Glosario IoT está lleno de definiciones y explicaciones.