Uma receita humana para a segurança da Internet das coisas

Embora a tecnologia da Internet das coisas (IoT) seja muito comentada por Seus aplicativos de negócios transformadores, especialmente na manufatura, a ameaça ameaçadora da segurança cibernética faz com que alguns vejam com ceticismo uma rede tão ampla de dispositivos, sensores, software e conectividade. Um fluxo de notícias detalhando violações de dados massivas valida o perigo inerente aos desafios de IoT.

Com estimativas de que os dispositivos conectados podem chegar a 20 bilhões a 30 bilhões em 2020, de 10 bilhões a 15 bilhões de dispositivos em 2015 , de acordo com a McKinsey and Co., o risco certamente aumentará. Em minhas conversas de IoT com líderes de TI corporativos, a preocupação número um que eles expressam é a segurança.

Mas as organizações orientadas digitalmente podem tomar medidas valiosas para manter a integridade dos dados de uma fonte por meio de qualquer ponto de análise e suporte à decisão , central e local, para aumentar a confiança de que os ativos de dados estão seguros. Surpreendentemente, porém, as etapas mais importantes para lidar com a segurança da Internet das Coisas podem ter menos a ver com tecnologia e mais a ver com a cultura corporativa e o comportamento dos funcionários.

Então, quais são alguns dos aspectos mais importantes da Internet of Things medidas de segurança que um fabricante pode implementar imediatamente para ajudar a manter os dados e as redes mais seguros? Vejamos os mais importantes.

Avalie a cultura . A etapa mais vital e que requer pouco ou nenhum custo incremental é uma avaliação cultural honesta. Faça perguntas abertas, talvez usando uma ferramenta que permita o anonimato, sobre as práticas que enlouquecem os usuários e os motivam a criar a temida “TI sombra”.

Por exemplo, se levar quatro semanas para o Departamento de TI para gerar um relatório do cliente para o departamento de remessa, a equipe de remessa pode manter sua própria cópia dos dados do cliente em um local de armazenamento em nuvem. Qualquer pessoa da equipe de remessa agora pode baixar o arquivo de dados do cliente em seus laptops para que os relatórios semanais da equipe sejam feitos a tempo para as reuniões da equipe. Mas considere o risco para sua organização se um desses laptops for perdido ou roubado.

Métricas honestas . Da mesma forma, observe atentamente as métricas organizacionais e pergunte que tipo de comportamento eles adotam e que podem ser contraproducentes para a segurança. Se os engenheiros de manutenção estão de plantão e investigam todos os alarmes, independentemente da gravidade - mesmo que aconteça às 2 da manhã - eles podem muito bem estar motivados a instalar uma câmera de vídeo habilitada para 4G para ficar de olho nas instalações de casa. Esse hack aparentemente inofensivo permitiria que eles “verificassem as coisas” sem dirigir pela cidade no meio da noite.

No entanto, esses engenheiros privados de sono podem não informar o TI sobre esta solução alternativa. Um ponto de acesso 4G - ou a própria câmera - pode ser instalado de uma forma que, infelizmente, fornece aos hackers um ponto de entrada para o resto da sua organização. Olhe para a sua organização de forma holística e lembre-se do elemento humano.

Shadow IT . A melhor solução para as ações de TI oculta é um “período de anistia”, permitindo que os usuários se manifestem e declarem sua tecnologia não autorizada, sem consequências negativas. Seus problemas podem então ser tratados de maneira consistente com a estratégia de segurança da empresa. Depois que isso for concluído e a segurança forte implementada, também pode ajudar a contratar uma organização hacker de "chapéu branco" para tentar penetrar nas defesas da rede. Um hacker ético pensará de maneiras que um insider não pensará. Muitas vezes, os pontos fracos encontrados têm mais a ver com fatores humanos do que com a tecnologia em si.

Segurança cibernética contínua . A longo prazo, é essencial para uma organização entender que a segurança cibernética é um processo contínuo - não um exercício feito uma vez. Os usuários tendem a se tornar complacentes com o tempo, portanto, verificações pontuais periódicas são essenciais, assim como auditorias de segurança formais regulares.

Com ou sem restrições de orçamento, um treinamento eficaz em segurança cibernética para todos na organização é essencial, assim como o estabelecimento de uma cultura que valorize a segurança de TI. Acredite ou não, alguns funcionários ainda não estão cientes do perigo de clicar em um link recebido por e-mail.

Além disso, os líderes corporativos devem demonstrar por meio de seu próprio comportamento que isso é normal e espera-se questionar coisas. Por exemplo, dê um exemplo de como questionar de maneira educada, porém eficaz, estranhos nos corredores sobre o propósito de sua visita e quem é o contato do funcionário - depois, leve-os até o funcionário. Comece cada reunião com um lembrete de segurança para mantê-lo em mente, assim como as empresas de manufatura têm feito por muitos anos com relação à segurança física.

Embora seja verdade que as medidas de segurança acima são válidas para todas as implantações de tecnologia - não apenas IoT - é ainda mais verdadeiro para uma empresa habilitada para IoT devido à amplitude de seu alcance. Os elementos humanos e culturais podem fazer ou quebrar sua estratégia de segurança de IoT.

Marcia Elaine Walker é a consultora principal da indústria para manufatura na SAS. Siga-a LinkedIn ou @MWEnergy no Twitter. Siga as notícias do SAS @SASsoftware no Twitter.