Adopcion IoT tiene aterradora: Lo que está sucediendo con la ciberseguridad en muchas empresas hoy me recuerda las películas de terror que son tan populares en esta época del año. Los espectadores ven claramente el peligro por delante. Pero aquellos que están involucrados en la acción no siempre toman las precauciones adecuadas para protegerse.
De hecho, como lo ilustra el recientemente publicado “Estudio de tendencias globales de PKI e IoT 2019”, a pesar del progreso incremental en algunas áreas de seguridad de infraestructura de clave pública (PKI), las empresas continúan perdiendo la marca en las mejores prácticas básicas.
PKI es una parte estratégica del núcleo central de TI, pero la escasez de habilidades y recursos en torno a la seguridad deja a las empresas vulnerables y sin preparación para el futuro. Y la expansión de Internet de las cosas, y los desafíos de ciberseguridad que presenta, solo exacerban este problema.
Adopcion IoT tiene aterradora
Existe una creciente conciencia sobre la importancia de la ciberseguridad
Nos asociamos con el Instituto Ponemon para crear este estudio. Se basa en la encuesta de la firma de investigación a más de 1,800 profesionales de seguridad de TI en 14 países y regiones globales. Revelamos los hallazgos este mes para que coincidan con el Mes Nacional de Concientización en Ciberseguridad.
El Mes Nacional de Conciencia de Ciberseguridad (NCSAM) es un esfuerzo de la Alianza Nacional de Seguridad Cibernética (NCSA), que lanzó la iniciativa en 2004 junto con el Departamento de Seguridad Nacional de los EE. UU. NCSAM es un esfuerzo conjunto público-privado para crear conciencia sobre la importancia de la ciberseguridad. El tema de este año es: TI propio. Asegúralo. Protegerlo.
Las principales compañías, incluidas ADP, American Express Corp., Bank of America, Comcast, Eli Lilly and Co., Facebook, Google, Marriott International, Mastercard, Raytheon, Uber, US Bank y Wells Fargo & Co., están en la NCSA tablero. Esta lista ayuda a ilustrar la importancia que algunas de las compañías más grandes e importantes del mundo ahora otorgan a la ciberseguridad.
Pero aún queda trabajo por hacer, especialmente cuando se trata de la seguridad de IoT
Sin embargo, como indica nuestra investigación, muchas empresas no dan prioridad a las medidas de seguridad de IoT que contrarrestan las amenazas cibernéticas que más temen. Y eso los hace vulnerables a los ataques.
Los encuestados consideran que las principales amenazas de IoT están alterando la función de un dispositivo de IoT (68%) y el control remoto del dispositivo por parte de un usuario no autorizado (54%). Pero, curiosamente, las prácticas de seguridad como la entrega de parches de IoT y actualizaciones de dispositivos para evitar tales alteraciones ocuparon el último lugar en su lista de las cinco principales capacidades de seguridad de IoT.
Ese es un problema real, especialmente teniendo en cuenta que la brecha de seguridad cibernética se está ampliando y profundizando a medida que aumenta la cantidad de dispositivos IoT. Las previsiones sugieren que más de 30 mil millones de dispositivos IoT estarán en servicio para 2020. Eso representa un aumento de los 27 mil millones de dispositivos IoT estimados en la actualidad.
Nuestra investigación sugiere que aproximadamente el 42% de los dispositivos IoT en uso dependerán principalmente de certificados digitales e identificación y autenticación en los próximos dos años. Pero muchos menos dispositivos y plataformas de IoT aprovechan el cifrado. Solo el 28% de los dispositivos IoT emplean cifrado, y solo una cuarta parte de los repositorios y plataformas de datos IoT usan cifrado.
Hay algunas buenas noticias, pero las mejores prácticas de PKI no están donde deben estar
Por el lado positivo, IoT es la tendencia de más rápido crecimiento que impulsa la implementación de aplicaciones PKI con un crecimiento del 20% en los últimos cinco años. Además, las organizaciones están ampliando el alcance de sus PKI.
Nuestra investigación también sugiere que las empresas son más rigurosas en lo que respecta a la seguridad de PKI en algunas áreas. Menos están usando solo una contraseña para proteger el acceso administrativo de la autoridad de certificación (CA) (una caída del 6% desde el nivel de 2018), y más están usando módulos de seguridad de hardware (HSM) para administrar las claves privadas de CA (un aumento del 3% con respecto a 2018).
Aún así, muchas organizaciones están perdiendo la marca cuando se trata de las mejores prácticas relacionadas con las PKI.
Casi un tercio (30%) de las organizaciones encuestadas por Ponemon admitieron que no hacen ningún tipo de revocación de certificados, y un enorme 68% dijo que lucha por establecer una propiedad clara de PKI a pesar de la dependencia significativa de este. Estas respuestas, y el hecho de que su tendencia de 5 años muestra poco progreso, dice mucho sobre los desafíos operativos de PKI en el mundo real.
La implementación de las mejores prácticas puede cambiar eso, salvaguardar a las empresas y los clientes.
La investigación de Ponemon también muestra que las CA corporativas internas son la opción más popular para la implementación de PKI. La mayor parte (80%) de las organizaciones de servicios financieros utilizan CA corporativas internas. Este enfoque es utilizado por el 63% del grupo de encuesta general, un número que ha aumentado un 19% en los últimos cinco años.
Pero a veces, la subcontratación puede ayudar. Esta encuesta reveló indicios de que las empresas que aprovechan servicios gestionados alojados externos acreditados pueden cosechar los beneficios de mejores mejores prácticas cuando se trata de ciberseguridad. Si mantiene PKI internamente, utiliza servicios externos o una combinación de ambos, nCipher y su empresa matriz, Entrust Datacard, pueden ayudarlo. Módulos de seguridad de hardware nCipher nShield.
Las empresas que se vuelven vulnerables a los ataques cibernéticos al no priorizar la seguridad de PKI
El Estudio de Tendencias Globales de PKI e IoT de 2019, realizado por la firma de investigación Ponemon Institute y patrocinado por nCipher Security, se basa en los comentarios de más de 1,800 profesionales de seguridad de TI en 14 países / regiones.
El estudio encontró que IoT es la tendencia de más rápido crecimiento que impulsa la implementación de aplicaciones de infraestructura de clave pública (PKI), con un crecimiento del 20% en los últimos cinco años.
Los encuestados mencionaron preocupaciones sobre varias amenazas de seguridad de IoT, incluida la alteración de la función de los dispositivos de IoT a través de malware u otros ataques (68%) y el control remoto de un dispositivo por parte de un usuario no autorizado (54%). Sin embargo, los encuestados calificaron la entrega de parches y actualizaciones a los dispositivos IoT, la capacidad que protege contra esa amenaza principal, por último en una lista de las cinco capacidades de seguridad IoT más importantes.
El estudio también encontró que en los próximos dos años un promedio del 42% de los dispositivos IoT dependerá principalmente de certificados digitales para identificación y autenticación. Pero el cifrado para dispositivos IoT, y para plataformas IoT y repositorios de datos IoT, es de solo 28% y 25% respectivamente.
"La escala de la vulnerabilidad de IoT es asombrosa: IDC pronosticó recientemente que habrá 20,6B de dispositivos IoT conectados para 2025, generando 79,4 zettabytes de datos", dijo John Grimm, director senior de estrategia y desarrollo empresarial de nCipher Security.
“No tiene sentido recopilar y analizar datos generados por IoT y tomar decisiones comerciales basadas en ellos, si no podemos confiar en la seguridad de los dispositivos o sus datos. Crear confianza comienza con priorizar las prácticas de seguridad que contrarrestan las principales amenazas de IoT y garantizar la autenticidad e integridad en todo el ecosistema de IoT ".
PKI desempeña un papel estratégico, pero las organizaciones se están dejando vulnerables y sin preparación
PKI es el núcleo de la infraestructura de TI para muchas organizaciones, lo que permite la seguridad para iniciativas digitales críticas como la nube, la implementación de dispositivos móviles y IoT.
La mayoría de los encuestados usan PKI ampliamente en sus organizaciones, para certificados SSL / TLS (79%), redes privadas y VPN (69%), y aplicaciones y servicios públicos basados en la nube (55%). Sin embargo, más de la mitad (56%) cree que PKI es incapaz de admitir nuevas aplicaciones.
Además, muchos encuestados ven importantes barreras técnicas y organizativas para el uso de PKI, incluida la incapacidad para cambiar las aplicaciones heredadas (46%), habilidades insuficientes (45%) y recursos (38%).
Las mejores prácticas de seguridad de PKI de empresa son mixtas
Casi un tercio (30%) de las organizaciones, una participación especialmente discordante teniendo en cuenta las implicaciones, no están utilizando ninguna técnica de revocación de certificados. Más de dos tercios (68%) citan "sin propiedad clara" como su principal desafío de PKI.
Pero, algunas empresas están aplicando más rigor a la seguridad de PKI en ciertas áreas. La proporción de encuestados que usan "solo contraseña" para los administradores de la Autoridad de Certificación ha caído un 6% de 2018 a un 24% este año. Y el 42% de los encuestados dijeron que están utilizando módulos de seguridad de hardware (HSM) para administrar las claves privadas.
“El uso de PKI está evolucionando a medida que las organizaciones abordan la transformación digital en sus empresas. Además de IoT, más del 40% de nuestros encuestados también mencionaron iniciativas en la nube y móviles como impulsoras del uso de PKI ", dijo el Dr. Larry Ponemon, presidente y fundador del Instituto Ponemon.
“Claramente, el rápido crecimiento de IoT está teniendo un gran impacto en el uso de PKI, ya que las organizaciones se dan cuenta de que PKI proporciona tecnología de autenticación central para dispositivos conectados. Para que las organizaciones aprovechen al máximo sus iniciativas digitales, deben continuar mejorando la madurez de seguridad de sus PKI ”.
