Avaliação de riscos
É preciso entender os riscos que os dispositivos conectados apresentam às suas próprias operações e recursos, bem como as principais partes interessadas, o que inclui consumidores
Ciclo de vida de desenvolvimento seguro
Os produtos de IoT devem ser projetados de ponta a ponta com a segurança em mente – da criação de protótipos ao desenvolvimento à implantação. Portanto, espera-se que os fabricantes incorporem técnicas de ciclo de vida seguro de desenvolvimento (SDL) no design e produção de dispositivos conectados.
Gerenciamento de identidade, autenticação e controle de acesso
Deve-se adotar as práticas recomendadas de segurança de software, como eliminar senhas padrão do tipo “admin”, que são facilmente “hackeáveis”, permitindo que cada dispositivo seja identificado de maneira exclusiva, armazenando e transmitindo com segurança dados confidenciais, como nomes de usuário e senhas e restringindo o número de tentativas de acesso.
Gestão da configuração
A capacidade de personalizar a configuração predefinida de software e firmware é um recurso essencial de muitos produtos de IoT, permitindo que os consumidores aprimorem a usabilidade, a privacidade e a interoperabilidade do dispositivo depois que ele estiver em sua posse. Os fabricantes também são responsáveis por garantir configurações padrão seguras predefinidas em dispositivos de IoT, controlando quem pode fazer alterações nas configurações e que tipo de alterações podem ser feitas.
Gestão da privacidade de dados
Os desenvolvedores são responsáveis por implementar métodos razoáveis para proteger os dados gerados, coletados, armazenados e transmitidos aos dispositivos conectados. Somente o acesso autorizado, o uso e a divulgação de dados ― cada um considerado apropriado para a função do dispositivo conectado ― deve ser permitido. Também é esperado que os produtores garantam a disponibilidade, confidencialidade e integridade dos dados necessários para fornecer serviços de IoT pós-mercado.
Gestão de supplychain
Os fabricantes de dispositivos IoT devem autenticar e verificar a postura de segurança de terceiros envolvidos em suas operações. Isso inclui fornecedores que participam do projeto, construção, fornecimento e fornecimento de materiais de hardware e componentes de software do produto.
Governança
Implantar uma governança eficaz para moldar a direção do programa, possibilitar a colaboração entre as partes interessadas, promover padronização e consistência, fornecer práticas líderes e monitorar riscos regulatórios continuamente.
Monitoramento, gerenciamento, correção e resposta à vulnerabilidades
Os fabricantes devem implementar processos formais para monitorar dados em busca de anomalias, detectar invasões em tempo real, descobrir vulnerabilidades de segurança (variando de monitoramento básico de dados a métodos avançados, como testes de penetração e hackers éticos), atualizar dispositivos de pré e pós-mercado com correções de segurança e divulgar vulnerabilidades conhecidas às partes interessadas afetadas e ao público em geral.