La seguridad por diseño permite construir seguridad en cada etapa del proceso de producción, desde la fase conceptual hasta la fase final de entrega.
La carrera por desarrollar dispositivos IoT más completos y conectados ha satisfecho las necesidades operativas de los clientes, pero no ha estado libre de riesgos en términos de seguridad.
Después de todo, construir la seguridad en todos los aspectos del proceso de producción lleva tiempo y recursos preciosos que no siempre están disponibles. Debido a la presión de tiempo, varios fabricantes de dispositivos han optado por la velocidad de desarrollo y producción por encima de la seguridad.
Las consecuencias: un aumento global de incidentes de ciberseguridad
Las consecuencias de la velocidad sobre la seguridad han sido un enorme aumento de incidentes graves de ciberseguridad del IoT. Los ciberdelincuentes han podido acceder a millones de dispositivos IoT con relativa facilidad, simplemente porque estos dispositivos no fueron desarrollados ni producidos pensando en la seguridad.
En el caso de Mirai, los atacantes fueron capaces de hackear millones de dispositivos IoT inseguros, en este caso, cámaras. Luego utilizaron la potencia combinada de la computadora de los dispositivos para lanzar ataques selectivos DDoS (denegación distribuida de servicio) en Internet.
La importancia crítica de la producción con “Seguridad por diseño”
Una forma clave de prevenir ataques dañinos contra dispositivos IoT es mejorar las defensas de éstos. Desafortunadamente, es extremadamente difícil agregar seguridad efectiva después de que el dispositivo IoT ya ha sido producido y/o instalado. En cambio, la forma más eficaz de prevenir los riesgos es implementar la seguridad durante la producción de dispositivos, conocida como producción con Seguridad por diseño (“Secure-by-Design”).
Cómo hacer de la Seguridad por diseño una prioridad organizativa
Existen varios requisitos previos para los fabricantes que desean integrar los principios de la Seguridad por diseño en todos los aspectos de su proceso de producción. En primer lugar, debe haber un compromiso a nivel organizacional para invertir en la seguridad de cada producto. Esto puede tener un impacto en los costos de producción, pero también mejorará drásticamente la seguridad y la credibilidad y, por lo tanto, el valor de los productos al proporcionar ciertas garantías de seguridad a los clientes.
Como requisito adicional, la Seguridad por diseño requiere que los fabricantes estén abiertos a pruebas de penetración (pen testing) por parte de terceros una vez que los dispositivos están diseñados, fabricados y operativos. Esto garantiza que los productos sean capaces de bloquear amenazas de ciberseguridad nuevas y emergentes, así como las existentes.
En última instancia, los principios de la Seguridad por diseño requieren que los fabricantes sean realmente serios a la hora de reforzar su ciberseguridad y proteger a sus clientes contra las infracciones de seguridad.