El futuro del IoT no se limita solo a las Smart Homes y Smart Cities, también puede tener su futuro en la empresa. Pero una empresa puede tener unas necesidades diferentes a las de una ciudad donde es un entorno público o una casa donde su entorno es privado. La empresa puede tener una serie de características especiales, datos que no solo son privados sino que son especialmente delicados, muchas veces no solo vulnerando nuestra privacidad, sino también la del cliente, pudiendo asumir responsabilidades legales en caso de que se produzca alguna filtración. Es por este motivo que se considera una de las 5 prioridades en la encuesta de capacidades y necesidades de auditoría interna de 2014 de Protiviti. De cara a unos años podría suponer en algunos ámbitos una diferencia competitiva con respecto a sus competidores. Para tener unos controles de los riesgos que supone esta nueva tecnología deberíamos responder a las siguientes preguntas.
Para empezar como se implanta el IoT en la organización y quien posee los componentes respectivos del IoT. Es decir en donde vamos a implementarlo y con que objetivos y quien será el responsable de ello. También sería necesario hacer un análisis de riesgos asociados a la implementación de cada componente del IoT. Por ejemplo no es lo mismo una cámara de seguridad que un termostato inteligente. Es decir es necesario cuantificar y controlar esos riesgos. Con ello analizamos que datos se recogen, almacenan y analizan y sus implicaciones legales. También es necesario tener en cuenta una política de contingencia en caso de una vulneración de la seguridad de dichos dispositivos, tanto activa como pasiva. Así mismo analizar el riesgo de no implementar el IoT y si se puede maximizar el efecto con un análisis de los datos. Estos son los aspectos a tener en cuenta para la realización de una correcta auditoría de seguridad del IoT, ¿Pero cuales son sus principales riesgos y como nos podemos enfrentar a ellos?
Para empezar pueden ser vulnerables a un ataque de denegación de servicio, garantizar su disponibilidad continua es un aspecto importante para evitar fallos en la actividad y servicios de la empresa. Esto se podría solventar en aquellos sistemas que sean más críticos garantizando una política de acceso de dispositivos autorizados o de dentro del perímetro de seguridad.
Otro aspecto es comprender la complejidad de las vulnerabilidades, por ejemplo un termostato de un sistema crítico en una industria que puede tener graves consecuencias si proporciona datos erróneos o falsos. Es necesario entender que ese termostato en un sistema crítico y en una auditoría de seguridad debería de estar presente. También es necesario gestionarlas correctamente, tanto en la instalación de los sistemas como en su actualización para garantizar que realmente estamos configurando realmente bien la red y actuando a tiempo en caso de tener un problema, identificándolo y solventándolo. Algunas formas de solucionar las intrusiones podrían ser el uso de VLANs para garantizar la separación de componentes dentro de una red y aislarlos. El crear un sistema de IoT en la empresa supone la generación de nueva información y conocimiento que puede tener nuevas necesidades de seguridad y con ello nuevos riesgos. Detectar los riesgos a tiempo y una actividad malintencionada puede suponer una diferencia fundamental.
Por último con la generación de nuevas cantidades de información y en ello el IoT interviene, se genera un crecimiento de la demanda de ancho de banda. Esto si no se gestiona correctamente puede empeorar gravemente el servicio que ofrece la compañía o perjudicar el conjunto de sus actividades. Una correcta gestión del tráfico de red de la empresa es necesaria para garantizar que cada sector recibe el ancho de banda necesario para cumplir correctamente con sus actividades y con ello también anticiparse a al crecimiento de dicha demanda.
En resumen, las posibilidades que puede ofrecer a una empresa el Internet of Things son enormes y puede suponer la diferencia entre una empresa prospera y una en decadencia. Sin embargo también abre la puerta a nuevas prácticas para gestionar los nuevos riesgos que emergen, así empresas que no estaban acostumbradas a trabajar con unos niveles de seguridad tan altos deberán de aprender y realizar nuevos tipos de auditorias para atacar el problema y con ello seguir ofreciendo un servicio o producto a sus clientes de máxima calidad sin estar en un riesgo constante por no haberlos previsto y gestionado.
IOT Seven Enterprise Risk to Consider, IoT Agenda, http://internetofthingsagenda.techtarget.com/tip/Internet-of-Things-IOT-Seven-enterprise-risks-to-consider
KnowledgeLeader, INTERNAL AUDIT AND THE INTERNET OF THINGS, https://www.knowledgeleader.com/KnowledgeLeader/Resources.nsf/Description/HIInternalAuditandtheInternetofThings/$FILE/HI%20Internal%20Audit%20and%20the%20Internet%20of%20Things.pdf
Rubén García Hernando
Latest posts by Rubén García Hernando (see all)
- El futuro de la tecnología - 20 enero, 2017
- La distancia entre nosotros es lo que nos está destrozando - 27 noviembre, 2016
- IoT y su implementación en la empresa - 27 noviembre, 2016
RCG says
1 diciembre, 2016 at 7:42 pmBién pero es bueno cuidar la ortografía y grámatica.