El control interno sobre el internet de las cosas (IoT)

Por Marlon Tello, gerente de Risk Assurance Services en PwC Perú

Muchas compañías a nivel mundial vienen adoptando nuevas tecnologías a un ritmo acelerado, como el internet de las cosas o IoT, por sus siglas en inglés. El IoT es una tecnología que permite a los dispositivos interactuar entre ellos a través de la red de internet, es decir no solo nos permite tener el control de las cosas que nos rodean, sino que nos mantiene informados del estado de estas.

Por ejemplo, existen dispositivos que controlan la temperatura, enchufes inteligentes que controlan el encendido o apagado de otros artefactos, cámaras inteligentes, sensores de apertura de puertas y ventanas, entre otros.

El internet de las cosas está reconocido como una de las áreas de desarrollo tecnológico más importantes en los últimos años y ha captado la atención de las organizaciones a nivel mundial. Por ello, el control interno sobre estos dispositivos no puede quedar de lado y deben ser considerados como parte de la evaluación de riesgos.

El riesgo de uso de estos dispositivos está limitado a la información que capturen y a las tareas que realicen; y, al igual que para las aplicaciones, se puede limitar con los controles generales de TI como mencionamos a continuación:

El acceso a los dispositivos debe estar restringido solo al personal autorizado. Recordemos que muchas veces solo existe un perfil que permite la manipulación completa del dispositivo. Además, se debe cambiar la clave asignada por defecto y asegurar que la conexión a internet sea a través de una red segura y segmentada de la red interna de la organización.

Los cambios, en su gran mayoría, están limitados a los realizados por el proveedor de la marca y son, básicamente, actualizaciones de software, por lo que la organización debe coordinar con el proveedor para que estos pasen por su flujo de cambios a programas, probando su efectividad en primera instancia sobre 1 dispositivo, antes de desplegarse a todos los demás.

Otro aspecto clave es el lugar donde se almacena la información capturada por estos dispositivos, lo cual debe ser acordado bajo contrato con el proveedor. Asimismo, se debe asegurar que estos proveedores cuenten con una revisión de control interno que garantice el adecuado tratamiento y privacidad de la información.

Existen dispositivos IOT que funcionan con conexión a servidores del proveedor, por lo que, si estos servidores entran en mantenimiento o se apagan, nos dejarán sin acceso y los dispositivos no funcionarán. Este es un escenario que debemos contemplar al momento de la evaluación del impacto y probabilidad de ocurrencia de una pérdida de conexión.

Finalmente, se debe incluir en el contrato con el proveedor, acuerdos de nivel de servicio sobre mantenimientos periódicos de estos dispositivos y atención de soporte ante un incidente.

Como hemos desarrollado, es necesario que las organizaciones que hacen uso de la tecnología IoT incluyan los dispositivos utilizados para el desarrollo de su operación en la lista de activos de la organización y los clasifiquen según su criticidad. Los más críticos deben evaluarse como parte de la gestión de riesgos organizacional y se debe implementar controles que ayuden a mitigarlos. Del mismo modo, los dispositivos considerados críticos deben ser parte del alcance de las revisiones de los roles de segunda línea (Seguridad de Información o Ciberseguridad), tercera línea (Auditoría Interna) o servicios de terceros como diagnósticos o revisiones de Tecnología de Información o revisiones de ciberseguridad.

Deja un comentario

Volver arriba