La supervisión de IoT corresponde a los CIO
Internet de las cosas abre el negocio a riesgos de seguridad, pero la mayoría de las empresas no entienden la importancia de la supervisión de IoT, particularmente las implementaciones de terceros. Esa es una oportunidad para que los CIOs tomen la iniciativa.
De acuerdo con un estudio reciente de la firma de investigación de seguridad Ponemon Institute, en conjunto con el Programa de Evaluaciones Compartidas, pocas directivas de organizaciones requieren garantías de riesgo de IOT de terceros, proporcionando a los CIOs una gran oportunidad para tomar una posición de liderazgo en IoT.
Sólo 25% de los encuestados dicen que sus juntas reclaman garantías de que los riesgos de IoT están siendo evaluados, administrados y monitorizados adecuadamente, según The Santa Fe Group, un organismo estándar de la industria centrado en la garantía de riesgos de terceros.
El estudio, The Internet of Things (IoT): Una nueva era de riesgo de terceros encontró que el 94% de los encuestados creía que un incidente de seguridad relacionado con dispositivos o aplicaciones de IoT sin garantía podría ser catastrófico para el negocio - una desconexión significativa dado que sólo un cuarto de las juntas requiere actualizaciones sobre la supervisión de los riesgos de IoT. Los riesgos no se tratan en los cuadros directivos y de gestión.
El estudio, basado en una encuesta de 553 CIO, CISO, directores de riesgo y otros que tienen un rol en los procesos de administración de riesgo (en una variedad de industrias) encontró que:
76% de los encuestados creen que un ataque distribuido de denegación de servicio que involucre un dispositivo IoT no seguro es probable que ocurra dentro de los próximos dos años.
El 69% no informa a su director general y al consejo sobre la eficacia del programa de gestión de riesgos de terceros.
Sólo el 44% dice que su organización tiene la capacidad de proteger sus redes o sistemas empresariales de los riesgos de los dispositivos IoT.
El 77% no está considerando los riesgos relacionados con IoT en su diligencia debida de terceros.
El 67% no está evaluando las prácticas de seguridad y privacidad de IoT antes de entablar una relación comercial.
"Cada vez más empresas recurren a IoT para mejorar los resultados del negocio y este crecimiento está creando un caldo de cultivo para ciberataques", dice Larry Ponemon, presidente y fundador del Ponemon Institute. "Lo sorprendente de estos hallazgos es la completa desconexión entre comprender la gravedad de lo que una infracción de seguridad de terceros podría significar para las empresas y la falta de preparación y comunicación entre los departamentos".
Parte de la cuestión, dice Ponemon, es que IoT está afectando cada vez más a la empresa de una manera muy amplia, dejando la responsabilidad de la supervisión caer a través de las grietas.
"La cuestión de la IOT es muy amplia. Obviamente, también existe un rol para los CIO y CISO, pero no puede estar basado en la forma en que una organización quiere gobernar el riesgo, sino que puede caer más en la línea de negocio. Una función de cumplimiento o de gestión de riesgos ".
Y la empresa puede llegar a la conclusión de que es el trabajo del socio de terceros para proteger los dispositivos IoT, mientras que los terceros creen que la responsabilidad recae en la empresa que hace uso de esos dispositivos A menudo hay una falta de visibilidad en los tipos y el número de dispositivos que ya están conectados a la red.
El informe concluye que las organizaciones necesitan comprender mejor los riesgos inherentes a los dispositivos IoT en su cadena de suministro:
- asegurar que la seguridad de IoT se tome en serio y educar a la gerencia en todos los niveles -incluyendo las juntas directivas- que las recomendaciones específicas incluyen.
- Asegurar que la inclusión de riesgos de terceros e IoT ocurre en todos los niveles de gobierno, incluyendo el tablero.
- Actualizar los procesos de gestión de activos y los sistemas de inventario para incluir IoT, y comprender las características de seguridad de todos los dispositivos inventariados, si los dispositivos tienen controles de seguridad inadecuados, reemplácelos.
- Revisión de contratos y políticas para los requisitos específicos de IoT y actualizarlos para incluir tales requisitos si es necesario.
- Ampliar las técnicas y procesos de evaluación de terceros para incluir controles específicos a los dispositivos IoT.
- Requerir nuevas estrategias y tecnologías para reducir las amenazas planteadas por los dispositivos IoT.
- Colaborar con expertos, compañeros, asociaciones y reguladores para desarrollar, comunicar e implementar las mejores prácticas para la gestión de riesgos IOT.
- Incluir IoT en comunicación, sensibilización y capacitación a todos los niveles, incluyendo el consejo de administración, ejecutivo, corporativo, unidad de negocios y terceros.
- Reconocer que su organización es cada vez más dependiente de la tecnología para apoyar el negocio y el riesgo planteado por esta dependencia. Embargo de nuevas tecnologías e innovaciones.
