Todo proveedor de IoT debe asegurar que sus clientes reciban un buen servicio y ello conlleva implantar acciones para mitigar posibles daños por vulnerabilidades que van surgiendo constantemente en el mundo conectado. Monitorizar en tiempo real todos los parámetros y vías que puedan ser susceptibles de ser atacados ciberneticamente asegura el éxito del servicio que vamos a dar.
Como proveedor de servicios, dispositivos y comunicaciones IoT, nos comprometemos a adoptar medidas para un buen uso y asegurar una seguridad en el diseño de comunicación entre la nube y el dispositivo IoT.
Pasamos a detallar las pautas básicas de diseño e instalación que debería contar cualquier dispositivo y plataforma IoT:
- Obligaciones como proveedor: Todo dispositivo conectado debe tener la capacidad ser actualizado y parcheado remotamente. Como empresa suministradora, garantizaremos que en el código no habrá contraseñas insertadas susceptibles de ser extraídas para un uso fraudulento.
- Configuración e instalación: Implantar procedimientos que garanticen un correcto uso de nuestra plataforma IoT. Un procedimiento básico puede ser, obligar al usuario a modificar la contraseña predeterminada del dispositivo IoT o la primera contraseña generada por la plataforma.
- Cifrado de conexiones: Desarrollo propio de un cifrado o uso de cifrado comercial verificado para proteger los datos que se intercambian en la relación Nube-Dispositivo.
- Buen recaudo de datos: Garantizar que los datos obtenidos van a estar protegidos de cualquier alteración o sustracción.
- Conexiones autentificadas y autorizadas: Detectar quien y cuando esta conectado, autorizando a usuarios que pueden acceder y desconectar cualquier intrusión antes de un posible acceso.
- Copias de seguridad de los datos y del sistema completo: Capacidad de poder restablecer y recuperar el servicio en el menor tiempo posible por un posible desastre. El almacenamiento de la copia debe estar cifrado y duplicarla en otra zona geográfica.
- Pruebas y verificaciones constantes: Revisión constante de las practicas citadas anteriormente y analizar constantemente su comportamiento.
Detalles a tener en cuenta para una buena praxis de la operativa de seguridad y utilización de nuestro servicio:
- Desactivar servicios sin uso: Facilitar la desconexión de servicios que no vayan a ser utilizados y puedan ser en un futuro vulnerables a fallos de seguridad.
- Contraseñas: Obligación de uso de contraseñas robustas. Debemos apoyarnos anualmente en la recopilación que hacen muchas empresas de ciberseguridad de las contraseñas más populares y usadas en el mundo, basándose en millones de datos de inicio de sesión robados y publicados.
- Integración a otras plataformas ajenas: Evaluar infraestructuras de plataformas ajenas y su posible interacción. La plataforma de terceros deberá cumplir como mínimo las pautas que marquemos para nuestra plataforma. Se evitaran interferencias y exposiciones indeseadas. Dichas transferencias y uso de plataformas de terceros tendrán que haber sido aceptadas por el cliente previamente.
Para finalizar esta entrada cabe matizar un apunte, todos los componentes humanos que interactuan con nuestros dispositivos IoT (proveedor/clientes) deben tomarse enserio las pautas de seguridad que se acuerden entre proveedor y cliente, si no es el caso, una contraseña débil podría dar al traste toda las medidas adoptadas.