Gestionar los riesgos de seguridad de IoT en una época que se digitaliza rápidamente.

Por Ryan Taylor, especialista en sector industrial

El consumidor actual cada vez más exige una experiencia omnicanal personalizada que aprovecha los datos cuidadosamente recopilados para adaptarse a sus vivencias. La automatización de las tiendas es una forma de ayudar a lograr no solo eso, sino también de crear una experiencia más uniforme al hacerlo. Sin embargo, optimizar y automatizar procesos de la tienda a menudo comprende complejas integraciones de sistemas, incluido el uso de muchos dispositivos de IoT. Asegurar esos dispositivos de manera integral puede ser un desafío, pero es de todas formas un objetivo fácil de alcanzar.

• La automatización de las tiendas ayuda a crear experiencias de compras sin inconvenientes que mejoran la captación y retención de clientes; sin embargo, a menudo vienen con un alto nivel de integración con dispositivos de IoT.
  
  
• De la mano de estas integraciones complejas y una variedad de configuraciones vienen las amenazas de seguridad que deben ser resueltas, en particular debido a la amplia gama de funcionalidades de los dispositivos de IoT.
  
  
• Los enfoques de seguridad para IoT deben hacer énfasis en la visibilidad y la respuesta rápida para ver y responder a las amenazas emergentes. Es indispensable contar con un plan de seguridad flexible antes de integrar los dispositivos.

Si bien es esencial un mayor uso de los dispositivos conectados para el futuro de las tiendas, la automatización continua y el crecimiento significativo del IoT dan lugar a una mayor oportunidad de sufrir ciberataques, fuga de datos y robos, crímenes que ya están en alza.

Justamente, indica Margot Juros para IDC Planscape, desde junio de 2022, los ciberataques siguen en alza: "La cantidad de dispositivos de IoT empleados globalmente crece a gran velocidad y se pronostica que llegarán a un total de más de 40 mil millones de dispositivos para 2025. Se espera que los vendedores en particular incrementen sus gastos en soluciones de IoT para llegar a más de $84 mil millones para 2025, según un pronóstico de IDC".

Los dispositivos de IoT pueden conllevar un notable nivel de vulnerabilidad debido a la amplia variedad de roles que desempeñan en las redes para soportar la cadena de suministro, la gestión del edificio y las operaciones de la tienda. Esto se traduce en una mayor superficie o espacio de amenazas en donde se pueden identificar posibles vulnerabilidades.

Sin un sistema de gestión de seguridad confiable (ya sea interno, si uno puede costear su propio equipo especializado, o a través de un proveedor de servicios/asesor externo), cubrir todos esos dispositivos de IoT será difícil, por no decir más. Esto es particularmente cierto si una organización ya necesita una mejor infraestructura de ciberseguridad.

Contar con una red de alta velocidad ayuda a ofrecer visibilidad rápida y de baja latencia en toda la infraestructura de datos. Con el precio y la disponibilidad de servicios como soluciones móviles fijas 5G, no hay mucho que pensar para asegurarse de que las velocidades están a la altura de lo requerido para garantizar una operación sin inconvenientes.

Juros continúa: "... más del 50% son pilotos o están en producción con casos de uso de IoT para pago automatizado, análisis de tráfico, visibilidad del inventario en tiempo real, gestión de cola... IDC estima que la cantidad de dispositivos de IoT conectados en todo el mundo crecerá a 35 mil millones para 2023 y a casi 42 mil millones para 2025".

Esa es la razón: el crecimiento de la adopción de dispositivos de IoT ha incrementado dicha superficie de ataque tremendamente (cita Juros, según una encuesta reciente de NRF en 2021, alrededor del 57% de los vendedores informaron un incremento en el crimen organizado en tiendas), pero ¿qué tiene que ver la ciberseguridad de IoT cuando se trata de una respuesta real?

Como en todos los aspectos de la seguridad, el IoT comienza con el conocimiento y el reconocimiento oficial del problema, seguido por una planificación muy proactiva, un plan de acción que se enfoque primero en garantizar la visibilidad y una comprensión completa de los sistemas propios (tanto en términos de capacidades como de vulnerabilidades).

Desde el inicio de este proceso hasta la realización de un plan de seguridad detallados, los directivos y demás líderes de departamentos vinculados a áreas como prevención de pérdidas, operaciones de ventas, eficiencia de la cadena de suministro y empleados, incluso (o especialmente) capacitación de empleados, deben participar directamente.

Estos son los participantes clave a la hora de organizar el conocimiento institucional de las vulnerabilidades de seguridad y las mejores prácticas que son parte esencial de una estructura de datos segura en cualquier organización, y mucho menos en una corporación de ventas multinacional.

El elemento "humano" sigue siendo citado con frecuencia por los profesionales de TI y ciberseguridad como el principal vector de amenaza; en otras palabras, las personas cometen errores y esta es la principal fuente individual de problemas de seguridad, el email sospechoso que fue abierto, el enésimo intento de estafa que funciona, etc.

Aun así, ¿qué significa la seguridad para los dispositivos de IoT específicamente? Volvamos nuevamente al problema básico: los dispositivos de IoT son cada vez más comunes y ofrecen una amplia variedad de funciones. Las empresas abordan la seguridad con énfasis en la visibilidad de los dispositivos emparejados con sistemas de seguridad, protocolos y prácticas que sean lo suficientemente flexibles para responder a amenazas emergentes.

En términos de flexibilidad, uno puede aprovechar los sensores de IoT (siempre y cuando no sean demasiado viejos para cumplir con los estándares de seguridad modernos) para detectar las ID de los dispositivos de IoT de tu organización. Aun así, es comprensible que sea un desafío alcanzar esta flexibilidad en un área tan vasta.

También debes preocuparte por saber si los dispositivos de IoT que usas están actualizados pero también si son capaces de soportar el software de seguridad que adopte tu organización. Esto requiere un equipo que conozca el dispositivo de IoT y el mundo de la ciberseguridad íntimamente.

Sin embargo, ten la seguridad de que tanto estas como otras vulnerabilidades se pueden superar. Una vez más, todo se trata de la visibilidad, pero también se debe tener o conservar una postura de vigilancia astuta, conocimiento, colaboración, conocimiento de los sistemas (saber qué buscar) y reunir todo eso en una capacitación que esté a la altura de las circunstancias, indica Juros en el informe de IDC.

Por eso es importante contar con un plan de ciberseguridad antes de comprar nuevos dispositivos de IoT (ya sea en caso de estar en medio de una transformación digital o si te diste cuenta de que tus dispositivos de IoT actuales no sirven).

También debes examinar las capacidades existentes de capacitación, contratación y supervisión necesarias para una ciberseguridad adecuada. ¿Tu empresa tiene el capital para hacer esas inversiones o los servicios gestionados tienen más sentido? Esta es una consideración seria en el mundo de las ventas al público que cada vez más aprovecha la gestión de terceros para microservicios y otras funciones clave.

Con la automatización y el IoT impulsando las ventas al público, las empresas deben adoptar un enfoque proactivo e integral para utilizar esta tecnología. Y de todas formas no pueden avanzar satisfactoriamente sin priorizar la seguridad como es debido.

Los vendedores deben buscar un proveedor confiable que pueda ofrecer tanto la tecnología más innovadora como los servicios de seguridad integrados. T-Mobile para Empresas aprovecha una variedad de opciones de IoT para ayudar a las empresas de venta al público a disfrutar de una mayor capacidad operativa y experiencias gratificantes al mismo tiempo que dan prioridad a la seguridad.