Internet de las Cosas (IoT) y los dispositivos personales suponen un enorme riesgo para la seguridad de las empresas
Tras años de especulación sobre el riesgo que la IoT y los dispositivos personales suponen para la seguridad de las empresas, la investigación ha revelado que la amenaza es «inmensa» y probablemente mayor de lo que la mayoría de las empresas cree.
El riesgo de seguridad cibernética que suponen para las empresas los dispositivos personales y los dispositivos habilitados para Internet que componen el Internet de las Cosas (IoT) es significativo, según un estudio.
Las redes empresariales de todo el Reino Unido, Alemania y EE.UU. tienen miles de dispositivos personales no gestionados y dispositivos de IoT que se conectan a sus redes, según un estudio de la empresa de control de redes Infoblox.
El informe de investigación sobre los dispositivos de TI alternativos que acechan en las redes empresariales advierte a las organizaciones que no deben pasar por alto los ordenadores portátiles, los lectores electrónicos y los teléfonos móviles propiedad de los empleados, así como los dispositivos de IoT como los asistentes digitales y los electrodomésticos de cocina inteligentes que se conectan a sus redes.
El estudio muestra que en más de un tercio de las empresas encuestadas, más de 5.000 dispositivos personales se conectan a la red cada día.
Los empleados en los EE.UU. y el Reino Unido admitieron conectarse a la red empresarial por varias razones, incluyendo el acceso a los medios sociales (39%), así como para descargar aplicaciones (24%), juegos (13%) y películas (7%).
«Estas prácticas abren a las organizaciones a los ataques de ingeniería social, phishing e inyección de malware», advierte el informe de investigación.
Por el contrario, sólo el 16% de los directores de TI en los Emiratos Árabes Unidos informaron tener más de 500 dispositivos personales conectados a sus redes.
Un tercio de las empresas del Reino Unido, Alemania y EE.UU. tienen más de 1.000 dispositivos de IoT en la sombra conectados a su red en un día normal y el 12% de las organizaciones británicas declaran tener más de 10.000.
Los dispositivos más comunes que se encuentran en las redes empresariales incluyen rastreadores de “fitness” (49%), asistentes digitales como Amazon Alexa (47%), televisores inteligentes (46%), dispositivos inteligentes de cocina (33%) y consolas de juegos (30%).
Estos dispositivos son fácilmente descubiertos por los ciberdelincuentes en línea a través de los motores de búsqueda de dispositivos conectados a Internet, como Shodan, que proporciona incluso a los delincuentes de bajo nivel con un medio fácil de identificar un gran número de dispositivos en las redes de las empresas que pueden ser objeto de vulnerabilidades.
En marzo de 2018, estos escaneos revelaron que había 5,966 cámaras identificables desplegadas en el Reino Unido, 2,346 televisores inteligentes identificables desplegados en Alemania y 1,571 asistentes digitales identificables de Google Home desplegados en los Estados Unidos.
Para gestionar la amenaza de seguridad que suponen los dispositivos personales ficticios y los dispositivos de IoT en la red, el 82% de las organizaciones han introducido una política de seguridad para los dispositivos conectados. Sin embargo, los directores de TI parecen equivocados en su estimación de la eficacia de estas políticas, según el informe de investigación.
Concientización sobre la política de seguridad
Mientras que el 88% de los líderes de TI que respondieron a la encuesta creen que su política de seguridad es efectiva o muy efectiva, casi un cuarto de los empleados de los EE.UU. y el Reino Unido no sabían si su organización tenía una política de seguridad.
De aquellos que informaron que su organización tenía una política de seguridad para los dispositivos conectados, el 20% de los encuestados del Reino Unido afirmaron que rara vez, o nunca la seguían. Sólo una quinta parte de los encuestados en los EE.UU. y el Reino Unido informaron que lo siguieron al pie de la letra.
Si bien las políticas de seguridad y la conciencia de seguridad tienen su lugar, también tienen sus limitaciones, según Chris Ulliott, de RBS CISO.
Comentando específicamente sobre los programas de formación de concientización sobre la seguridad cibernética, dijo a los asistentes a CrestCon 2018 en Londres que los profesionales de la seguridad necesitan darse cuenta de las limitaciones de tales programas.
Ulliott se encuentra entre los profesionales de la seguridad de la información que creen que los fabricantes de dispositivos y los proveedores de servicios necesitan poner más esfuerzo en hacer que las cosas sean seguras por diseño para que sean seguras de usar sin miedo a riesgos de seguridad.
«Es necesario hacer más para comprender el comportamiento de los usuarios y diseñar productos y servicios en consecuencia», dijo.
Limitaciones de los consejos de seguridad cibernética
Para ilustrar las limitaciones del asesoramiento de seguridad cibernética, Ulliot citó una revisión de 2012 en los Annals of Internal Medicine que muestra que las personas ignoran rutinariamente el asesoramiento médico, a pesar de las posibles consecuencias sobre su salud.
Según la revisión, los estudios han demostrado sistemáticamente que entre el 20% y el 30% de las recetas de medicamentos nunca se surten, y aproximadamente el 50% de los medicamentos para enfermedades crónicas no se toman como se prescriben. Se estima que esta falta de adherencia causa aproximadamente 125,000 muertes al año, según la revisión.
«Si la gente está dispuesta a ignorar los consejos médicos a costa de sus propias vidas, ¿qué esperanza tenemos de que sigan los consejos de seguridad cibernética?
Gary Cox, director de tecnología para Europa Occidental de Infoblox, dijo que los bajos niveles de seguridad de muchos dispositivos de consumo y de IoT significan que existe una amenaza «muy real» por parte de aquellos que operan bajo el radar de las políticas de seguridad tradicionales de las organizaciones.
«Estos dispositivos presentan un punto de entrada débil para los ciberdelincuentes en la red, y un grave problema de seguridad.
En Altcomp somos Especialistas, Consultores e Integradores de TI con 28 años de experiencia y proveemos infraestructura, herramientas, aplicaciones y servicios que facilitan a las empresas efectuar su transición del actual al nuevo paradigma computacional.
¡Concierta tu cita con nosotros y con mucho gusto te asesoramos!
