Home > Tendências

Internet das Coisas mais segura: um guia em 5 passos

É imperativo revisar as estratégias de negócio ponderando as oportunidades e os riscos que nos traz a Internet das Coisas

Leonardo Carissimi *

05/09/2018 às 13h00

iot_733423222.jpg
Foto:

A
tecnologia atualmente disponível para Internet das Coisas (IoT) ainda
tem algumas limitações, tais como vida útil de baterias, largura de
banda, alcance de transmissão, interoperabilidade etc. Mas não se deixe
enganar, afinal a tecnologia já disponível é suficiente para provocar
grandes transformações em processos produtivos, produtos,
serviços e experiência de clientes. Imagina o que ainda está
por vir!

Mas
um tema em frequente escrutínio nas discussões sobre Internet das
Coisas é o da segurança cibernética. Não é um assunto menor. Mas talvez
mereça um ajuste de foco: a ciber segurança não deve ser um inibidor da
IoT, e sim um habilitador. A segurança cibernética pode propiciar a
adoção de IoT com o aproveitamento de inúmeras ferramentas, melhores
práticas e experiências existentes no mundo de TI.

Aqui
temos um guia em 5 passos para perseguir estes objetivos – garantindo
que inovação nos negócios e cibersegurança caminhem juntos:

1)
Conscientização da Segurança como Princípio
: Sempre que
incorporamos novas tecnologias em nossas vidas e nos negócios, temos a
oportunidade de começar a partir de um novo patamar. Uma nova chance
para desenhar e implementar arquiteturas que já incorporem o tema de
segurança não apenas como um requerimento, mas como um princípio,
permeando todas as decisões. Trabalhar assim fará não apenas com que a
segurança seja mais eficaz e econômica, mas permitirá também que ela dê
respaldo a decisões técnicas e de negócio mais arrojadas, aumentando
possibilidades quando ainda na prancheta. A Segurança, quando
incorporada no início do processo, é habilitadora de inovações e não
apenas um fator de custo e atraso, como acertadamente se percebe quando
erroneamente ela entra muito tarde no processo. Esta conscientização e
postura deve permear toda a organização.

2)
Identificar Requisitos de Segurança:
Em termos práticos, adotar
a segurança como um princípio implica em considerações na fase de
concepção e desenho da arquitetura técnica, e também do seu modelo de
gestão. Na fase de conceituação, quando os requisitos de negócio são
identificados, devem ser incorporados os requisitos de segurança. No que
diz respeito à arquitetura técnica, faz-se necessário incluir
mecanismos de prevenção e contenção de incidentes desde o início, para
que a mesma já nasça conceitualmente segura e assim seja implementada.
Para isso, é preciso avaliar as capacidades e funcionalidades dos
diversos elementos: "coisas em si", seus sensores, seus gateways; suas
vulnerabilidades; qual a natureza e criticidade dos dados que
trafegarão; com que aplicações vão interagir e onde os mesmos estão – em
Centros de Dados corporativos, dispositivos móveis, sistemas em Nuvem; a
quem se destinam, sejam funcionários, terceiros, clientes e parceiros
da cadeia de valor. Perfis de risco devem ser identificados bem como
ações de tratamento dos riscos em cada caso (mitigar, transferir,
evitar, aceitar).

3)
Em seguida devem entrar em cena os Mecanismos de
Contenção. A contenção é normalmente associada à Resposta a Incidentes,
para isolar os efeitos de incidentes que já ocorreram. Mas não parece
mais efetivo antecipar o tema da contenção para a fase de solução,
desenho e implementação? A tecnologia de micro segmentação pode
preventivamente conter o efeito de futuros incidentes ao isolar
elementos com diferentes perfis de risco. Se a arquitetura de IoT é
desenhada e implementada tendo a contenção como princípio, você estará
um passo à frente dos ciber criminosos se (quando?) eles executarem um
acesso bem-sucedido à sua infraestrutura. Trata-se de reduzir a
Superfície de Ataque, aproveitando a flexibilidade e escalabilidade que
só técnicas avançadas de micro segmentação oferecem. Além disso, se
a micro segmentação da rede é feita por software, técnicas de
redefinição dinâmica de perímetro podem aumentar a resiliência e a
segurança de toda a arquitetura.

4)
Já em fase de operação, o tema da Detecção de Incidentes merece
atenção
. As características da IoT impactarão as capacidades de
detecção de forma acentuada. O volume e heterogeneidade de dispositivos
conectados, bem como o volume de dados gerados por sua interação, deve
produzir milhões de alertas por dia. Assegurar que os alertas relevantes
sejam notados, e somente estes, é como procurar agulha no palheiro.
Portanto, ferramentas de correlação de eventos e plataformas SIEM
(Security Incident & Event Management) serão cruciais para lidar
com o desafio. Mas não é só isso: devido aos protocolos envolvidos,
muitos dos quais não reconhecidos por SIEMs de mercado, soluções
especializadas de monitoração de rede IoT são necessárias. Não esqueça, é
um mundo diferente!

5)
Em necessária sintonia com a detecção, vem a Resposta a
Incidentes.
Esta deve fornecer processos, ferramentas e profissionais
qualificados para efetivamente identificar as causas, investigar as
circunstâncias e atuar na remediação. No mundo da Internet das Coisas,
isso pode implicar em ter uma rede de profissionais distribuída em
grandes territórios para atuação física nos diferentes tipos de
dispositivos.

IoTsegurança

À
medida em que a linha entre o mundo físico e o digital se torna mais
tênue, os negócios se tornam mais suscetíveis a mudanças rápidas. É
imperativo revisar as estratégias de negócio ponderando as oportunidades
e os riscos que nos traz a Internet das Coisas. Dentre os riscos,
aqueles oriundos do crime cibernético podem ser analisados sob a ótica
das práticas de segurança existentes, pois estas resultam de grande
avanço observado nos últimos anos. Vimos algumas destas práticas e
tecnologias aqui, e ainda existem outras. O importante é não deixar-se
paralisar. O receio dos riscos não pode paralisar o negócio. O maior
risco é não adaptar-se.

 

(*) Leonardo Carissimi é diretor de Soluções de Segurança da Unisys na América Latina

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter Newsletter por e-mail