Informe: la mayoría de las empresas desconocen las medidas de seguridad de IoT de terceros


Según el estudio, solo el 37% de las organizaciones de «alto rendimiento» monitorean el riesgo de dispositivos IoT utilizados por terceros, y los programas actuales de gestión de riesgos IoT no pueden seguir el ritmo.

Internet de las cosas, red de comunicación inalámbrica, imagen abstracta visual.

Imagen: Getty Visuals / iStockphoto

La mayoría de las organizaciones desconocen qué seguimiento y protección tienen sus proveedores externos de Net de las cosas (IoT), según el cuarto estudio anual de IoT por el Instituto Ponemon y evaluaciones compartidas. El informe proporcionó una nueva perspectiva sobre la creciente implementación de dispositivos IoT en las cadenas de suministro y el riesgo resultante.

Se encuestó a los profesionales cuyas responsabilidades principales recaen en la gestión de riesgos de terceros (TPRM) de su organización, dando una concept del estado y la «mentalidad» de los negocios con respecto a TPRM.

VER: Investigación: por qué las implementaciones de IoT industrial están en aumento (TechRepublic Premium)

Mejora necesaria

También es muy evidente que existe una «gran necesidad de mejorar la gestión de riesgos de IoT», porque los actuales programas de gestión de riesgos de IoT de una organización persiguen los crecientes riesgos. Solo el 37% realiza un seguimiento de la exposición de IoT de terceros, y el 61% predijo la pérdida de datos relacionada con IoT.

VER: Inside UPS: la transformación digital interminable de la empresa de logística (PDF gratuito) (TechRepublic)

«Muchos de los que obtuvieron mejores resultados en el estudio de este año todavía tienen que recorrer una distancia significant para alcanzar el nivel de seguridad de seguridad de IoT que a todos nos gustaría ver», dijo Gary Roboff, asesor principal, Grupo Santa Fe, Evaluaciones Compartidas.

El informe enfatizó la necesidad crítica de elevar la responsabilidad, la autoridad y el compromiso dentro de la empresa, y específicamente, aquellos que lideran su departamento TPRM.

evaluar-tercero-antes-engañar.jpg "src =" https://tr4.cbsistatic.com/hub/i/r/2020/06/12/48cc2c87-6111-4606-a56b-790fb537af45/resize/770x /a91c05626a962b56286584e3b34aa0d4/evaluate-third-party-before-engaging.jpg

Imagen: Ponemon / SharedAssessments

Pequeños pero significativos cambios en cuatro años.

El informe, Una nueva hoja de ruta para la gestión de riesgos de IoT de terceros, ofreció un gráfico que relata las diferencias entre 2017, 2018, 2019 y 2020 en IoT y TPRM, y este año definitivamente muestra un aumento. Las respuestas a «el aumento de IoT aumenta significativamente el riesgo de terceros para mi organización» mostraron un 71% de acuerdo para 2020, con un 68% para 2019 y un 66% para 2018 (las cifras no estaban disponibles para 2017).

Una gran cantidad de organizaciones acordaron que «no es posible determinar si las garantías de terceros y las políticas de seguridad de IoT son suficientes para evitar una violación de datos», y los resultados fueron 59% en 2020, 55% en 2019, 58% en 2018 y 56% en 2017.

  • Para exacerbar el problema, el informe encontró que el problema es alimentado por:
  • Expansión abrupta en dispositivos IoT
  • Falta de un programa centralizado de gestión de riesgos de IoT
  • Falta de participación de la autoridad de mayor rango
protect-third-party.png "src =" https://tr2.cbsistatic.com/hub/i/r/2020/06/12/e6c15b41-b6a9-438f-8721-4ec73bdfaeef/resize/770x/839e27424250eeaafc6cdfc59c485d3c/protect -third-party.png

Imagen: Ponemon / SharedAssessments

Incluso las organizaciones de mayor rendimiento tienen que aumentar las capacidades de gestión de riesgos de IoT, y alrededor del 25% dijo que esas empresas de mayor rendimiento tienen «significativamente más probabilidades de implementar prácticas líderes de gestión de riesgos y aplicarlas al uso de IoT».

La investigación se presta naturalmente para poder centrarse en los desafíos de gestión de riesgos dentro del ecosistema de IoT cada vez más complejo.

Los aumentos de IoT continuarán

Los encuestados esperan que la cantidad de dispositivos IoT en los que confían se duplique en los próximos dos años, a pesar de que la mayoría de los encuestados dijeron que los dispositivos IoT no asegurados se han vuelto cada vez más propensos «a tener consecuencias materialmente perjudiciales». Sin embargo, casi seis de cada 10 reconocen no saber si sus controles de terceros pueden satisfacer activamente sus necesidades.

Con el número cada vez mayor de dispositivos de IoT, es más probable que los malos actores accedan a los datos confidenciales de una organización, y el resultado es que la gestión de riesgos de IoT se convierte en un esfuerzo «muy complicado». Y muchos dispositivos IoT pueden facilitar los ataques distribuidos de denegación de servicio (DDoS) que agregan una urgencia aún mayor a la línea de tiempo de mitigación de riesgos.

Conozca el tipo de seguridad que tiene su empresa

Existe una falta general de conocimiento o herramientas adecuadas para indicar qué dispositivo de IoT tiene la seguridad adecuada, y es possible que la cantidad de infracciones y ataques cibernéticos reales relacionados con dispositivos de IoT sea mucho mayor que la cantidad de eventos informados.

VER: IoT: principales amenazas y consejos de seguridad para dispositivos (PDF gratuito) (TechRepublic)

Los grupos que se identifican a sí mismos como «de mejor desempeño» (164 denominados a sí mismos como tales) representan aproximadamente el 33% de los encuestados y califican su propia capacidad para administrar IoT y otros riesgos de terceros como «altamente efectivos». Pero esto indica que las prácticas de higiene I0T en la gran mayoría de las empresas necesitan mejoras significativas.

«Si bien la proliferación y la consumerización de la tecnología incorporada, incluidos los dispositivos IoT, continúa evolucionando a un ritmo desenfrenado, se introducen nuevas vulnerabilidades y exposiciones de seguridad», dijo Rocco Grillo, director gerente de servicios globales de riesgo cibernético en Alvarez & Marsal. «Esto es especialmente cierto cuando el uso de dispositivos IoT se extiende a terceros, a terceros, o incluso más preocupante, cuando se desconoce dónde se está extendiendo el uso de dispositivos IoT o si esas extensiones no están administradas».

Ver también



Enlace a la noticia authentic