Padrões de cumprimento de IoT e como segui-los
Para lidar com as questões de segurança da IoT, é fundamental que os líderes de TI sigam os padrões de conformidade da IoT. Saiba mais sobre conformidade com IoT e os padrões relevantes para a TI.
A IoT está aqui. Porém, tenha em mente que, apesar da emoção e dos desafios que gera, a tecnologia de internet das coisas continua sendo, em grande parte, um trabalho em andamento.
Apesar de os profissionais de TI estarem cada vez mais interessados em como a IoT pode melhorar suas organizações, eles também devem se preocupar com os riscos. Uma forma de abordar estas inquietudes é estabelecer um processo para o cumprimento das normas, regulações, pontos de referência e controles apropriados. Além disso, as equipes de TI devem estar familiarizadas com os padrões existentes de cumprimento da IoT e como suas empresas podem executar cada um deles.
Atente-se aos conceitos básicos de cumprimento
Muitos padrões de internet estão vigentes há anos, como o IP, incluindo o IPv6. Os dispositivos que se vinculam à internet, independentemente de sua aplicação, devem cumprir com o IP estabelecido. Os profissionais de TI geralmente não estão preocupados com este tipo de observância, uma vez que a maioria dos dispositivos em seus inventários incorpora o IP adequado.
Os padrões e protocolos de segurança também devem ser levados em conta em qualquer coisa que use internet, já que a preocupação com as ameaças de cibersegurança cresce diariamente. E, mais uma vez, estes costumam estar integrados no firmware da equipe de segurança.
Conhecendo os padrões de cumprimento da IoT
Vários padrões foram desenvolvidos para a conectividade IoT, alguns dos quais abordam conexões de internet de dispositivos de baixa potência, como sistemas de segurança para o lar ou dispositivos habilitados para Wi-Fi. São os seguintes:
- Bluetooth de baixa energia: tecnologia de rede sem fio de área pessoal desenvolvida pelo Grupo de Interesse Especial de Bluetooth para admitir aplicações em saúde, condicionamento físico, segurança e entretenimento no lar, assim como sistemas de administração;
- IEEE 802.11ah: protocolo de rede sem fio de baixa energia que amplia a classificação de conectividade para redes Wi-Fi. É parte do conjunto de protocolos sem fio IEEE 802.11;
- Thread: desenvolvido pelo Thread Group, um consórcio de empresas tecnológicas líderes, é um protocolo de rede de baixa potência desenvolvido para produtos IoT;
- Zigbee: protocolo sem fio baseado em IEEE 802.15.4 para dispositivos de baixa potência e baixa largura de banda utilizados em aplicações de saúde, casa e redes pessoais;
- Z-Wave: protocolo de rede sem fio de baixa potência desenvolvido em 1999 pela Zensys para seu uso em sistemas de automação do lar. Atualmente é executado pela Sigma Designs.
Na maioria dos casos, os dispositivos sem fio que usam esses padrões têm o protocolo incorporado ao firmware. Assim, o cumprimento da IoT se converte em uma questão de enfoque utilizado pelo fabricante de dispositivos sem fio de baixa potência.
Projeto de norma IEEE P2413
Talvez o mais parecido a um padrão de cumprimento de IoT seja a primeira versão do IEEE P2413, que estabelece um marco para a tecnologia. A arquitetura descreve domínios de IoT e identifica áreas de coincidência entre diferentes domínios da tecnologia. IEEE definiu dúzias de protocolos de rede que podem ser aplicados às aplicações IoT, incluídas as séries IEEE 802.1, 802.3, 802.11, 802.15, 802.16 e 802.22. A primeira versão do padrão P2413 proporciona uma maneira de utilizar de forma efetiva os padrões IEEE relevantes em uma infraestrutura coesa de IoT.
Estabelecer o cumprimento de IoT
Está claro que o cumprimento dos padrões e protocolos de IoT estabelecidos costuma ser automático. No entanto, isso depende de quais padrões ou protocolos estejam integrados aos dispositivos que usam uma infraestrutura da tecnologia. Outros controles de auditoria de TI, como os controles gerais que abordam a segurança, o acesso, a integridade dos dados e outros problemas, também podem ser aplicados às situações de IoT. Como os dispositivos da tecnologia geralmente exibem os mesmos requisitos de controle de outros sistemas e dados de TI, essas métricas de controle podem ser aplicadas à auditoria de cumprimento do sistema IoT.
Ao auditar dispositivos e redes de IoT, devem-se usar os mesmos controles de auditoria de TI para estabelecer e confirmar o cumprimento do padrão IEEE P2413. Uma vez aprovado, podem ser introduzidos controles adicionais para que os auditores os utilizem no seu trabalho.
Atualmente, o desafio para cumprir os padrões vigentes de IoT passa pela seleção de uma tecnologia específica ou um conjunto de sistemas que usem um ou mais protocolos. Os controles de auditoria de TI tradicionais podem ser aplicados ao cumprimento da IoT, e o novo esboço do padrão IEEE proporciona um marco e pautas a partir dos quais é possível desenvolver os requisitos de execução.