Nueve preguntas de ISACA para evitar el riesgo de IoT
Ante la adopción de la internet de las cosas entre las empresas, ISACA recomienda considerar estas cuestiones para evitar los riesgos de seguridad.
A la velocidad con que los dispositivos conectados se incorporan a la vida laboral –con y sin el conocimiento del área de TI– tanto los beneficios como los riesgos se incrementan significativamente. Por ello, la asociación global de tecnología, ISACA, publicó una guía en donde invita a las empresas a contestar nueve preguntas fundamentales al momento de plantear los proyectos de integración de Internet de las Cosas (IoT) como parte de su negocio.
Estas son las cuestiones que se recomiendan considerar a las empresas ante la adopción de la IoT:
- ¿Cuál sería la utilidad del dispositivo desde la perspectiva de negocio y cuál es el beneficio esperado?
- ¿Cuáles son las amenazas consideradas y como se mitigarán?
- ¿Quién tendrá acceso al dispositivo y cómo se comprobará y establecerá su identidad?
- ¿Cuál es el proceso de actualización del dispositivo en caso de un ataque o vulnerabilidad?
- ¿Quién será el encargado de monitorear nuevos ataques o vulnerabilidades con respecto a los dispositivos?
- ¿Los escenarios de riesgo han sido evaluados y anticipados de acuerdo con el valor del negocio?
- ¿Qué información personal será guardada, procesada y recolectada por el dispositivo?
- ¿Las personas involucradas están conscientes de los datos que son recabados por el dispositivo? ¿Tiene su consentimiento?
- ¿Con quién se compartirán estos datos?
Para ISACA, estas preguntas deben ser críticas para las compañías, considerando que el 43% de ellas están ingresando el IoT o planean hacerlo en 2015, de acuerdo con último barómetro de riesgos de la asociación.
“Los dispositivos conectados existen por doquier; los más comunes son los relojes inteligentes y los autos conectados a Internet, sin embargo, existen algunos como los detectores de humo, de los que la gente no tiene conocimiento”, expresó Robert Stroud, CGEIT, CRISC, presidente internacional de ISACA y vicepresidente de estrategia e innovación en CA Tecnología.
“Las organizaciones pueden estar utilizando el IoT sin percatarse de ello, lo que significa un riesgo (para ellos) pues los directivos y gerentes no son conscientes de los potenciales ataques que no son monitoreados”, agregó Stroud.
La guía “Internet de las cosas: Consideraciones del riesgo y beneficio” de ISACA es la primera de una serie de documentos que incluirán temas de seguridad y privacidad, y está disponible para su descarga gratuita desde el sitio web de la asociación. El documento incluye las acciones que se deben hacer y no hacer respecto al IoT y una clasificación de los riesgos más comunes identificados por las empresas.