IoT é agora

Mais conhecida como IoT – Internet of Things, a proposta da Internet das Coisas é conectar tudo entre si por meio da Internet e, portanto, melhorar a vida das pessoas, tornando-a mais fácil e ágil. Mas o que está por trás desta grande ideia? Dispositivos de baixo custo computacional, que não garantem a segurança dos […]

Por: Abinc

Mas o que está por trás desta grande ideia? Dispositivos de baixo custo computacional, que não garantem a segurança dos dados que coletam, seja no armazenamento, na transmissão ou mesmo no descarte estão sendo desenvolvidos sem padrões e regulamentações. A IoT consiste no advento da conexão de smartphones, brinquedos, eletrodomésticos, carros, câmeras de monitoração predial, detectores de fumaça, redes sociais, sites de compra e venda de alimentos, webcams, …tudo isto e muito mais. Veja abaixo uma lista de projetos em andamento:

Controle de glicose pelo usuário e por médicos conectados remotamente;

Monitores de gravidez de risco, com análise de dados em tempo real;
Monitor de temperatura e pressão com previsão comportamental;
Cesto de lixo que processa latas de refrigerante e ainda envia dados estatísticos pela Internet;
Termostato que ajusta a temperatura da casa conforme a rotina dos moradores;
Carros autônomos.

Projetos estes que estão, por um lado, facilitando a vida das pessoas e, por outro, tirando o sono daqueles que tiveram seus dados roubados, alterados, divulgados, ou mesmo que passaram por experiências dolorosas, por alteração indevida de ação do dispositivo. E isso é só o começo.

Neste momento em que tudo se conecta, a preocupação com a segurança das pessoas cresce exponencialmente. Temas como “privacidade”, “segurança da informação”, “cyber security” e “regulamentação” estão sob forte discussão na sociedade privada e também nos governos.

Enquanto regulamentações e standards que englobam questões importantes da IoT estão em desenvolvimento e, portanto, não estão sendo de fato aplicados por fabricantes e/ou indústrias, incluir IoT na sua gestão de riscos de TI soa como uma ação de prevenção tangível. Para atingir isto, é preciso:

Identificar ativos (tangíveis e intangíveis) e respectivas vulnerabilidades (física e lógica);
Identificar controles de segurança atuais e outros novos, se necessário;
Desenhar cenários de ameaça; estimar probabilidades de impacto;
Em pós análise, estabelecer níveis de risco da companhia e esclarecer planos de ação.

Como se trata de uma área em constante atualização, já temos informação o bastante para estabelecer cenários e promover mudanças. A tabela abaixo contribui como um esboço mínimo de cenários de infecção e controle de dispositivos de IoT.

Ativos

Ameaças e Potencial Incidente

Controles

Eletrodomésticos;
Automóveis;
Roteadores;
Smartphones;
Brinquedos eletrônicos;
Sistemas de áudio visual;
Componentes de segurança predial;
Câmeras de vigilância.

Entre outros que, remotamente, podem sofrer interferência indevida por qualquer pessoa ou software.

DDoS – Distributed Denial of Service (Indisponibilização dos serviços) – sistemas de água, energia, gás, hospitais, sinais de trânsito, logística, transporte e monitoração de carga, etc;
Infecção por Ransomware – Sequestro de dados coletados e bloqueio da operação do dispositivo até o pagamento do resgate;
Uso indevido de dados coletados remotamente;
Disponibilização não autorizada, de fotos, vídeos, histórico médico, dados comportamentais, histórico escolar, etc.;
Uso do dispositivo alheio sem permissão e com a intenção de provocar danos – desligar câmeras de segurança, ligar webcam, alterar dados de monitoração de sistemas cardíacos, controle de glicose, provocar superaquecimento de dispositivos, etc.

Privacidade de dados:
o    Garantir o direito à informação pessoal apenas após aprovação do dono da informação;
o    Promover adequação às regulamentações relacionadas à privacidade local (compliance).Segurança das Informações:
o    Estabelecer controles de contratação e manutenção segura de sistemas e hardware, com áreas de segurança física e ocupacional;
o    Assegurar que informações coletadas remotamente não serão utilizadas para outros fins senão o estabelecido com o dono da informação e o custodiante (como estão seus acordos com as empresas terceiras de gestão da TI?);
o    Assegurar que donos das informações e respectivos custodiantes estejam comprometidos com as ações de gestão dos riscos fim a fim;
o    Promover conhecimento sobre o assunto na organização, dentre e fora de TI.Regulamentações:
o    Assegurar padronização e controle de segurança de dados pessoais e corporativos;
o    Obter respaldo legal para ações decorrentes de incidentes gerados com as informações coletadas;
o    Garantir padronização mínima de comunicação e controle de dispositivos;
o    Garantir homogeneidade de níveis de serviço e responsabilidade legal de custodiantes e donos da informação.A segurança da informação já estabelece controles que englobam camadas de hardware e softwares, processos, estrutura física, entre outros, que muito já podem contribuir no cenário de IoT.

Sempre vale a pena lembrar que toda inovação traz riscos ao negócio e a gestão destes é dependente direta da participação responsável do corpo executivo da empresa.

Fechar empresas, perder empregos, machucar pessoas, corromper a logística, promover caos na infraestrutura básica de saúde, energia, água, esgoto, ou simplesmente colocar nossas vidas nas mãos de pessoas desconhecidas e mal-intencionadas não é uma opção aceitável.

Tudo que envolve IoT é vulnerável e, na mesma medida, pode ser seguro. IoT é um mundo de oportunidades, vamos tirar proveito com segurança.

Fonte: Itforum365

Texto original:
https://itforum365.com.br/blogs/a-conexao-das-coisas-iot/iot-e-agora

Internet IoT TI

por adm2
on 19 de outubro de 2017