De acuerdo con un estudio reciente de la firma de investigación de seguridad Ponemon Institute, en conjunto con el Programa de Evaluaciones Compartidas, pocas directivas de organizaciones requieren garantías de riesgo respecto al Internet de las Cosas (IoT) por parte de terceros. Esto proporciona a los CIO una gran oportunidad para tomar una posición de liderazgo en IoT.
Sólo 25% de los encuestados dicen que sus juntas reclaman garantías de que los riesgos de IoT están siendo evaluados, administrados y monitoreados adecuadamente, según The Santa Fe Group, un organismo estándar de la industria centrado en la garantía de riesgos de terceros.
El estudio The Internet of Things (IoT): Una nueva era de riesgo de terceros encontró que el 94% de los encuestados creía que un incidente de seguridad relacionado con dispositivos o aplicaciones de IoT sin garantía podría ser catastrófico para el negocio –una desconexión significativa, dado que sólo un cuarto de las juntas requiere actualizaciones sobre la supervisión de los riesgos de IoT. Los riesgos no se tratan en los cuadros directivos y de gestión.
Hallazgos
El estudio, basado en una encuesta de 553 CIO, CISO, directores de riesgo y otros que tienen un rol en los procesos de administración de riesgo (en una variedad de industrias), encontró que:
- 76% de los entrevistados creen que un ataque distribuido de denegación de servicio que involucre un dispositivo IoT no seguro es probable que ocurra dentro de los próximos dos años.
- El 69% no informa a su director general ni al consejo sobre la eficacia del programa de gestión de riesgos de terceros.
- Sólo el 44% dice que su organización tiene la capacidad de proteger sus redes o sistemas empresariales de los riesgos de los dispositivos IoT.
- El 77% no está considerando los riesgos relacionados con IoT en su diligencia debida de terceros.
- El 67% no está evaluando las prácticas de seguridad y privacidad de IoT antes de entablar una relación comercial.
“Cada vez más empresas recurren a IoT para mejorar los resultados del negocio y este crecimiento está creando un caldo de cultivo para ciberataques”, afirmó Larry Ponemon, presidente y fundador del Ponemon Institute. “Lo sorprendente de estos hallazgos es la completa desconexión entre comprender la gravedad de lo que una infracción de seguridad de terceros podría significar para las empresas y la falta de preparación y comunicación entre los departamentos”.
Parte de la cuestión es que IoT está afectando cada vez más a la empresa de manera muy amplia, dejando la responsabilidad de la supervisión caer a través de las grietas. “La cuestión del IoT es muy amplia. Obviamente, también existe un rol para los CIO y CISO, pero no puede estar basado en la forma en que una organización quiere gobernar el riesgo, sino que puede caer más en la línea de negocio. Una función de cumplimiento o de gestión de riesgos”, señaló el directivo.
