IoT, Seguridad en su ciclo de vida (Parte 2 de 2)
Continuando con nuestro post anterior sobre IoT, en Internet de las cosas existen nuevas contingencias a considerar, debido a las similitudes con los sistemas tradicionales; pero eso no escapa que también hayan ciertas diferencias, una de ellas es: el uso de dispositivos físicos con su propio software y firmware.
Desplegando IoT
Al usar dispositivos como los complementos GPS para automóviles, sensores médicos, entre otros dispositivos electrónicos de la industria energética, dispositivos médicos, automotriz y electrodomésticos; estos trabajan con sus propias interfaces de comunicación a través de internet (APIs) para comunicarse con una lógica central el cuál debería comprender también un ciclo de vida de desarrollo seguro.
Una pronta medida es chequear todos los puertos habilitados y no habilitados tanto de los servidores como de los dispositivos para prevenir posibles ataques y accesos no autorizados, dichos ataques deberán ser monitoreados, alertados, registrados y contraatacados de manera efectiva. También es necesario monitorear la actividad de las APIs que se están utilizando y generalmente bajo la tecnología SaaS se tiene que contar con el apoyo del proveedor de servicio SaaS y leer los resultados de auditoría de los servicios que consume nuestro dispositivo. Así mismo, las pruebas de penetración en el servidor de las APIs reducirán las vulnerabilidades presentes en el sistema operativo del servidor.
Operaciones IoT
Para matener estabilidad y tranquilidad en las operaciones es necesario que se busque una metodología automatizada de instalación de parches, notificación de bugs, informes al área de soporte, etc. En IoT hay que tener bastante cuidado con los sensores y su calibración en caso sea necesario, estos sensores captan la información necesaria según la configuración para proceder a derivarlo a un Gateway (redireccionador de solicitudes de aplicaciones) y dicha solicitud sea recibida por un web services. Estos últimos son utilizados por dispositivos móviles quienes enviarán solicitudes por su parte como parte del ecosistema IoT a través de aplicaciones móviles que pueden estar escritos en Android o iOS.
Hasta etapa las fases anteriores ya debieron haber pasado por el SDLC se estima que solo queda una fase de validación y monitoreo de lo anterior. Se debe contar con un control de pérdida monetaria a causa de detección de falla en una de las fases del ciclo de vida de desarrollo seguro en IoT y así manejar un indicador de pérdida de rentabilidad
Consejo audit
Revisión y evaluación son características importantes en las últimas fases del SDLC, y sobretodo, llevar un inventario de todos los componentes del ecosistema IoT presente en una organización, tanto software como hardware. Se recomienda realizar un seguimiento contínuo en todo el proceso de desarrollo a través de su ciclo de vida correspondiente. Con ello aseguramos la concientización de la cultura de seguridad de información dentro del procesos de desarrollo de software para IoT.