Trend Micro encuestó recientemente a 1.150 ejecutivos de TI en todo el mundo y encontramos una brecha entre el riesgo percibido de IoT y la mitigación planificada para ese riesgo. La mayoría de los ejecutivos senior reconocen que IoT puede introducir riesgos de seguridad en la organización, pero pocos invertirán recursos para remediar ese riesgo. Haga clic aquí para más detalles. El liderazgo principal debe realizar un análisis de brechas de IoT en sus planes de riesgo frente a la recuperación de IoT.
Nuestro análisis de brechas debe mirar dos cosas. Primero, descubra el riesgo percibido de cualquier IoT (y sistemas de control industrial en general) conectados por TI que tenga su liderazgo principal, incluya la comprensión de las personas responsables y las funciones organizativas que abordan ese riesgo, compare eso con la opinión de sus supervisores y técnicos que administran esos dispositivos, incluidos los individuos y organizaciones reales o los equipos que manejan los esfuerzos de mitigación.
Y en segundo lugar, evalúe la inversión en mitigación respaldada por el liderazgo superior en comparación con los pasos reales tomados para implementar, use esas acciones soportadas por los supervisores y técnicos, y cualquier otra cosa que también hayan innovado.
Usted está buscando la consistencia de la intención y la eficacia de la inversión.
[image url=”/wp-content/uploads/2018/10/1-1.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”661″ height=”384″]
Figura 1: Matriz de Riesgo de Ciberseguridad
Al evaluar la probabilidad de un evento, recuerde que los delincuentes cibernéticos utilizan herramientas automatizadas para escanear todas las redes en busca de vulnerabilidades. Cualquier dispositivo IoT no conectado y conectado a Internet tiene una probabilidad “Alta” de ser atacado.
A medida que realiza las actividades de protección, comience con los elementos en los tres cuadros de arriba a la derecha, marcados en rojo, luego agregue los artículos en la diagonal, y una vez que haya mitigado los problemas en estas zonas, puede instituir un programa de monitoreo continuo en la actividad que podría cambiar el perfil de riesgo y, como resultado, ampliar su perfil de conexión.
A medida que despliega nueva tecnología, integre esta evaluación en su diseño o selección de productos, versión y procedimientos de operaciones. Verifique que sus socios comerciales que también usan esas tecnologías y estén en armonía con su programa de seguridad. Los riesgos de la cadena de suministro abundan en el Internet de las cosas. Finalmente, considere los elementos que se encuentran en los tres cuadros inferiores a la izquierda que se muestran en verde.
Use su equipo de auditoría interna para ayudar a su IoT Gap Analysis. Ellos saben cómo evaluar el riesgo del programa y cómo hablar con tecnólogos y gerentes. Si su organización percibe un alto riesgo, pero no toma medidas para mitigarlo, es posible que esté violando las expectativas de sus socios comerciales, sin mencionar sus términos contractuales y posiblemente las restricciones legales o reglamentarias.
A medida que complete su evaluación de riesgos, permanezca pragmático. Es mucho mejor tener razón que equivocarse. Con un poco de esfuerzo puede justificar un programa de seguridad de la información integral y rentable que incluya su ICS, IoT e infraestructura de TI existente.
Leave a Reply