La Cloud Security Alliance ha actualizado su Matriz de Controles IoT

La entidad ha incorporado un nuevo Dominio de Gestión de Incidentes, así como una mayor claridad técnica y referencias.

Cloud Security Alliance (CSA) ha publicado la versión 3 de Internet of Things (IoT) Controls Matrix, como asimimismo la guía complementaria de la matriz. La versión 3 del recurso, desarrollada por el grupo de trabajo de la CSA para IoT, añade un nuevo dominio de gestión de incidentes y mejora la claridad técnica y las referencias, al tiempo que aumenta el número de controles a 199.

La Matriz, junto con la guía, ayudará a los usuarios a identificar los controles de seguridad adecuados y a asignarlos a componentes arquitectónicos específicos, como dispositivos, redes, puertas de enlace y servicios en la nube, para los sistemas IoT empresariales que incorporan múltiples tipos de dispositivos conectados, servicios en la nube y tecnologías de red.

Aaron Guzman, copresidente del Grupo de Trabajo de IoT y uno de los autores principales del documento, comentó que con los nuevos avances en conectividad y autonomía en todos los sectores industriales, el mercado de IoT sigue creciendo. El ejecutivo acotó que, sin embargo, depender de los datos y funciones generados por el IoT requiere que las empresas que adopten estas nuevas tecnologías planifiquen despliegues que sean accesibles, seguros y robustos. Esto puede ser difícil avanzar sin un plan, dada la rápida evolución de la tecnología conectada y la constante afluencia de nuevos riesgos.

La tercera versión de la matriz puede emplearse en diversos ámbitos del IoT, desde sistemas que solo manejan datos de «bajo valor» con un potencial de efecto limitado hasta sistemas muy sensibles que prestan servicios vitales. La guía complementaria muestra cómo utilizar la matriz para analizar e implantar un sistema de IoT, con una explicación y descripción columna por columna. También se ha mejorado para incluir perfiles de la industria, que sirven como puntos de partida para proteger los dispositivos de IoT específicos de la industria, incluidos los aparatos médicos, los automóviles y los coches de autoconducción.

«La creación de un entorno de IoT seguro requiere una ingeniería de seguridad que aborde los riesgos únicos y emplee las medidas de mitigación adecuadas. La Matriz de Controles del IoT ofrece un punto de partida para las organizaciones que buscan entender e implementar mejor los controles de seguridad dentro de su arquitectura del IoT», dijo Michael Roza, Profesional de Riesgos, Control de Auditoría y Cumplimiento y uno de los becarios de investigación de CSA y autor principal de las tres versiones de la Matriz de Controles del IoT.

La Matriz de Controles de IoT (anteriormente conocida como el Marco de Controles de Seguridad de IoT) se publicó por primera vez a principios de 2019, e introdujo 155 controles de seguridad de nivel básico que se requieren para mitigar muchos de los riesgos asociados con un sistema de IoT que incorpora múltiples tipos de dispositivos conectados, servicios en la nube y tecnologías de red. Los arquitectos de sistemas, los desarrolladores y los ingenieros de seguridad, así como los auditores y los evaluadores de penetración, siguen utilizándola hoy en día para evaluar la seguridad de sus implementaciones a medida que avanzan en el ciclo de vida del desarrollo para garantizar que se ajustan a las mejores prácticas especificadas por la industria.

Como parte de una estrategia holística para salvaguardar el ecosistema de la nube, la Matriz de Controles de la IoT apoya la Matriz de Controles de la Nube de la CSA, la Arquitectura Empresarial de la CSA y otras mejores prácticas. La matriz y su guía complementaria son gratuitas y pueden descargarse inmediatamente.

El grupo de trabajo de CSA IoT crea marcos, procesos y mejores prácticas para conectar la seguridad de los sistemas. La privacidad de los datos, la seguridad y la protección en el borde y en la nube son algunos de los temas que aborda el Grupo de Trabajo. Los interesados en participar en futuras investigaciones y actividades sobre el IoT pueden dirigirse a la página de inscripción.



Contacto | Diario TI es una publicación de MPA Publishing International Ltd., Reino Unido. © Copyright 1997-2022