Las empresas y organizaciones utilizan cada vez más dispositivos IoT para impulsar el éxito operativo al aprovechar más datos, pero la gobernanza de IoT se está quedando atrás.
Cuando se implementa correctamente, hay muchos beneficios de utilizar una red creciente de dispositivos IoT, que incluyen mejores ingresos y eficiencia operativa, costos más bajos e incluso la creación de nuevos modelos comerciales.
Sin embargo, a medida que más y más dispositivos de IoT y de borde proliferan en la red de una organización , mayor es la necesidad de un modelo de gobierno de IoT estricto y eficaz.
Según un estudio reciente de Deloitte , las principales tendencias que se espera que traigan obstáculos para la gobernanza de IoT consisten en:
- Gobernanza de datos: las plataformas y los dispositivos de big data creados para admitir el almacenamiento de datos a gran escala tienden a ser diversos en sus capacidades, lo que genera dificultades para liberar el verdadero valor de IoT.
- Derechos de privacidad: los dispositivos portátiles habilitados para la nube en sectores como el de la atención médica generarán dudas entre quienes proporcionan datos, así como entre los reguladores gubernamentales.
- Violaciones de seguridad: proteger las redes se está volviendo más complejo debido al aumento exponencial de los dispositivos involucrados, lo que aumenta la presión sobre las organizaciones y los reguladores para garantizar que estén suficientemente protegidos.
Alan Grau , vicepresidente de ventas y desarrollo comercial de PQShield , y exvicepresidente de soluciones integradas/IoT de Sectigo , dijo: “Desde el punto de vista de la gobernanza, inundar las redes empresariales con dispositivos a menudo inseguros y no autenticados plantea serias preocupaciones con respecto al cumplimiento. y la seguridad de la red
“El rápido crecimiento de IoT no ha sido paralelo con un crecimiento en la seguridad de los dispositivos, y los dispositivos inseguros corren el riesgo de que las empresas sean tanto inseguras como no conformes”.
Esta falta de visibilidad y la inseguridad resultante está respaldada por un estudio de Panaseer , donde los líderes de seguridad citaron los dispositivos IoT como los activos sobre los que tienen menos visibilidad.
“Rara vez se puede encontrar una dirección IP en un dispositivo IoT e incluso si lo es, es difícil saber cuál es la función del dispositivo y a qué está conectado. Con múltiples redes en diferentes ubicaciones que contienen múltiples dispositivos, la visibilidad disminuye naturalmente. Esto deja a los equipos de seguridad completamente a oscuras sobre el riesgo que representan los dispositivos individuales y qué vulnerabilidades pueden explotar los actores malintencionados”, dice Grant Duxbury , director de ingeniería de preventa de Aptum Technologies .
Para garantizar que estos dispositivos sean seguros y que una empresa siga cumpliendo con los requisitos, los líderes pueden seguir los pasos a continuación para garantizar la gobernanza de IoT.
Una guía para el gobierno, el riesgo y el cumplimiento de TI : Information Age presenta su guía comercial completa para el gobierno, el riesgo y el cumplimiento de TI.
1. Controles y revisión de seguridad
Al inscribir por primera vez dispositivos IoT en un ecosistema, Duxbury sugiere que se deben realizar controles rigurosos y que siempre se deben revisar las pautas del fabricante sobre las mejores formas de configurar un dispositivo de manera segura.
“Un inventario completo que mapee cada dispositivo y su función para aumentar la visibilidad ayudará a identificar cada función en ubicaciones específicas. También se deben implementar herramientas de administración de dispositivos de extremo a extremo con capacidades de monitoreo, mantenimiento y actualización automática para garantizar que cada dispositivo se gobierne de la manera más eficiente posible a lo largo de su ciclo de vida”, agrega.
2. Autentica cada dispositivo
Grau cree que la forma más importante de lidiar con la gobernanza de IoT en las redes es autenticar cada dispositivo.
“Un dispositivo IoT vulnerable equivale a una red vulnerable. La seguridad debe ser integral y total y comenzar con la autenticación del dispositivo”, dice.
Las empresas que aprovechan una red IoT deben ir más allá de las soluciones de identidad débiles, como las contraseñas .
En cambio, para garantizar la correcta gobernanza de IoT, Grau insiste en “un sistema de gestión que tenga conocimiento de cada dispositivo en la red y pueda garantizar que estos dispositivos tengan los protocolos de seguridad implementados correctamente” como el camino a seguir.
“Un portal de administración de IoT gobierna de manera efectiva la red al garantizar que todos los dispositivos estén autenticados, con las soluciones PKI correctas integradas”, agrega.
3. Una estructura de gobierno
Según Ted Wagner , vicepresidente y CISO de SAP NS2 , los temas que deben incluirse en cualquier programa de gobernanza de IoT son “vulnerabilidades de software y hardware, y cumplimiento de los requisitos de seguridad, ya sean normativos o basados en políticas”.
Se refiere a un caso de uso típico de cuando se descubre una falla de software dentro de un dispositivo IoT. En este caso, es importante determinar la gravedad de la falla. ¿Podría conducir a un incidente de seguridad? ¿Con qué rapidez debe abordarse? Si no hay forma de parchear el software, ¿hay otra forma de proteger el dispositivo o mitigar el riesgo?
“Una buena manera de lidiar con el gobierno de IoT es tener una junta como estructura de gobierno, aconseja Wagner.
“Las propuestas se presentan a la junta, que normalmente está compuesta por 6 a 12 personas que discuten los méritos de cualquier nueva propuesta o cambio. Pueden monitorear riesgos continuos como vulnerabilidades de software al recibir informes periódicos de vulnerabilidad que incluyen tendencias o métricas sobre vulnerabilidades.
“Algunas juntas tienen mucha autoridad, mientras que otras pueden actuar como una función de asesoramiento para un ejecutivo o un tomador de decisiones”.
“Para una gobernanza óptima de IoT, necesita transparencia o visibilidad del riesgo, un flujo de trabajo eficiente para identificar riesgos específicos y un mecanismo para actuar en consecuencia para reducir el riesgo para la organización” — Ted Wagner
4. Privacidad de datos
Janet Liao , líder principal de marketing de productos en Talend , advierte que las empresas podrían estar teniendo una “reacción instintiva” cuando se trata de la gobernanza de IoT.
En lugar de centrarse en “reforzar” la seguridad de los datos, las organizaciones deben priorizar la privacidad de los datos en cualquier programa de gobierno.
Ella explica que en “el corazón de IoT está el concepto del cliente siempre conectado. Las organizaciones buscan capturar, compartir y utilizar los grandes volúmenes de datos de clientes generados para impulsar una ventaja competitiva.
“El problema es que bajo GDPR , la definición de privacidad de datos es amplia, lo que puede encontrar a muchos en problemas a medida que adoptan IoT. Esto se debe a que la regulación impone responsabilidades de gran alcance a las organizaciones para imponer un requisito específico de ‘privacidad por diseño’.
“Lo que esto significa es que las organizaciones deben contar con las medidas técnicas y organizativas adecuadas para garantizar que la privacidad de los datos no sea una ocurrencia tardía. Lamentablemente, para la mayoría de las organizaciones, esto aún no se ha abordado adecuadamente y, por lo tanto, se volverá cada vez más complejo a medida que se introduzcan los datos generados por IoT”.
5. La gobernanza de IoT depende de los datos producidos
Martin Garner , director de operaciones y analista principal de IoT en CCS Insight , explica que “la gobernanza de IoT no debe separarse del producto o proceso en el que se utiliza la IoT. Los problemas de gobernanza relacionados con el uso de un vehículo autónomo o un robot de fábrica determinarán lo que se requiere del sistema IoT.
“El alcance de la gobernanza varía desde la fuerza de la conexión de la máquina, la pila de software, la calidad de cualquier aprendizaje automático y la IA”.
Continúa: “Las áreas clave que afectan la gobernanza de IoT son si IoT está integrado en una máquina para hacer que los procesos industriales sean más eficientes o para ayudar al personal a trabajar mejor y mantenerlos seguros. Puede incluir permitir que un producto que vende funcione mejor o permitirle usar un modelo comercial diferente. Cada uno de estos enfoques tiene diferentes requisitos de gobernanza.
“La gobernanza de los sistemas IoT está fuertemente relacionada con los datos que producen esos sistemas: qué tan críticos y confidenciales son para el usuario o la organización, y si maneja información de identificación personal”.