2019-3-06
Especialistas da Kaspersky Lab e outros membros do Industrial Internet Consortium (IIC) como o Entrust Datacard, Fujitsu, Microsoft e Praetorian, reuniram-se para formular o guia prático do Security Maturity Model (SMM). O objetivo é o de ajudar os operadores de IoT a definir o nível de maturidade de segurança que precisam de alcançar
O SMM baseia-se nos conceitos identificados no IIC Industrial Internet Security Framework, publicado em 2016. O SMM é o primeiro a surgir na sua categoria, discutindo a nova abordagem de maturidade de segurança estabelecida para IoT. Este modelo traça um quadro de segurança para os stakeholders de IoT, baseado nos seus níveis de segurança, e avalia a maturidade dos sistemas IoT de organizações, através de indicadores de controlo, tecnologia e gestão de sistema. Outros modelos podem focar-se numa indústria em particular, como em IoT, mas não se focam em segurança e vice-versa, enquanto o SMM cobre todos estes aspetos e, quando apropriado, dá destaque a elementos de modelos existentes para registar o que já existe e evitar repetições. Esta solução foi pensada para uma variedade de stakeholders de IoT. Não são apenas os especialistas em segurança que dão grande ênfase à melhoria das condições de segurança da infraestrutura que conecta os sistemas de informação a objetos físicos, mas também os operadores de instalações industriais, os responsáveis por desenvolver software para fins especiais, proprietários de empresas relevantes e autoridades reguladoras. Desta forma, o SMM IoT, contrariamente aos padrões e requisitos habituais de regulação, tem em conta os interesses e necessidades de segurança de todas as organizações e indivíduos envolvidos, e operações de IoT. Ainda assim, o guia prático contém três case studies para ajudar os stakeholders de IoT a aplicarem o Security Maturity Model. Estes casos incluem uma smarter data-driven bottling line, um gateway com suporte para atualizações OTA e câmaras de segurança utilizadas em ambientes residenciais. Este guia ajuda os operadores de IoT a compreender em que estado se encontram no presente, qual o estado que ambicionam para o futuro e quais os passos que precisam de dar para alcançar o seu objetivo. Depois desta avaliação, e com o passar do tempo, as organizações podem melhorar o seu estado de segurança, recorrendo a avaliações contínuas ao seu sistema IoT e realizando melhorias baseadas nos 36 parâmetros listados no guia, até alcançarem o nível exigido. “A priorização das medidas de segurança, da definição de metas e do desenvolvimento de uma estratégia para tornar o sistema suficientemente seguro são objetivos que afetam o planeamento económico das organizações a longo prazo, juntamente com o investimento, a escolha de um programa de seguro ou outra tarefa possa entrar em conflito. A abordagem moderna para estas tarefas inclui o uso do chamado 'nudge' - a criação de uma escolha de arquitetura que funcione como suporte do processo de decisão eficiente, numa determinada área. O SMM IoT é um quadro para o 'nudge' no campo da informação de segurança IoT. Ele permite aos atores darem o primeiro passo (ou segundo, ou terceiro e por aí fora) em direção a um sistema seguro, seja uma instalação de produção de larga escala ou uma pulseira de fitness”, refere Ekaterina Rudina, Senior System Analyst da Kaspersky Lab ICS CERT. O grupo de especialistas tem trabalhado neste projeto ao longo de quase dois anos: foi no início de 2017 que a equipa de Security Applicability - que se concentra no uso de práticas de segurança em aplicações IoT da vida real, dentro do IIC - começou a explorar um sistema de maturidade. O guia prático do SMM é mais uma peça complementar do IoT SMM: Description and Intended Use White Paper, lançado no início de 2018. |