¿Hay alguna lista de verificación de seguridad de creación sistemática de IoT?

Question

¿Hay alguna lista de verificación de seguridad de creación sistemática de IoT?

#1 de Julian Knight (2 votos)

4

¿Conoce algún documento disponible públicamente que ayudaría a los creadores de productos IoT / Connected a desarrollar un enfoque y / o proceso sistemático / programático para proteger dispositivos de la nueva era?

hardware software programming iot

pregunta Kamic 01.12.2016 - 18:35

fuente

1 respuesta

Lea otras preguntas en las etiquetas hardware software programming iot

pregunta básica sobre cómo funciona un IDS Vigilancia gubernamental VPN o TOR [cerrado]

score 2 · Accepted Answer

Una nota sobre la redacción de la pregunta. Has preguntado sobre IoT, pero esto es más un concepto que una "cosa". IoT puede abarcar muchos temas, desde controles industriales hasta ciudades inteligentes con automatización del hogar en medio.

Sin embargo, lo siguiente puede ser de ayuda.

El informe Future Proofing The Connected World de The Cloud Security Alliance
" Red de cosas de NIST
La política emergente de IoT de la UE
Robert Silvers , el Subsecretario de Política Cibernética del Departamento de Seguridad Nacional de EE. UU. tiene algo de cosas útiles para decir .
A presentación de un taller de ENISA al menos resalta algunas de las ideas de la UE que están sucediendo
El gobierno del Reino Unido tiene una competencia corriendo para la investigación
Hay una IoT Security Foundation que tiene al menos algunos libros blancos
También puede consultar los Criterios comunes "Niveles de aseguramiento evaluados". Hay una descripción general con respecto a los dispositivos integrados aquí .
Algunas recomendaciones sobre Asegurar dispositivos industriales incrustados pueden ser útiles.

Los enfoques deben, por supuesto, reflejar cualquier otro enfoque basado en la seguridad. Aunque tenemos algunos cambios adicionales para IoT:

Es posible que los dispositivos integrados no tengan la potencia suficiente para mantener los protocolos de seguridad estándar, ya que no siempre pueden hacer frente a los gastos generales de cifrado.
Los dispositivos integrados pueden ser difíciles de actualizar, lo que dificulta o, a veces, imposibilita la solución de los problemas de seguridad descubiertos después de la implementación.

Un área en la que estoy tratando de marcar la diferencia es intentar cambiar los contratos estándar para que los proveedores se aseguren de que los dispositivos puedan actualizarse después de la implementación para mantenerlos actualizados y solucionar los problemas de seguridad. Por lo tanto, no debemos asumir que los problemas y las correcciones siempre tienen que ser técnicos.

Solo una nota sobre esta respuesta. Debido a la pregunta, la respuesta es inevitablemente un conjunto de enlaces a otra información, que normalmente es mal vista en Stack. Es probable que estos enlaces se desvíen con el tiempo, razón por la cual he intentado dar los títulos siempre que sea posible para que se puedan buscar.