Las decisiones sobre la implementación de IoT se toman sin consultar a los equipos de seguridad
Los CISO y los profesionales de seguridad solo fueron consultados en el 38 por ciento de los proyectos de IoT.
Trend Micro, líder global en soluciones de ciberseguridad, ha revelado que las organizaciones de todo el mundo se exponen a ciberriesgos innecesarios al no dar voz a los equipos de seguridad de TI cuando planifican el despliegue de proyectos de Internet de las Cosas (IoT) en entornos empresariales.
Una encuesta realizada a un total de 1.150 responsables de TI y seguridad procedentes de en Alemania, Francia, Japón, Reino Unido y Estados Unidos ha puesto de manifiesto que el 79% involucra al departamento de TI en la elección de soluciones industriales de IoT, pero solo el 38% involucra a sus equipos de seguridad.
"Descata cómo los equipos de seguridad TI están siendo excluidos de los proyectos de IoT, cuando esto, claramente, está exponiendo a las organizaciones a ciberriesgos innecesarios”, explica Kevin Simzer, director de operaciones de Trend Micro. "Nuestro estudio muestra que hay demasiadas organizaciones en todo el mundo que no dan prioridad a la seguridad como parte de su estrategia de IoT, lo que las hace vulnerables. A menos que se aborde la seguridad como parte de la implementación, estos dispositivos permanecerán expuestos y vulnerables ya que, en su mayor parte, no fueron diseñados para actualizarse o ser parcheados".
De acuerdo con la investigación, las organizaciones participantes gastaron más de 2,5 millones de dólares en iniciativas de IoT el año pasado y planean invertir lo mismo en los próximos 12 meses. Dada la fuerte inversión financiera, se requiere que los recursos destinados a seguridad deban ser equitativos para mitigar los riesgos asociados a estos dispositivos conectados. Sin embargo, solo el 56% de los nuevos proyectos de IoT incluyen al Director de Seguridad de la Información (CISO) como uno de los responsables de la toma de decisiones a la hora de seleccionar una solución de seguridad.
Según IDC, la habilitación de IoT, que puede implicar la conexión a Internet por primera vez de sistemas de control industrial dirigidos al consumidor, expone vulnerabilidades de software que ponen en riesgo los datos corporativos, pero también permite a los atacantes dirigirse y manipular mecanismos de seguridad basados en software para causar daños físicos al público de forma, o no, intencionada.
Incidiendo en esta conocida problemática, este estudio también ha desvelado que las organizaciones sufrieron una media de tres ataques a sus dispositivos conectados en el último año. Esto demuestra que el riesgo introducido por la inseguridad de los dispositivos IoT en un negocio está afectando activamente a empresas de todo el mundo.
Además, el 93% de los encuestados dijo haber reconocido al menos una amenaza a la infraestructura crítica resultante de la implementación de IoT. Las amenazas más comunes que plantean estas conexiones adicionales incluyen una infraestructura compleja, un mayor número de endpoints y la falta de controles de seguridad adecuados.
Acerca de la investigación
Las conclusiones extraídas se basan en una investigación conjunta llevada a cabo con Vanson Bourne. Entre el 1 de abril y el 25 de mayo de 2018, se realizaron 1.150 entrevistas online a los responsables de la toma de decisiones de TI y seguridad de empresas con más de 500 empleados en cinco países: EE.UU., Reino Unido, Francia, Alemania y Japón. Los encuestados desempeñan cargos directivos de nivel C, alta dirección o puestos de gestión intermedia, y trabajan en organizaciones que operan en múltiples sectores, incluyendo retail, servicios financieros, sector público, medios de comunicación y construcción.
