Se ha publicado el estudio “Enterprise in Focus” realizado por GSMA Intelligence. Es nuestro tercer estudio anual, en el que hemos contactado con más de 2.800 empresas a fin de conocer sus actitudes frente a Internet de las Cosas (IoT). En el mismo marco, hemos preparado en cooperación con Pelion un informe en el que se ha preguntado a las empresas cómo piensan y actúan en materia de seguridad de la IoT.

Las respuestas apuntan a que las empresas están mejorando la seguridad de la IoT, lo que resulta alentador. Por ejemplo, es evidente que existe cierto grado de concienciación en relación con la seguridad en IoT. El porcentaje de empresas que han cambiado sus prácticas de seguridad como consecuencia de un despliegue de IoT se ha mantenido relativamente estable, alrededor del 85% durante los dos últimos años. Si bien dicho número no aumenta, supone igualmente un progreso, porque antes la mayoría de las firmas trataban la seguridad en la IoT como un mero añadido (o una carga que se llevaba con desagrado) y la trataba como un factor de higiene. De hecho, nuestra investigación también revela cambios en los motivos por los que las empresas han adaptado sus prácticas de seguridad a los despliegues de IoT.

El 85% de las empresas ha modificado sus prácticas de seguridad. ¿Por qué es importante ese dato?
Por segundo año consecutivo, el porcentaje de empresas que ha modificado sus prácticas de seguridad como resultado de despliegues de IoT se sitúa en torno al 85%. Por un lado, podríamos mostrarnos pesimistas, porque no todas las firmas están concienciadas al respecto como nosotros querríamos. Con todo, el 85% es una amplia mayoría… ¿y acaso alguien creía que alcanzaríamos el 100%? Pero ¿por qué es importante ese 85%? Lo es porque ahora podemos decir que una mayoría significativa de empresas se preocupa por la seguridad de la IoT, hasta el punto de tomar las medidas necesarias para poder confiar en los datos proporcionados por la IoT en la adopción de decisiones comerciales. Si no confían en la integridad de dichos datos, tampoco podrán usarlos en la toma de decisiones comerciales ni en la automatización de los procesos de trabajo.
¿Qué han hecho realmente las empresas que dicen haber cambiado sus prácticas de seguridad?

Para empezar, un número aún mayor de empresas afirma que las características de seguridad son el factor que consideran más importante al adquirir soluciones de IoT. No debemos extrañarnos por ello. El estudio también indica que es más probable que las empresas incorporen funciones de seguridad en sus soluciones de IoT a partir de lo que ya conocen, de las TI empresariales y de la seguridad en la nube. Si bien esto no está mal (no hay un camino correcto y uno equivocado), la aplicación de medidas de seguridad de TI y nube a la IoT tan solo funciona en uno de los tres escenarios usuales de amenaza contra esta última. En cualquier solución de IoT, en cualquier sector y aplicación, los tres escenarios habituales son los ataques a dispositivos, a servidores de nube y a redes de comunicaciones. Se infiere del estudio que, si bien las empresas son cada vez más conscientes de la importancia de la seguridad en la IoT, siguen adaptando a dicho ámbito los conceptos tradicionales de seguridad en TI y nube. La seguridad de la IoT es más exigente que la de TI y nube.

¿Cuál es el motivo por el que las empresas han cambiado sus prácticas de seguridad?
¿Están cambiando porque la ley las obliga, o por otros motivos? Tal como ilustra el gráfico siguiente (haga clic para ampliarlo), los cambios en las políticas de seguridad se deben a todo un espectro de motivaciones. En un extremo se hallan las razones tradicionales y en el otro la consecución activa de objetivos.

¿Por qué es tan importante conocer las motivaciones que subyacen a los comportamientos de las empresas? Porque las motivaciones y acciones que declaran nos permiten inferir hasta qué punto han adoptado un enfoque oportuno en materia de seguridad. Estudiaremos las distintas razones que alegan, empezando por la que implica una actitud más activa de consecución de objetivos.

* El 61% afirma que quiere establecerse como líder en seguridad a fin de promover la oferta de su empresa. Consideramos que dicha motivación es la que implica una actitud más activa, porque indica que la empresa se mueve por el deseo de demostrar que está concienciada en materia de seguridad en todos sus procesos y despliegues de IoT. Por lo tanto, la firma adopta medidas a lo largo de todo el ciclo vital de su despliegue de IoT para que clientes y proveedores puedan confiar en los datos generados. Está claro que este objetivo debe entenderse más bien como una aspiración, porque en realidad no se dan muchos casos de empresas que afirmen haberlo conseguido. Dicho objetivo no se alcanza tan solo con modificar las prácticas de seguridad ya existentes. Exige que las empresas que adquieren IoT incorporen las necesidades de seguridad propias de la IoT a sus anteriores requisitos en materia de seguridad empresarial y de TI.

* El 52% afirma que quiere preservar su reputación en el caso de que se produzca un incidente de seguridad. Cuando la noticia de un incidente llega al gran público (no solo al sector industrial), hasta la gente corriente se entera de que ciertas empresas han sufrido brechas de seguridad, e incluso de que no habían elegido las soluciones más seguras que tenían a su alcance. La experiencia de Zoom durante los primeros días del confinamiento debido a la Covid-19 (nuevo coronavirus) es un ejemplo de cómo una firma protegió su reputación a base de ganarse la confianza de sus clientes. En primer lugar, reconoció que podría haber hecho más en materia de seguridad y privacidad, y luego llevó a cabo un programa público de actuaciones para remediar la situación. En el caso de la IoT, las empresas que quieran crear esa confianza en sus clientes y proveedores tienen que integrar las necesidades de seguridad de la IoT en su estrategia general de seguridad, y proveerse de un manual que le permita responder a los incidentes frente a todas las partes interesadas que tengan un papel clave en la organización. Lo que ocurre de hecho es que las empresas tienden a incorporar las medidas de seguridad de TI a las soluciones de Internet de las Cosas, con lo que se crean vulnerabilidades con implicaciones económicas que pueden llegar a revestir cierta gravedad. Por ello, un primer paso es que las empresas tengan siempre a la vista sus despliegues de IoT, desde el estado de la conexión hasta el dispositivo y la aplicación.

* El 50% afirma que tiene que cumplir con las regulaciones, o con requisitos establecidos por clientes o proveedores. Esta motivación es la que categorizamos como reflejo de una actitud más pasiva, porque en este caso el cambio se debe tan solo a la exigencia de un tercero. Si tomamos en consideración tan solo los últimos dos años, veremos que el Reino Unido, Australia y más recientemente Estados Unidos han introducido requisitos reglamentarios de seguridad específicos para Internet de las Cosas. Contamos con que la presión de los organismos reguladores se incrementará a medida que otros países adopten requisitos similares. En los casos en que los dispositivos de IoT se fabrican y activan en territorios distintos, las empresas deberán enfrentarse a regulaciones más complejas. Por otra parte, contamos con que se intensifique la presión de los proveedores para exigir a las firmas que pertenecen a su cadena de valor que acrediten buenas prácticas de seguridad. Sabemos muy bien que la IoT no presenta especificidades sectoriales, ni siquiera nacionales. Una sociedad que está siempre conectada, que comprende distintas aplicaciones de la IoT, depende de los datos y requiere que todos los interesados puedan confiar en ellos. En este futuro, que ya es inminente, cobra importancia la necesidad de que una típica empresa pueda demostrar confianza, no solo en sus propias prácticas, sino también en todo el ciclo vital de su solución de IoT.

¿Con qué se encontrarán ahora las empresas?
El estudio revela que las empresas albergan buenas intenciones, pero no siempre las llevan a la práctica. Si quieren avanzar más en seguridad, deberán tener en cuenta dos factores inmediatos. En primer lugar, la seguridad de TI no es igual que la seguridad en la IoT. Así, por ejemplo, puede que la seguridad en IoT que ofrecen los proveedores de nubes no baste para la solución que utiliza la empresa. En segundo lugar, tienen que saber que existen enfoques alternativos. Un primer paso es informarse de lo que ocurre en los despliegues de IoT de la propia empresa. El seguimiento y administración remotos de los dispositivos de IoT incrementa el control de las empresas sobre estos. Otro factor aún más importante es que la empresa consiga que sus soluciones de Internet de las Cosas tengan características óptimas en términos de rendimiento, coste y seguridad. Los despliegues de IoT requieren medidas de seguridad propias de la IoT. Hay que dejar de forzar la seguridad de TI como único medio para abordar los desafíos de seguridad de la IoT.

–Yiru Zhong – Analista principal de IoT y empresa, GSMA Intelligence

Las opiniones editoriales expresadas en este artículo son exclusivas del autor y no reflejan necesariamente los puntos de vista de la GSMA, sus Miembros o Miembros Asociados.