Estándares de cumplimiento de IoT y cómo seguirlos
Para abordar las preocupaciones de seguridad de IoT, es fundamental que los líderes de TI se adhieran a los estándares de cumplimiento de IoT. Obtenga más información sobre el cumplimiento de IoT y sus estándares relevantes para TI.
IoT está aquí. Pero tenga en cuenta: a pesar de la emoción y los desafíos que genera, la tecnología IoT sigue siendo, en gran medida, un trabajo en progreso.
Si bien los profesionales de TI están cada vez más interesados en cómo IoT puede mejorar sus organizaciones, también deben preocuparse por sus riesgos. Una forma de abordar estas inquietudes es establecer un proceso para el cumplimiento de las normas, regulaciones, puntos de referencia y controles apropiados. Además, los equipos de TI deben estar familiarizados con los estándares de cumplimiento de IoT existentes y cómo su organización puede cumplir con cada uno de ellos.
Presta atención a los conceptos básicos de cumplimiento
Muchos estándares de internet han estado vigentes durante años, como IP, incluido IPv6, utilizado para comunicarse a través de internet. Los dispositivos que se vinculan a internet, independientemente de su aplicación, deben cumplir con la IP establecida. Los profesionales de TI generalmente no están preocupados por este tipo de cumplimiento porque la mayoría de los dispositivos en sus inventarios incorporan la IP adecuada.
Los estándares y protocolos de seguridad también deben tenerse en cuenta en cualquier cosa que use internet, ya que la preocupación por las amenazas de ciberseguridad crece a diario. Una vez más, estos suelen estar integrados en el firmware del equipo de seguridad.
Conociendo los estándares de cumplimiento de IoT
Se han desarrollado varios estándares para la conectividad IoT, algunos de los cuales abordan la conectividad a internet de dispositivos de baja potencia, como sistemas de seguridad para el hogar o dispositivos habilitados para Wi-Fi. Estos incluyen los siguientes:
- Bluetooth de baja energía. Esta tecnología de red inalámbrica de área personal fue desarrollada por el Grupo de Interés Especial de Bluetooth para admitir aplicaciones en salud, acondicionamiento físico, seguridad y entretenimiento en el hogar, así como sistemas de administración.
- IEEE 802.11ah. Este protocolo de red inalámbrica de baja energía que amplía el rango de conectividad para redes Wi-Fi es parte del conjunto de protocolos inalámbricos IEEE 802.11.
- Thread. Desarrollado por Thread Group, un consorcio de firmas tecnológicas líderes, Thread es un protocolo de red de baja potencia diseñado para productos IoT.
- Zigbee. Este es un protocolo inalámbrico basado en IEEE 802.15.4 para dispositivos de baja potencia y bajo ancho de banda utilizados en aplicaciones de salud, hogar y redes personales.
- Z-Wave. Este protocolo de red inalámbrico de baja potencia, desarrollado en 1999 por Zensys para su uso en sistemas de automatización del hogar, actualmente lo ejecuta Sigma Designs.
En la mayoría de los casos, los dispositivos inalámbricos que usan estos estándares tienen el protocolo incorporado en el firmware. De esta manera, el cumplimiento de IoT se convierte en una cuestión del enfoque utilizado por el fabricante de dispositivos inalámbricos de baja potencia.
Proyecto de norma IEEE P2413
Quizás lo más parecido a un estándar de cumplimiento de IoT es el borrador del estándar IEEE P2413, que establece un marco para IoT. La arquitectura describe dominios de IoT e identifica áreas de coincidencia entre diferentes dominios de IoT. IEEE ha definido docenas de protocolos de red que se pueden aplicar a las aplicaciones IoT, incluidas las series IEEE 802.1, 802.3, 802.11, 802.15, 802.16 y 802.22. El borrador del estándar P2413 proporciona una manera de utilizar de manera efectiva los estándares IEEE relevantes en una infraestructura cohesiva de IoT.
Establecer el cumplimiento de IoT
Está claro que el cumplimiento de los estándares y protocolos de IoT establecidos suele ser automático. Sin embargo, esto depende de qué estándares o protocolos estén integrados en los dispositivos que usan una infraestructura de IoT. Otros controles de auditoría de TI, como los controles generales de TI que abordan la seguridad, el acceso, la integridad de los datos y otros problemas, también se pueden aplicar a situaciones de IoT. Como los dispositivos de IoT generalmente exhiben los mismos requisitos de control de otros sistemas y datos de TI, esas métricas de control se pueden aplicar a la auditoría de cumplimiento del sistema IoT.
Al auditar dispositivos y redes de IoT, se deben usar los mismos controles de auditoría de TI para establecer y confirmar el cumplimiento de las buenas prácticas de TI. El cumplimiento del estándar IEEE P2413, una vez aprobado, puede introducir controles adicionales para que los auditores los utilicen en su trabajo.
Actualmente, el desafío para cumplir con los estándares actuales de IoT es una cuestión de seleccionar una tecnología específica o un conjunto de sistemas que usen uno o más protocolos. Los controles de auditoría de TI tradicionales se pueden aplicar al cumplimiento de IoT, y el nuevo borrador del estándar de IEEE proporciona un marco y pautas a partir de los cuales se pueden desarrollar los requisitos de cumplimiento.