Post on 30-Jul-2020
#CyberCamp19
RIESGOS Y
CUMPLIMIENTO
NORMATIVO EN
ENTORNOS IOT.
DAVID PRIETO
MARQUÉS
@daprimar
Nuevas Nuevos OPORTUNIDADES. RIESGOS.
DIGITALIZACIÓN DE LA INFRAESTRUCTURAS. DATOS INTERACCIÓN REALIDAD ANALOGICA. HUMANA.
2 PB DATA/COCHE/AÑO 1-2 TB/DIA 4 PB/DIA.
5G moverá grandes cantidades de datos entre personas, cámaras, robots y la nube.
Habrá 1.9 mil millones de suscripciones 5G para banda ancha móvil para fines de 2024.
El tráfico total de datos móviles continúa aumentando a nivel mundial y se prevé que alcance 131 exabytes (EB) por mes para fines de 2024.
CIUDADES CONECTADAS E INTELIGENTES
01
02
03
04
05
Beneficios.
Ahorros de tiempo 45-65% al interactuar con gobiernos o sistemas
sanitarios.
Medioambiental. 20-30% en el gasto de agua y 10-20% en residuos.
Entre un 20 al 35% de mejoras en los tiempos de respuesta ante
emergencias.
Movilidad. 15-30 minutos ahorrados en los tiempos de transporte diarios.
Iluminación. Ahorros de hasta un 38%.
Source: INFORME MCKINSEY SMART CITIES.
Nuevos y Evolución de Riesgos Existentes.
Los riesgos de ciberseguridad son los segundos más importantes en impacto Y probabilidad, solo por detrás de los desastres naturales.
Muchos de los riesgos más críticos y de rápida evolución están relacionados con la tecnología y la ciberseguridad.
Source: Wef.
Riesgos de seguridad y privacidad en entornos de Smart City.
Source: INCIBE ,
Gestión de riesgos.
RIESGO = (AMENAZA & VULN ) IMPACTO x PROBABILIDAD
CIBERSEGURIDAD
CONFIDENCIDAD INTEGRIDAD DISPONIBILIDAD DATOS y SISTEMAS
CIBERSEGURIDAD DE LOS DATOS DE CARÁCTER PERSONAL
PRIVACIDAD
PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL DURANTE TODO SU CICLO DE VIDA (CREAR, ALMACENAR, USAR, COMPARTIR, ARCHIVAR Y DESTRUIR).
CIBERSEGURIDAD IOT.
AMENAZAS Y DATOS.
SmartM2
Entorno IoT.
Redes de comunicaciones Ecosistema del servicio IoT
Ecosistema de dispositivos
Interfaz usuario
Seguridad Tradicional IT Territorio conocido, aunque no por ello sencillo
Retos de seguridad específicos de IoT Han de resolverse las limitaciones de los dispositivos y las cuestiones de escala
Nuevos protocolos IoT
Apps
Partner APIs
Seguridad del DATO y AMENAZAS.
Seguridad del DISPOSITIVO y CONECTIVIDAD.
GESTIÓN DEL RIESGO y CUMPLIMIENTO NORMATIVO.
Retos de la Ciberseguridad en IoT.
Identificación del Visibilidad de tráfico de IoT Seguridad E2E
dispositivo y y monitorización de La heterogeneidad de los
componentes de la arquitectura autenticación mutua. seguridad.
Cada dispositivo IoT debe Los clientes de IoT IoT (es decir, dispositivos y tener su propio identificador Connectivity deben conocer plataformas) y el número de de nivel de aplicación y debe todos los dispositivos que actores involucrados en la
haber una autenticación utilizan las líneas de IoT y cadena de suministro requiere mutua entre el dispositivo y detectar cuándo se producen servicios profesionales para la
la plataforma IoT. comportamientos anómalos y auditoría y consultoría de maliciosos. seguridad
Seguridad del Dato. Entorno IoT.
Confidencialidad Integridad Disponibilidad
Asegurar que el dato Evitar alteraciones no Garantizar que el dato sólo es accesible por autorizadas del dato, ya está siempre y aquel a quien se le sean estas voluntarias disponible para los hayan concedido por parte de un sujetos autorizados
permisos para atacante o producidas cuando estos lo acceder a él. por error por parte de solicitan.
un sujeto autorizado.
PRIVACIDAD Y
CUMPLIMIENTO NORMATIVO.
Compliance como herramienta de mejora
82,9% 78,7% 83,5% 68,1%
Paradoja de la Privacidad. Importancia otorgada a la privacidad y a los distintos tipos de información.
«la privacidad de «me preocupa mucho mis datos en «me preocupa mucho «me preocupa mucho que mi historial de
internet es un que mis fotografías o que mis datos búsquedas y/o de tema que me vídeos personales personales escapen a navegación escape a
preocupa» escapen a mi control» mi control» mi control»
Source: sociedad digital en ESPAÑA 2018. FUNDACIÓN TELEFONICA.
1
2
3
4
5
Privacidad. Entornos IoT. Mapeo completo y preciso del ciclo de vida de la información de carácter personal.
FLUJO DE INFORMACIÓN
PERMISOS DE PROCESAMIE
NTO
DECISIÓN
INFORMADA
PSEUDO-
ANONIMA CIÓN.
NO CUMPLIR
PRIVACIDAD
Mantener los permisos para el procesamiento de la información de carácter personal y evitar los procesamientos no permitidos.
Permitir a las personas comprender por medio de cualquier interfaz los efectos del procesamiento.
Determinar como se puede disasociar la información de carácter personal de los dispositivos IoT.
Analizar la actividad del dispositivo IoT en busca de signos de incumplimiento que afecten la privacidad de las personas.
Buenas practicas. Entornos IoT.
Cumplimiento Normativo. Entornos IoT.
Cumplimiento Normativo. RGPD. Guía para Administraciones locales de la AEPD para Ciudades inteligentes.
ANALISIS PREVIO.
Un análisis previo del proyecto valorando el volumen de la información a procesar y el número y tipo de fuentes o incluso el tiempo durante el que se pretende conservar.
EVALUACIÓN DE IMPACTO.
Una evaluación de impacto en los términos establecidos en el artículo 35 del RGPD.
OTROS.
Principio de minimización de datos.
Principio de limitación del plazo de conservación.
El tratamiento de la información de un modo seudonimizado.
Cumplimiento Normativo. CE. MARCA CE para entornos IoT.
01
02
03
04
Garantiza la seguridad, la salud y la protección ambiental de los productos en el mercado en la UE.
Los fabricantes son responsables de demostrar la conformidad con el marcado CE.
Los productos de IoT pueden incluir componentes que están dentro del ámbito del marcado CE.
Productos autoevaluados por el fabricante o evaluación de conformidad por parte de un organismo notificado.
Cumplimiento Normativo. NIS. Directiva NIS para entornos de ciudades inteligentes.
01
02
03
04
La Directiva de seguridad de la red y la información (Directiva NIS) se aplica solo a los proveedores de IoT designados como Operadores de servicios esenciales (OSE), como gas, electricidad y agua, y / o un Proveedores de Servicios Digitales (PSD).
En el ecosistema de IoT, es probable que los OSEs sean aquellos proveedores que trabajan en áreas como Smart Cities.
Como PSD se incluyen online marketplaces, motores de búsqueda o servicios cloud. Al igual que con GDPR, una entidad puede ser designada como OSE y PSD.
En algunos casos, los PSD tienen requisitos más explícitos con respecto a la respuesta e informes de incidentes.
Cumplimiento Normativo. Privacidad. Actividad regulatoria creciente en torno a la privacidad.
01
02
03
04
ISO/IEC 27550 -Privacy engineering for system life cycle processes. Publicada en September 2019.
ISO/IEC 27552 Privacy management –requirements. DRAFT.
ISO/IEC 27570 -Privacy guidelines for smart cities. [DRAFT]. Pautas de privacidad para ciudades inteligentes.
ISO/IEC 27030 -Security and privacy guidelines for IoT. [DRAFT]
Cumplimiento Normativo. ENS. Actividad regulatoria creciente en torno a la privacidad y seguridad.
01
02
03
Ley 11/2007, de 22 de junio, establecer la política de seguridad en la utilización de medios electrónicos y está constituido por principios básicos y requisitos mínimos que permitan una protección adecuada de la información.
CCN-STIC-883 Guía de implantación del ENS para Entidades Locales
CCN-STIC-882 Guía de Análisis de Riesgos para Entidades Locales.
CONCLUSIONES.
01
02
03
04
05
Riesgos y Cumplimiento Normativo.
Gestión de riesgos como un habilitador de confianza en entornos IoT.
Adaptar la perspectiva para mirar más allá de los riesgos de la TI tradicional.
Identificar, entender y valorar las interdependencias entre el mundo “ciber” y el mundo físico para entornos como Smart Cities.
Nuevos interlocutores en el mundo IoT, implican actualizar procedimientos y políticas de comunicación de gestión de riesgos.
Riesgo de la cadena de suministro.
Riesgos y Cumplimiento Normativo.
06
07
08
09
Diversidad tecnológica y limitaciones a la hora de implementar los controles para gestionar los riesgos identificados.
Entornos dinámicos. Controlar los cambios tecnológicos y actualizar las políticas de gestión de riesgos correspondientes.
Dependiendo de los tipos de datos que se procesa, varios requisitos reglamentarios pueden entrar en vigor.
Mitigación de riesgos a través del seguro de ciberseguridad (Transferir el riesgo)..
GRACIAS
@CybercampES
David Prieto Marqués
@daprimar #CyberCamp19