0
0
A Internet das Coisas (IoT) criou muitas oportunidades para a empresa — e igual possibilidade de risco . Testemunhamos tecnologias vulneráveis de IoT vazarem dados pessoais , serem vítimas de ataques cibernéticos e enfrentarem a exploração de várias maneiras – em “coisas” que vão de dispositivos médicos a banheiras de hidromassagem inteligentes. A segurança deve estar na base de todos os planos e, para que as organizações aproveitem todos os benefícios da tecnologia IoT, elas devem incorporá-la desde a aquisição até a implantação.
Recentemente, tive a oportunidade de fazer parceria com a Domino’s Pizza e avaliar em primeira mão as implicações de segurança no trabalho em torno de um projeto corporativo de IoT de grande escala – a solução de ecossistema baseada em IoT da empresa, Flex. Flex é uma plataforma composta por vários pequenos serviços que permitem às lojas alavancar diversas experiências Web e produtos digitais em diferentes telas de quiosques.
Por meio da avaliação e revisão do Flex, as partes interessadas da Domino e eu conseguimos construir uma compreensão abrangente das vulnerabilidades de segurança e das melhores práticas para implementar a IoT no ambiente corporativo. Aqui está o que encontramos juntos – e o que as organizações que implementam a IoTdevem considerar cada passo do caminho.
Considerações de segurança para a fase de aquisição
Tornar a segurança uma prioridade em um plano de aquisição de IoT ajuda a evitar problemas no futuro, mas a segurança geralmente é deixada de lado ou executada de forma ineficaz durante essa fase.
A equipe de segurança de uma organização é fundamental para o planejamento e implementação bem-sucedidos de um projeto de IoT em larga escala. A função da equipe de segurança é ajudar a definir as expectativas e os requisitos de segurança para a tecnologia IoT para garantir que correspondam às políticas de segurança da organização. A introdução de novas tecnologias de IoT pode destacar lacunas na governança, portanto, o envolvimento da equipe de segurança abre caminho para a instalação de novos protocolos e controles de segurança.
As iniciativas de IoT de nível empresarial das organizações, incluindo a Domino’s, geralmente exigem serviços de fornecedores externos. Antes de entrar em tal relacionamento, as organizações devem realizar uma avaliação de risco do fornecedor porque os fornecedores geralmente precisam de acesso direto à rede de uma organização ou acesso VPN para gerenciar recursos ou dados corporativos. O processo de avaliação de risco deve se estender desde a concepção até a implantação, com reavaliações regulares de cada fornecedor e seus produtos para garantir que continuem atendendo aos requisitos básicos e às expectativas de segurança. Isso ajudará a proteger as organizações que implementam a IoT, bem como a cadeia de suprimentos.
Considerações de segurança para as fases de design e implementação
Quando se trata de implementação e suporte de uma nova solução de IoT, pode ser necessário fazer modificações. Um primeiro passo importante é determinar como a nova solução de IoT mapeia os processos atuais de controle de segurança e as necessidades de conformidade. Por exemplo, a solução de controle de segurança da Domino usa o NIST SP 800-53 e o Center for Internet Security (CIS) Controls. O CIS fornece um manual complementar que pode ajudar no processo de mapeamento e é útil para qualquer organização que implemente um projeto corporativo de IoT.
Os serviços externos também podem ajudar a projetar a tecnologia IoT no mais alto nível de segurança. A Domino’s fez parceria com serviços especializados do Google para sua solução Flex para garantir que a configuração de linha de base atendesse às práticas recomendadas do setor e mapeasse as políticas de segurança internas.
Considerações de segurança para as fases de implantação e suporte
Quando chegar a hora de implantar, é necessário avaliar todo o ecossistema do produto: firewalls, roteadores, hardware incorporado, sistemas de servidor back-end, API em nuvem e serviços da Web e muito mais. A segurança de qualquer componente dentro do ecossistema pode afetar a segurança de todas as outras partes – essa é a natureza da IoT. Todos os testes de segurança precisam ser holísticos.
Após a implantação, vem a fase de suporte, onde a solução deve continuar operando e atendendo às necessidades do negócio, utilizando infraestrutura de gerenciamento e suporte. Idealmente, é assim que as organizações podem evitar interrupções e outros incidentes de segurança que levam à perda de serviços ou dados ou que afetam a produção.
A chave para esse plano de suporte é o gerenciamento de patches, que muitas organizações ignoram com dispositivos incorporados. É importante desenvolver um ciclo de gerenciamento de patches cadenciado regularmente, com testes e alterações de controle de qualidade conduzidos a um pequeno grupo de teste de produção antes de lançar atualizações oficiais. As empresas também devem considerar a integração da nova tecnologia IoT com processos de registro e monitoramento. O combate à segurança por meio desses canais deve permitir uma melhor detecção e ação em incidentes de segurança.
O valor em planejar com antecedência
Há muita complexidade e dificuldade ao lidar com um projeto tão abrangente quanto a implementação de IoT da Domino, mas com um pouco de previsão vem o sucesso.
Com os agentes de ameaças aproveitando todas as vulnerabilidades — em vários setores — é fundamental seguir processos de segurança holísticos antes de adicionar qualquer tecnologia a um ecossistema empresarial. Embora não haja uma estratégia de tamanho único ao projetar, implementar e implantar novas soluções dentro da empresa, as melhores práticas existem e devem ser consideradas. O projeto Flex bem-sucedido da Domino é uma prova do valor do planejamento – com cuidado – com antecedência.
FONTE: DARK READING