Nos encontramos en una era donde cada dispositivo, desde el frigorífico hasta el reloj, está conectado o ofrece una posible conexión, a Internet, y esta tendencia no hace más que crecer: hablamos del Internet of Things (IoT), o Internet de las “cosas,” y de su gestión de los datos que procesa a través del Big Data, dos conceptos que están revolucionando nuestra manera de conectarnos con el mundo y de hacer negocios con nuestros datos.

Actualmente, muchos de nuestros objetos cotidianos pueden conectarse a la red con el objetivo de poder ser manejados y controlados, así como de gestionar información, ya sea mediante conexión remota, o a través de la conexión que facilita el mismo dispositivo.
Pero, además de, presuntamente, facilitarnos nuestra vida diaria, estos dispositivos también son susceptibles de ser vulnerados, ya que, en ocasiones, no suelen contar con las mismas medidas de seguridad de fábrica que otros dispositivos, que siguen amplias regulaciones y, por tanto, controles de calidad y seguridad con certificación estándar (medidas que pueden encarecer los costes). Además, resulta un concepto tan nuevo y  llevable (wearables), que los usuarios aún no somos conscientes de que debemos preocuparnos de su seguridad igual que lo hacemos de la de nuestro PC o teléfono móvil, y de los datos que por tanto estamos enviando, transmitiendo o dando a conocer a terceros. 

La ciberdelincuencia avanza igual de rápido

De igual forma que cada día conocemos nuevos dispositivos y funcionalidades, también conocemos nuevos ataques a pequeñas y grandes empresas, amenazas que atacan de nuevas formas y a través de dispositivos que no habíamos tenido en cuenta en nuestras políticas y normas de prevención y seguridad a nivel empresa, ni tampoco en nuestro hogar a nivel personal.

El objetivo de los ciberdelincuentes es apropiarse de nuestra información personal, y/o de la información de nuestra empresa, desde la contraseña de acceso al dispositivo hasta de las bases de datos de clientes, de la filmografía que procesan, de los diseños que van a sacar en la nueva temporada, de nuestra localización geográfica, hábitos de navegación e incluso de los lugares que visitamos en nuestro tiempo de ocio. Todos estos datos son información muy valiosa para analizar y/o vender, ya sea a través de ciberdelincuentes, o a través de grandes compañías (que probablemente hayan obtenido nuestro consentimiento tácito para ello).

Muchos de estos datos se encuentran en servicios privados, públicos, o compartidos en sedes o en servicios CLOUD, y sabemos que todos ellos pueden tratarse gracias al Big Data y su capacidad de análisis y procesado de datos a gran escala. Este concepto, junto con la expansión de Internet al ámbito personal y cotidiano, han convertido la información y los datos en los activos principales para la mayoría de empresas y, por tanto, garantizar la seguridad y privacidad de éstos, en una de las principales finalidades, abarcando desde el reloj que transmita la ubicación o nuestras pulsaciones, hasta la WiFi que conecta el resto de dispositivos de un hogar o de una empresa.

Integrar la seguridad desde el diseño es la clave

Como usuarios, cada vez estamos, y debemos estar, más concienciados, y nos preocupamos más de saber qué es lo que las empresas van a hacer con nuestros datos y cómo van a tratarlos (su finalidad, si van a cederlos a un tercero, etc.), y esto incluye desde los datos que introducimos en una pulsera que controla nuestra tensión y pulso, hasta los que compartimos mediante la WiFi del coche. Así pues, los fabricantes ya se han dado cuenta de que estos dispositivos cotidianos, que ahora pueden conectarse a Internet, deben integrar, ya desde su diseño y fabricación, unas medidas de seguridad que garanticen al usuario la integridad y confidencialidad de su información recogida por el dispositivo.

Esta idea es la que debe exportarse a las empresas y organizaciones, abarcando no solo a los dispositivos, sino también a los procesos de trabajo y de negocio, que de igual forma gestionan y manejan información crítica y datos personales confidenciales, que deben ser protegidos.

GDPR (Reglamento General de Protección de Datos)

El GDPR actúa como causa y consecuencia de la transformación digital y el nuevo paradigma que el IoT y el Big Data suponen en estos últimos años.

La rapidez con la que ha evolucionado la tecnología deja obsoleta a la normativa anterior rápidamente, y exige la necesidad de elaborar una legislación que incluya todos estos nuevos avances (Cloud, IoT, Internet, etc.) y que tenga un carácter internacional, puesto que ya es imposible escapar de la globalización.

Este nuevo reglamento se centra en configurar y diseñar los procesos de trabajo y de negocio, los servicios, dispositivos, comunicaciones, etc. asumiendo la seguridad, confidencialidad e integridad de la información como premisa principal para desarrollar los proyectos.

El GDPR propone un inventario de registros de tratamiento, que permitirá detectar todos los procesos en que intervienen datos personales, además de un análisis de riesgo de cada uno de ellos, así como la realización de PIA (evaluaciones de impacto en la privacidad) si así se requiere. Estos análisis de riesgo nos permitirán, desde el mismo diseño del proyecto o proceso, plantearnos las preguntas necesarias en relación al GDPR, como qué tipo de datos vamos a recoger y tratar, cuáles son las amenazas o el riesgo asumido, y como va a mitigarse, como se gestionarán las identidades y los accesos, qué plan de contingencia hemos elaborado al respecto, o con quién vamos a compartir los datos, entre otras.

Consejos prácticos

Ahora que ya conocemos un poco más cuáles son los riesgos de estas nuevas tecnologías, aunque sin olvidar los múltiples beneficios, destacamos algunos consejos prácticos que nos servirán, tanto en nuestro ámbito personal como en la empresa, para contribuir a mantener y garantizar la seguridad de nuestra información en cualquier dispositivo, especialmente en los cotidianos:

• Evitar conectar los dispositivos a una red WiFi salvo que sea necesario, en especial a redes poco seguras o públicas y, si se trata de un dispositivo no corporativo y no conocido, evitar que se conecte a la red de la empresa.
• Cambiar la contraseña inicial por defecto, y actualizarla periódicamente cada, como mínimo, 90 días.
• Realizar las actualizaciones de software necesarias y recomendadas por los fabricantes para prevenir posibles brechas de seguridad.
• Gestionar los accesos adecuadamente (tanto a nivel personal, con menores, como a nivel corporativo, restringiendo el acceso solo a los usuarios que deban acceder).
• Cifrar la información siempre que sea posible y conforme la clasificación realizada de la misma.

Para más información y/o una demostración sin compromiso de nuestros servicios y herramientas, puede ponerse en contacto con OptimumTIC mediante un correo electrónico a info@optimumtic.com.