El problema con los dispositivos de IO es que rara vez son hechos por las compañías de computación tradicionales como Microsoft, Cisco, Dell y así sucesivamente. En cambio, son comúnmente hechos por compañías más acostumbradas a la electrónica de consumo. Y la electrónica de consumo cambia a menudo, a veces varias veces al año.
Los viejos aparatos electrónicos eran relativamente seguros para abandonarlos. A nadie le preocupaba si la licuadora de inmersión del año pasado seguía siendo «actual» mientras funcionara, ¿verdad? Ahora, el abandono de la electrónica equipada con ordenador supone un riesgo de seguridad – una preocupación magnificada por el hecho de que estas compañías de electrónica de consumo son nuevas en este nivel de computación, lo que significa que es más probable que cometan errores de novato en su código de firmware.
Con cualquier nueva adquisición de un dispositivo inteligente, la organización debe documentar sus procedimientos de actualización de firmware, y tener un Acuerdo de Nivel de Servicio (SLA) del fabricante sobre la frecuencia con la que se actualizará el dispositivo, y el tiempo que transcurrirá hasta que se descubra una vulnerabilidad. Como mínimo, debería saber cuánto tiempo se compromete el fabricante a proporcionar actualizaciones de firmware.