#CyberCamp19

RIESGOS Y

CUMPLIMIENTO

NORMATIVO EN

ENTORNOS IOT.

DAVID PRIETO

MARQUÉS

@daprimar

Nuevas Nuevos OPORTUNIDADES. RIESGOS.

DIGITALIZACIÓN DE LA INFRAESTRUCTURAS. DATOS INTERACCIÓN REALIDAD ANALOGICA. HUMANA.

2 PB DATA/COCHE/AÑO 1-2 TB/DIA 4 PB/DIA.

5G moverá grandes cantidades de datos entre personas, cámaras, robots y la nube.

Habrá 1.9 mil millones de suscripciones 5G para banda ancha móvil para fines de 2024.

El tráfico total de datos móviles continúa aumentando a nivel mundial y se prevé que alcance 131 exabytes (EB) por mes para fines de 2024.

CIUDADES CONECTADAS E INTELIGENTES

01

02

03

04

05

Beneficios.

Ahorros de tiempo 45-65% al interactuar con gobiernos o sistemas

sanitarios.

Medioambiental. 20-30% en el gasto de agua y 10-20% en residuos.

Entre un 20 al 35% de mejoras en los tiempos de respuesta ante

emergencias.

Movilidad. 15-30 minutos ahorrados en los tiempos de transporte diarios.

Iluminación. Ahorros de hasta un 38%.

Source: INFORME MCKINSEY SMART CITIES.

Nuevos y Evolución de Riesgos Existentes.

Los riesgos de ciberseguridad son los segundos más importantes en impacto Y probabilidad, solo por detrás de los desastres naturales.

Muchos de los riesgos más críticos y de rápida evolución están relacionados con la tecnología y la ciberseguridad.

Source: Wef.

Riesgos de seguridad y privacidad en entornos de Smart City.

Source: INCIBE ,

Gestión de riesgos.

RIESGO = (AMENAZA & VULN ) IMPACTO x PROBABILIDAD

CIBERSEGURIDAD

CONFIDENCIDAD INTEGRIDAD DISPONIBILIDAD DATOS y SISTEMAS

CIBERSEGURIDAD DE LOS DATOS DE CARÁCTER PERSONAL

PRIVACIDAD

PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL DURANTE TODO SU CICLO DE VIDA (CREAR, ALMACENAR, USAR, COMPARTIR, ARCHIVAR Y DESTRUIR).

CIBERSEGURIDAD IOT.

AMENAZAS Y DATOS.

SmartM2

Entorno IoT.

Redes de comunicaciones Ecosistema del servicio IoT

Ecosistema de dispositivos

Interfaz usuario

Seguridad Tradicional IT Territorio conocido, aunque no por ello sencillo

Retos de seguridad específicos de IoT Han de resolverse las limitaciones de los dispositivos y las cuestiones de escala

Nuevos protocolos IoT

Apps

Partner APIs

Seguridad del DATO y AMENAZAS.

Seguridad del DISPOSITIVO y CONECTIVIDAD.

GESTIÓN DEL RIESGO y CUMPLIMIENTO NORMATIVO.

Retos de la Ciberseguridad en IoT.

Identificación del Visibilidad de tráfico de IoT Seguridad E2E

dispositivo y y monitorización de La heterogeneidad de los

componentes de la arquitectura autenticación mutua. seguridad.

Cada dispositivo IoT debe Los clientes de IoT IoT (es decir, dispositivos y tener su propio identificador Connectivity deben conocer plataformas) y el número de de nivel de aplicación y debe todos los dispositivos que actores involucrados en la

haber una autenticación utilizan las líneas de IoT y cadena de suministro requiere mutua entre el dispositivo y detectar cuándo se producen servicios profesionales para la

la plataforma IoT. comportamientos anómalos y auditoría y consultoría de maliciosos. seguridad

Seguridad del Dato. Entorno IoT.

Confidencialidad Integridad Disponibilidad

Asegurar que el dato Evitar alteraciones no Garantizar que el dato sólo es accesible por autorizadas del dato, ya está siempre y aquel a quien se le sean estas voluntarias disponible para los hayan concedido por parte de un sujetos autorizados

permisos para atacante o producidas cuando estos lo acceder a él. por error por parte de solicitan.

un sujeto autorizado.

PRIVACIDAD Y

CUMPLIMIENTO NORMATIVO.

Compliance como herramienta de mejora

82,9% 78,7% 83,5% 68,1%

Paradoja de la Privacidad. Importancia otorgada a la privacidad y a los distintos tipos de información.

«la privacidad de «me preocupa mucho mis datos en «me preocupa mucho «me preocupa mucho que mi historial de

internet es un que mis fotografías o que mis datos búsquedas y/o de tema que me vídeos personales personales escapen a navegación escape a

preocupa» escapen a mi control» mi control» mi control»

Source: sociedad digital en ESPAÑA 2018. FUNDACIÓN TELEFONICA.

1

2

3

4

5

Privacidad. Entornos IoT. Mapeo completo y preciso del ciclo de vida de la información de carácter personal.

FLUJO DE INFORMACIÓN

PERMISOS DE PROCESAMIE

NTO

DECISIÓN

INFORMADA

PSEUDO-

ANONIMA CIÓN.

NO CUMPLIR

PRIVACIDAD

Mantener los permisos para el procesamiento de la información de carácter personal y evitar los procesamientos no permitidos.

Permitir a las personas comprender por medio de cualquier interfaz los efectos del procesamiento.

Determinar como se puede disasociar la información de carácter personal de los dispositivos IoT.

Analizar la actividad del dispositivo IoT en busca de signos de incumplimiento que afecten la privacidad de las personas.

Buenas practicas. Entornos IoT.

Cumplimiento Normativo. Entornos IoT.

Cumplimiento Normativo. RGPD. Guía para Administraciones locales de la AEPD para Ciudades inteligentes.

ANALISIS PREVIO.

Un análisis previo del proyecto valorando el volumen de la información a procesar y el número y tipo de fuentes o incluso el tiempo durante el que se pretende conservar.

EVALUACIÓN DE IMPACTO.

Una evaluación de impacto en los términos establecidos en el artículo 35 del RGPD.

OTROS.

Principio de minimización de datos.

Principio de limitación del plazo de conservación.

El tratamiento de la información de un modo seudonimizado.

Cumplimiento Normativo. CE. MARCA CE para entornos IoT.

01

02

03

04

Garantiza la seguridad, la salud y la protección ambiental de los productos en el mercado en la UE.

Los fabricantes son responsables de demostrar la conformidad con el marcado CE.

Los productos de IoT pueden incluir componentes que están dentro del ámbito del marcado CE.

Productos autoevaluados por el fabricante o evaluación de conformidad por parte de un organismo notificado.

Cumplimiento Normativo. NIS. Directiva NIS para entornos de ciudades inteligentes.

01

02

03

04

La Directiva de seguridad de la red y la información (Directiva NIS) se aplica solo a los proveedores de IoT designados como Operadores de servicios esenciales (OSE), como gas, electricidad y agua, y / o un Proveedores de Servicios Digitales (PSD).

En el ecosistema de IoT, es probable que los OSEs sean aquellos proveedores que trabajan en áreas como Smart Cities.

Como PSD se incluyen online marketplaces, motores de búsqueda o servicios cloud. Al igual que con GDPR, una entidad puede ser designada como OSE y PSD.

En algunos casos, los PSD tienen requisitos más explícitos con respecto a la respuesta e informes de incidentes.

Cumplimiento Normativo. Privacidad. Actividad regulatoria creciente en torno a la privacidad.

01

02

03

04

ISO/IEC 27550 -Privacy engineering for system life cycle processes. Publicada en September 2019.

ISO/IEC 27552 Privacy management –requirements. DRAFT.

ISO/IEC 27570 -Privacy guidelines for smart cities. [DRAFT]. Pautas de privacidad para ciudades inteligentes.

ISO/IEC 27030 -Security and privacy guidelines for IoT. [DRAFT]

Cumplimiento Normativo. ENS. Actividad regulatoria creciente en torno a la privacidad y seguridad.

01

02

03

Ley 11/2007, de 22 de junio, establecer la política de seguridad en la utilización de medios electrónicos y está constituido por principios básicos y requisitos mínimos que permitan una protección adecuada de la información.

CCN-STIC-883 Guía de implantación del ENS para Entidades Locales

CCN-STIC-882 Guía de Análisis de Riesgos para Entidades Locales.

CONCLUSIONES.

01

02

03

04

05

Riesgos y Cumplimiento Normativo.

Gestión de riesgos como un habilitador de confianza en entornos IoT.

Adaptar la perspectiva para mirar más allá de los riesgos de la TI tradicional.

Identificar, entender y valorar las interdependencias entre el mundo “ciber” y el mundo físico para entornos como Smart Cities.

Nuevos interlocutores en el mundo IoT, implican actualizar procedimientos y políticas de comunicación de gestión de riesgos.

Riesgo de la cadena de suministro.

Riesgos y Cumplimiento Normativo.

06

07

08

09

Diversidad tecnológica y limitaciones a la hora de implementar los controles para gestionar los riesgos identificados.

Entornos dinámicos. Controlar los cambios tecnológicos y actualizar las políticas de gestión de riesgos correspondientes.

Dependiendo de los tipos de datos que se procesa, varios requisitos reglamentarios pueden entrar en vigor.

Mitigación de riesgos a través del seguro de ciberseguridad (Transferir el riesgo)..

GRACIAS

@CybercampES

David Prieto Marqués

@daprimar #CyberCamp19