México
México
Guadalajara
Monterrey
Querétaro
León
Aguascalientes
Puebla
Villahermosa
Mérida
Tijuana
Chihuahua
Hermosillo
+52 55 8000 6400 Lunes - Viernes 09:00 - 18:30 Laminadores No.149 Col. Coltongo, 02630
+52 (33) 3880 0000 Lunes - Viernes 09:00 - 19:00 Lázaro Cardenas No.2830 , Col. Jardines del Bosque
+52 (81) 8125-2800 Lunes - Viernes 09:00 - 19:00 Av. La Chimenea No. 210 Col. Centrika
+52 (442) 153-3400 Lunes - Viernes 09:00 - 19:00 Luis Vega y Monrroy No. 407 Col. Balaustradas
+52 (477) 214-2900 Lunes - Viernes 09:00 - 19:00 Juan Nepomuceno Herrera No. 932 Col. Villas del Juncal
+52 (449) 994-650 Lunes - Viernes 09:00 - 19:00 Rep. del Salvador No.1627 Fracc El Dorado 20230
+52 (22) 223-0730 Lunes - Viernes 09:00 - 19:00 Calle Francisco Villa No. 49 Col. C de Golf Las Fuentes
+52 (993) 3187-9000 Lunes - Viernes 09:00 - 19:00 Plutarco Elías Calles No.154 Col. Jesús García
+52 (999) 942-5850 Lunes - Viernes 09:00 - 19:00 Calle 42 No. 254 Col. Montes de Ame
+52 (664)288-2000 Lunes - Viernes 09:00 - 19:00 Calle Baburias No. 13991 Col. Santa Cruz
+52 (614) 180-2300 Lunes - Viernes 09:00 - 19:00 Calle Brasil No. 321 Col. Panamericana
+52 (662) 108-1800 Lunes - Viernes 09:00 - 19:00 Monteverde No. 160 Col. San Benito
México
México
Guadalajara
Monterrey
Querétaro
León
Aguascalientes
Puebla
Villahermosa
Mérida
Tijuana
Chihuahua
Hermosillo
+52 55 8000 6400 Lunes - Viernes 09:00 - 18:30 Laminadores No.149 Col. Coltongo, 02630
+52 (33) 3880 0000 Lunes - Viernes 09:00 - 19:00 Lázaro Cardenas No.2830 , Col. Jardines del Bosque
+52 (81) 8125-2800 Lunes - Viernes 09:00 - 19:00 Av. La Chimenea No. 210 Col. Centrika
+52 (442) 153-3400 Lunes - Viernes 09:00 - 19:00 Luis Vega y Monrroy No. 407 Col. Balaustradas
+52 (477) 214-2900 Lunes - Viernes 09:00 - 19:00 Juan Nepomuceno Herrera No. 932 Col. Villas del Juncal
+52 (449) 994-650 Lunes - Viernes 09:00 - 19:00 Rep. del Salvador No.1627 Fracc El Dorado 20230
+52 (22) 223-0730 Lunes - Viernes 09:00 - 19:00 Calle Francisco Villa No. 49 Col. C de Golf Las Fuentes
+52 (993) 3187-9000 Lunes - Viernes 09:00 - 19:00 Plutarco Elías Calles No.154 Col. Jesús García
+52 (999) 942-5850 Lunes - Viernes 09:00 - 19:00 Calle 42 No. 254 Col. Montes de Ame
+52 (664)288-2000 Lunes - Viernes 09:00 - 19:00 Calle Baburias No. 13991 Col. Santa Cruz
+52 (614) 180-2300 Lunes - Viernes 09:00 - 19:00 Calle Brasil No. 321 Col. Panamericana
+52 (662) 108-1800 Lunes - Viernes 09:00 - 19:00 Monteverde No. 160 Col. San Benito

INFOBLOX-Seguridad de IoT:

Internet de negocios dice

El gobierno del Reino Unido ha lanzado un nuevo Código de práctica voluntario para los fabricantes de dispositivos de Internet de las cosas, con el objetivo de garantizar la IoT del consumidor.

El Código está diseñado para garantizar que los dispositivos tales como centros de distribución del hogar, aparatos de cocina inteligentes, cámaras de seguridad, dispositivos portátiles y juguetes conectados estén protegidos contra ataques externos y violaciones de datos.

Este último paso del Departamento de Digital, Cultura, Medios y Deporte (DCMS) y el Centro Nacional de Seguridad Cibernética (NCSC) sigue su revisión conjunta de Secure by Design a principios de este año, que buscaba integrar la seguridad en el proceso de diseño de las nuevas tecnologías. .

El Código dice: “A medida que las personas confían una cantidad cada vez mayor de datos personales a dispositivos y servicios en línea, la seguridad informática de estos productos es ahora tan importante como la seguridad física de nuestros hogares.

“El objetivo de este Código de práctica es apoyar a todas las partes involucradas en el desarrollo, la fabricación y la venta al por menor de la IoT del consumidor con un conjunto de pautas para garantizar que los productos sean seguros por diseño y para que sea más fácil para las personas mantenerse seguras en un mundo digital.”

El Código de Práctica

Las nuevas directrices, que se publicaron por primera vez en forma de borrador en marzo, establecen trece pasos que los fabricantes de dispositivos de consumo deberían seguir al diseñar productos de IoT.

Estos son:

1. No hay contraseñas por defecto

Todas las contraseñas de dispositivos de IoT deben ser únicas y no se pueden restablecer a ningún valor predeterminado de fábrica universal.

Muchos dispositivos IoT se venden con nombres de usuario y contraseñas predeterminados universales (como ‘admin, admin’) que los fabricantes esperan que los consumidores cambien, pero la mayoría no lo hace. Esta ha sido la fuente de muchos problemas de seguridad en la IoT hasta la fecha y la práctica debe eliminarse, dice el gobierno.

2. Implementar una política de divulgación de vulnerabilidades.

Todas las compañías que proporcionan dispositivos y servicios conectados deben tener un punto de contacto público como parte de su política de divulgación de vulnerabilidades, para que los investigadores de seguridad y otros puedan informar problemas.

Las empresas también deben monitorear, identificar y rectificar continuamente las vulnerabilidades de seguridad dentro de sus propios productos y servicios como parte del ciclo de vida de la seguridad de un producto, agrega el gobierno.

Las vulnerabilidades deben informarse directamente a las partes interesadas afectadas. También se alienta a las empresas a compartir información con organismos competentes de la industria.

3. Mantener el software actualizado

Los componentes de software en los dispositivos conectados a Internet deben ser actualizables de manera segura, con actualizaciones oportunas y sin afectar el funcionamiento del dispositivo, dice el Código.

Además, debe publicarse una política de final de vida útil para dispositivos de punto final que indique explícitamente la cantidad mínima de tiempo durante el cual un dispositivo recibirá actualizaciones de software, y los motivos de la duración de este período de soporte.

La necesidad de cada actualización debe quedar clara para los consumidores y debe ser fácil de implementar. Para dispositivos restringidos que no pueden actualizarse físicamente, el producto debe ser “aislable y reemplazable”.

4. Almacene de forma segura las credenciales y los datos sensibles a la seguridad

Cualquier credencial debe almacenarse de forma segura dentro de los servicios y en los dispositivos. Las credenciales codificadas en el software del dispositivo no son “aceptables”, dice el gobierno.

Este es un paso importante, ya que la ingeniería inversa de dispositivos y aplicaciones puede descubrir fácilmente credenciales, como nombres de usuario y contraseñas.

Los datos sensibles a la seguridad que deben almacenarse de manera segura incluyen: claves criptográficas, identificadores de dispositivos y vectores de inicialización. Se deben utilizar mecanismos de almacenamiento seguros y confiables, como los proporcionados por un Entorno de Ejecución Confiable, informa el gobierno.

5. Los dispositivos deben comunicarse de forma segura

Los datos sensibles a la seguridad, incluidos la gestión y el control remotos, deben cifrarse en tránsito. Todas las claves deben ser administradas de forma segura.

Se recomienda encarecidamente el uso de estándares de Internet abiertos y revisados por pares, agrega el gobierno.

6. Minimizar las superficies de ataque expuestas.

Todos los dispositivos y servicios de IoT deben funcionar según el “principio de privilegios mínimos”. Los puertos no utilizados deben cerrarse, el hardware no debe exponer innecesariamente el acceso, los servicios no deben estar disponibles si no se están utilizando y el código debe minimizarse a la funcionalidad necesaria para que un servicio funcione.

7. Asegurar la integridad del software

El software en dispositivos IoT debe verificarse usando mecanismos de arranque seguros. Si se detecta un cambio no autorizado, el dispositivo debe alertar al consumidor / administrador de un problema y no debe conectarse a redes más amplias que las necesarias para emitir la alerta.

La capacidad de recuperarse de estas situaciones de forma remota debe depender de un buen estado conocido para permitir la recuperación y actualización seguras del dispositivo.

Esto evitará la denegación de servicio y los costosos retiros o visitas de mantenimiento, dice el gobierno, al tiempo que minimiza el riesgo de que un atacante pueda subvertir las comunicaciones de red.

8. Asegurar que los datos personales estén protegidos.

Cuando los dispositivos y / o servicios procesen datos personales, deberán hacerlo de acuerdo con las leyes de protección de datos aplicables, como el Reglamento de protección de datos general (GDPR) de Europa y la Ley de protección de datos del Reino Unido de 2018.

Los fabricantes de dispositivos y los proveedores de servicios de IoT deben proporcionar a los consumidores información clara y transparente sobre cómo se utilizan sus datos, quién los utiliza y con qué fines. Esto también se aplica a los terceros que puedan estar involucrados, incluidos los anunciantes.

9. Hacer sistemas resistentes a las interrupciones.

La resiliencia debe estar integrada en los dispositivos y servicios de IoT, teniendo en cuenta la posibilidad de cortes de red y de energía.

Donde sea razonablemente posible, los servicios de IoT deben permanecer operativos y localmente funcionales en el caso de una pérdida de la red y deben recuperarse limpiamente donde haya una pérdida de energía. Los dispositivos deben poder regresar a una red en un estado razonable y de manera ordenada, en lugar de una “reconexión a escala masiva”, dice el gobierno.

10. Monitorear los datos de telemetría del sistema.

Si los datos de telemetría se recopilan de los dispositivos y servicios de IoT, como los datos de uso y medición, se deben monitorear las anomalías de seguridad.

El monitoreo de la telemetría, incluidos los datos de registro, es útil para la evaluación de la seguridad y permite identificar y resolver las circunstancias inusuales de manera temprana, minimizando los riesgos de seguridad y permitiendo la rápida mitigación de problemas.

11. Facilitar a los consumidores la eliminación de datos personales.

Los dispositivos y servicios deben configurarse para que los datos personales puedan ser fácilmente eliminados de ellos cuando haya una transferencia de propiedad, cuando el consumidor desee eliminarlos y / o cuando el consumidor desee deshacerse del dispositivo.

Los consumidores deben recibir instrucciones claras sobre cómo eliminar estos datos, dice el gobierno.

12. Facilita la instalación y el mantenimiento de los dispositivos.

La instalación y el mantenimiento de los dispositivos de IoT deben seguir pasos mínimos y seguir las mejores prácticas de seguridad en cuanto a la usabilidad. Los consumidores también deben recibir orientación sobre cómo configurar de forma segura su dispositivo.

13. Validar los datos de entrada

Finalmente, se debe validar la entrada de datos a través de interfaces de usuario (y transferirse a través de API o entre redes en servicios y dispositivos).