Actualidad del Sector TIC 254

Publicado junio 30, 2017 Actualidad del Sector TIC

Nuestra entrega semanal incluye el anteproyecto de Ley Orgánica de Protección de Datos aprobado por el Gobierno para adaptarlo al nuevo Reglamento europeo (GDPR). También, un reciente estudio de Ponemon Institute que destaca que la supervisión de IoT corresponde a los CIOs.

El Gobierno adaptará la LOPD a las consignas del nuevo Reglamento Europeo de Protección de Datos. La reforma pretende aclimatarse a un nuevo escenario en el que la evolución tecnológica, la globalización y la generación de cada vez más volumen de información son una constante.16-01-29

El Gobierno ha aprobado un anteproyecto de Ley Orgánica de Protección de Datos para adaptarlo al nuevo Reglamento europeo (GDPR) que entrará en vigor el próximo 25 de mayo de 2018. Este último tendrá un carácter más restrictivo, obligará a la notificación y expondrá a las compañías a multas de hasta el 4% de su facturación anual si incumple sus disposiciones.

La reforma propuesta introducirá varias novedades, como el tratamiento de los datos de las personas fallecidas por parte de los herederos. Asimismo, se excluye el consentimiento tácito, debiendo ser expreso y afirmativo y se establece la presunción de exactitud y actualización de los datos obtenidos directamente del interesado.

En cuanto al tratamiento de los datos, se incide en los derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición, se introduce la obligación del bloqueo que garantiza que esa información quede a disposición de un tribunal, el Ministerio Fiscal u otras autoridades competentes para la exigencia de posibles responsabilidades derivadas del tratamiento. La reforma tendrá que ser aprobada también por la Agencia Española de Protección de Datos.

Esta adaptación de la Ley Orgánica de Protección de Datos se vuelve necesaria si no se quiere ver sustituida del todo por la nueva normativa europea. La evolución tecnológica, la globalización y el constante volumen de información como de transacción de información generado por las organizaciones han hecho necesario establecer un reglamento más sólido que aumente la protección de los ciudadanos. Así, se introduce también en las empresas la figura del Delegado de Protección de Datos (DPO, de sus siglas en inglés) y se inició hace meses ya una carrera por adaptarse a las vicisitudes de la ley. En cualquier caso, y a falta de menos de un año para su entrada en vigor, más del 50% de las organizaciones del continente afectadas por este cambio no estarán totalmente preparadas para dicha mayo de 2018, según un estudio de Gartner.

Internet de las cosas abre el negocio a riesgos de seguridad, pero la mayoría de las empresas no entiende la importancia de la supervisión de IoT, particularmente las implementaciones de terceros. Esa es una oportunidad para que los CIOs tomen la iniciativa.

De acuerdo con un estudio reciente de la firma de investigación de seguridad Ponemon Institute, en conjunto con el Programa de Ev15-010-02 Appsaluaciones Compartidas, pocas directivas de organizaciones requieren garantías de riesgo de IoT de terceros, proporcionando a los CIOs una gran oportunidad para tomar una posición de liderazgo en IoT.

Sólo el 25% de los encuestados dice que sus juntas reclaman garantías de que los riesgos de IoT están siendo evaluados, administrados y monitorizados adecuadamente, según The Santa Fe Group, un organismo estándar de la industria centrado en la garantía de riesgos de terceros.

El estudio, The Internet of Things (IoT): Una nueva era de riesgo de terceros encontró que el 94% de los encuestados creía que un incidente de seguridad relacionado con dispositivos o aplicaciones de IoT sin garantía podría ser catastrófico para el negocio – una desconexión significativa dado que sólo un cuarto de las juntas requiere actualizaciones sobre la supervisión de los riesgos de IoT. Los riesgos no se tratan en los cuadros directivos y de gestión.

El estudio, basado en una encuesta de 553 CIO, CISO, directores de riesgo y otros que tienen un rol en los procesos de administración de riesgo (en una variedad de industrias) encontró que:

  • El 76% de los encuestados cree que un ataque distribuido de denegación de servicio que involucre un dispositivo IoT no seguro es probable que ocurra dentro de los próximos dos años.
  • El 69% no informa a su director general y al consejo sobre la eficacia del programa de gestión de riesgos de terceros.
  • Sólo el 44% dice que su organización tiene la capacidad de proteger sus redes o sistemas empresariales de los riesgos de los dispositivos IoT.
  • El 77% no está considerando los riesgos relacionados con IoT en su diligencia debida de terceros.
  • El 67% no está evaluando las prácticas de seguridad y privacidad de IoT antes de entablar una relación comercial.

Parte del problema, según Ponemon, es que IoT está afectando cada vez más a la empresa de una manera muy amplia, dejando la responsabilidad de la supervisión caer a través de las grietas. Y la empresa puede llegar a la conclusión de que proteger los dispositivos IoT es trabajo del socio de terceros, mientras que los terceros creen que la responsabilidad recae en la empresa que hace uso de esos dispositivos A menudo hay una falta de visibilidad en los tipos y el número de dispositivos que ya están conectados a la red.

El informe concluye que las organizaciones necesitan comprender mejor los riesgos inherentes a los dispositivos IoT en su cadena de suministro:

  • Asegurar que la seguridad de IoT se tome en serio y educar a la gerencia en todos los niveles -incluyendo las juntas directivas- que las recomendaciones específicas incluyen.
  • Asegurar que la inclusión de riesgos de terceros e IoT ocurre en todos los niveles de gobierno, incluyendo el tablero.
  • Actualizar los procesos de gestión de activos y los sistemas de inventario para incluir IoT, y comprender las características de seguridad de todos los dispositivos inventariados. Si los dispositivos tienen controles de seguridad inadecuados, reemplácelos.
  • Revisión de contratos y políticas para los requisitos específicos de IoT y actualizarlos para incluir tales requisitos si es necesario.
  • Ampliar las técnicas y procesos de evaluación de terceros para incluir controles específicos a los dispositivos IoT.
  • Requerir nuevas estrategias y tecnologías para reducir las amenazas planteadas por los dispositivos IoT.
  • Colaborar con expertos, compañeros, asociaciones y reguladores para desarrollar, comunicar e implementar las mejores prácticas para la gestión de riesgos IoT.
  • Incluir IoT en comunicación, sensibilización y capacitación a todos los niveles, incluyendo el consejo de administración, ejecutivo, corporativo, unidad de negocios y terceros.
  • Reconocer que su organización es cada vez más dependiente de la tecnología para apoyar el negocio y el riesgo planteado por esta dependencia. Embargo de nuevas tecnologías e innovaciones.
Email this to someoneShare on LinkedInTweet about this on TwitterShare on Google+Share on Facebook

Comentarios para Actualidad del Sector TIC 254

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *