Después de la implementación del RGPD, ¿cómo deberían responder las empresas nacionales de IoT?
Prólogo:
En el artículo anterior (Recopilación en profundidad | Puntos centrales de la Ley General de Protección de Datos (GDPR) de la Unión Europea), compartí con ustedes los puntos centrales de la Ley GDPR, para que las empresas puedan comprender intuitivamente qué es el GDPR y qué impacto tendrá en el negocio futuro de la empresa. Este artículo se centrará en los puntos centrales del RGPD para proporcionar un análisis en profundidad de cómo deberían responder las empresas de la industria del Internet de las cosas. El plan de respuesta aquí involucra muchos aspectos, como arquitectura del sistema, gestión de personal, gestión de procesos, evaluación de riesgos, lógica empresarial, respuesta a emergencias, etc. Dado que las situaciones comerciales específicas de diferentes empresas son diferentes, el siguiente contenido se puede utilizar como método de análisis. para el autoexamen empresarial de IoT.
La particularidad de la industria del Internet de las Cosas es que muchos dispositivos no están conectados a Internet, por lo que no hay riesgo de que se filtre la privacidad del usuario. Hoy en día, la conexión en red de dispositivos es una tendencia generalizada. Los responsables y procesadores de datos entrarán en contacto directa o indirectamente con una gran cantidad de datos personales del usuario, como por ejemplo: nombre, sexo, edad, DNI, número de teléfono móvil, etc. Debido a la necesidad de realizar perfiles operativos y monitorear los datos del dispositivo y del usuario, también se recopilarán más datos privados sobre el comportamiento del usuario. Por lo tanto, el impacto del RGPD en las empresas de IoT sigue siendo importante y de gran alcance.
Como empresa de soluciones de seguridad de IoT, Qinglian Cloud ha adquirido experiencia en seguridad de redes, seguridad en la nube, ataques de piratas informáticos y confrontación de defensa, y Privacidad de datos a lo largo de los años Con base en la experiencia acumulada en protección y otros campos, y en base a las ideas de respuesta de las empresas nacionales de IoT después de la implementación del GDPR, hemos resumido los siguientes puntos clave, que pueden usarse como instrucciones de referencia para las empresas. en el proceso de practicar el cumplimiento del RGPD. Podemos compartirlos con todos para discutirlos.
Sugerencias para que las empresas nacionales de IoT respondan al RGPD:
1. Atención directa de los ejecutivos corporativos
2. Distinguir razonablemente entre controladores y procesadores de datos
p>
3. Proteger la privacidad desde el inicio del diseño
4. Obtener el consentimiento claro de autorización de datos de los clientes
5. >
6. Identificar los tipos y riesgos de los datos
7. Identificar la autorización de uso de los datos
8. Identificar la portabilidad y las capacidades de transmisión de los datos
9. Capacidad para borrar datos personales cuando sea necesario
10. Capacidad para identificar y reportar rápidamente incidentes de violación de datos
11 Seguir el principio de minimización de datos
12. Objetivo Anonimizar los datos
13. Garantizar la confidencialidad y la integridad de los datos de las comunicaciones de la red
14. Garantizar una autenticación de identidad sólida de las comunicaciones de la red. Preste atención a la gestión del ciclo de vida de los datos
16. Preste atención al control de la privacidad dentro de la empresa
17. Compruebe si los proveedores externos cumplen con el RGPD
18. Considere configurar personal dedicado a proteger la privacidad
19 Tener otros requisitos de cumplimiento de seguridad
20 Mantener una estrecha cooperación con empresas de seguridad profesionales
Atención directa de los ejecutivos corporativos<. /p >
Ya sea el RGPD u otros requisitos reglamentarios de cumplimiento de seguridad, están más estrechamente relacionados con el proceso de gestión/I+D de la empresa. La promoción de los procesos internos depende más de la atención y la determinación práctica de los ejecutivos corporativos. La promoción de la implementación correcta de un proceso debe llevarse a cabo de manera ordenada de arriba a abajo. Si los ejecutivos corporativos no son lo suficientemente conscientes o no prestan suficiente atención a promover el proceso de cumplimiento, a menudo causará una gran pérdida de mano de obra y tiempo. , y también afectar el funcionamiento normal del proceso. El progreso del desarrollo empresarial. Por eso damos prioridad a la importancia de los ejecutivos corporativos.
Distinguir razonablemente entre responsables y encargados del tratamiento
El RGPD tiene una descripción clara de responsables y encargados del tratamiento. En la práctica del RGPD, las empresas primero deben aclarar si son responsables o procesadores de datos. Este posicionamiento es muy importante.
Por ejemplo: si una empresa utiliza Google Analytics (u otros proveedores de servicios de análisis de datos de terceros) para analizar el comportamiento del usuario en el sitio web, entonces la empresa es el controlador de datos y Google Analytics es el procesador de datos. Cuando el interesado (consumidor) ejerce el "derecho al olvido" de acuerdo con los requisitos del RGPD, la empresa tiene la responsabilidad de cumplir con la solicitud legítima del usuario. La empresa debería poder eliminar los datos personales del usuario entregados. proveedores de servicios de análisis de datos de terceros.
Protegiendo la privacidad desde el inicio del diseño
Edificios altos se elevan desde el suelo. La razón es simple. La seguridad es la piedra angular de los sistemas de TI. Si existen vulnerabilidades de seguridad en el sistema de TI básico, especialmente para la industria de Internet de las cosas, las actualizaciones remotas por lotes a menudo no pueden resolver los problemas de seguridad relacionados con la lógica empresarial. Las empresas de IoT deben incluir factores de seguridad en el alcance del diseño de la arquitectura al comienzo del diseño de la arquitectura del sistema. Sólo involucrando la seguridad en una etapa temprana podremos evitar pérdidas corporativas más graves causadas por accidentes de seguridad en una etapa posterior.
Obtener claramente el consentimiento de autorización de datos del cliente
El RGPD también se describe claramente aquí, lo que exige que las empresas informen a los clientes de una manera muy obvia y directa qué datos se recopilarán (similar a la Autorización de permisos en la APLICACIÓN), especialmente productos de Internet de las cosas para menores (como relojes para niños, máquinas de cuentos para niños, etc.), deben obtener la autorización y el consentimiento directo del tutor antes de recopilar datos relevantes.
Identificar dónde se almacenan los datos
Los datos forman parte de los activos de TI de una empresa. Antes de implementar el RGPD, una cosa que las empresas deben hacer es identificar dónde existen los datos. La arquitectura subyacente de Internet de las cosas es la computación en la nube. La computación en la nube utiliza diferentes tecnologías de almacenamiento de datos para almacenar diferentes tipos de datos. Por ejemplo, Redis se usa para almacenar datos en caché, Hadoop se usa para almacenar archivos de registro grandes sin conexión y Cassandra. Se utiliza para almacenar algunos fragmentos de archivos pequeños. Los líderes técnicos empresariales deben ser claramente conscientes de qué tecnologías o componentes de almacenamiento de datos se utilizan internamente y qué tipos de datos se almacenan en los diferentes componentes. Identificar los "campos de batalla de datos" es el primer paso en la protección de la privacidad de los datos.
Identificar los tipos y riesgos de los datos
Después de identificar la ubicación donde se almacenan los datos, es necesario realizar una evaluación de riesgos de los activos de datos. Piense en los tipos de datos almacenados por las empresas: como datos de identidad personal, datos de ubicación, datos de comportamiento y datos financieros. ¿Cuáles son los tipos de datos: enteros? ¿Punto flotante? ¿Booleano? ¿Fotos/vídeos? ¿Cuáles son los riesgos de las diferentes filtraciones de datos? ¿Provocarán, por ejemplo, que se robe la tarjeta de crédito del usuario? ¿Estarán los usuarios expuestos a ataques de spam? ¿Conducirá esto a la falsificación de la identidad del usuario? ¿Conducirá esto a que se rastree el paradero del usuario? Etc., basado en el modelo de riesgo de datos establecido por la empresa, puede brindar un fuerte soporte para la implementación específica de soluciones de seguridad en el futuro.
Identificar la autorización de uso de datos
En la mayoría de los escenarios de uso de datos, no solo la propia empresa tiene control total y derechos de procesamiento sobre los datos. En las soluciones de big data, a menudo es necesario confiar en las capacidades de empresas externas para realizar una extracción y análisis de datos en profundidad. En este momento, la gestión de la autorización de uso de datos es extremadamente importante. Las empresas necesitan saber claramente qué datos se intercambian con servicios de datos de terceros o se envían directamente a terceros. Cuando se produce esta situación, la empresa se convierte en responsable del tratamiento de los datos. Si se produce una fuga de datos debido a un proveedor de servicios externo, según las normas del RGPD, la empresa como responsable del tratamiento también tiene responsabilidad solidaria.
Identificación de la portabilidad y transferibilidad de los datos
Según el RGPD, los interesados (consumidores) tienen derecho a transferir información personal a otras personas u organizaciones. Esto requiere que las empresas diseñen arquitecturas de sistemas que puedan soportar el formato de datos, la portabilidad y el intercambio de datos entre múltiples proveedores. También necesitan tener soluciones para la transmisión segura de datos para garantizar el cifrado, la integridad y la estricta autenticación de identidad bidireccional de los datos. durante el proceso de transmisión.
Los datos personales se pueden borrar cuando sea necesario
El “derecho al olvido” del interesado también está destacado en el RGPD.
Las empresas deben tener la capacidad de eliminar algunos datos que los usuarios especifican o que los usuarios ya no permiten usar. Las empresas deberían poder localizar datos rápidamente, eliminar los datos del usuario localizados y notificar a los proveedores de servicios de datos de terceros sobre los datos que deben eliminarse (si estos datos son utilizados por un tercero).
Tener la capacidad de identificar rápidamente e informar incidentes de fuga de datos de manera oportuna
Creo que esta capacidad es muy importante y muy difícil. Hay dos dificultades: 1. ¿Cómo puede una empresa identificar rápidamente que sus datos han sido filtrados? Al observar los casos de fuga de datos en la historia o en los últimos tiempos, las empresas básicamente desconocen la fuga de datos. 2. Si la empresa tiene la capacidad (coraje) para informar los incidentes de fuga de datos a los reguladores y a los interesados de manera oportuna dentro de las 72 horas; estipulado en el RGPD? Creo que los gerentes de negocios pueden sentir por qué esta habilidad es difícil. De hecho, no es una habilidad enteramente técnica.
Seguir el principio de minimización de datos
Existe un principio importante en el diseño de arquitectura de seguridad: minimizar los permisos. Es decir, se realiza una evaluación de riesgos para el negocio y solo se proporcionan los permisos mínimos que pueden satisfacer las necesidades de operación del negocio, como abrir la menor cantidad de puertos posible, deshabilitar los permisos de Root, etc. GDPR estipula claramente el principio de minimización de datos, es decir, recopilar la menor cantidad posible de datos de usuario para satisfacer las necesidades comerciales. En términos sencillos: menos funciones significan menos riesgos, y lo mismo ocurre en términos de seguridad de los datos.
Anonimización de datos
El RGPD tiene una definición oficial clara de “anonimización”. Hay dos significados: 1. Tomando la arquitectura del sistema de Qinglian Cloud como ejemplo, diferentes tipos de datos de usuarios y dispositivos se almacenan en bases de datos separadas/almacenamiento cifrado categorizado para evitar la fuga completa al mismo tiempo en caso de fuga de datos. 2. Anonimizar datos confidenciales, como ocultar el segmento de datos de cumpleaños al registrar un número de identificación para evitar poder localizar o señalar directamente a una persona física identificable debido a la filtración de datos.
Garantizar la confidencialidad y la integridad de los datos de las comunicaciones de red
Aquí hay dos puntos clave: confidencialidad e integridad. La arquitectura del sistema de Qinglian Cloud tiene integrado un sistema de puerta de enlace de acceso seguro IoT de desarrollo propio. La puerta de enlace no solo puede proporcionar una variedad de métodos de cifrado de datos (AES/DES/SSL, etc.), sino que también puede firmar y legalizar de forma segura cada dato. paquete Esto garantiza que los datos puedan resistir los ataques de reproducción del dispositivo iniciados por piratas informáticos durante el proceso de transmisión cifrada y lograr una transmisión de datos de IoT segura y estable.
Asegure una autenticación de identidad sólida para las comunicaciones de red
La autenticación de identidad debe ser bidireccional en lugar de unidireccional. Para la industria de Internet de las cosas, la autenticación de identidad incluye principalmente la autenticación de identidad entre dispositivo y nube, dispositivo y dispositivo, cliente y nube, cliente y dispositivo, nube y interfaces de terceros, y la nube misma. En la arquitectura del sistema de Qinglian Cloud, esta serie de mecanismos de autenticación de identidad también se implementan mediante el sistema de puerta de enlace de acceso seguro de IoT, que puede resistir la falsificación de dispositivos y otros ataques de falsificación de datos iniciados por piratas informáticos.
Preste atención a la gestión del ciclo de vida de los datos
Para el proceso de I + D de la empresa, Microsoft propuso SDL (Ciclo de vida de desarrollo de seguridad), que se divide en 7 partes, desde la capacitación hasta la respuesta final a la emergencia. . Lo mismo se aplica a los datos. Las empresas deben autoexaminar si pueden lograr seguridad y controlabilidad en el ciclo de vida, desde la definición de formatos de datos hasta la recopilación de datos, luego su análisis y visualización, y finalizando con el almacenamiento persistente. Después de todo, diferentes aspectos del ciclo de vida enfrentan diferentes riesgos de seguridad. Ser capaz de gestionar eficazmente el ciclo de vida de los datos es una de las capacidades de seguridad necesarias para las empresas. Se recomienda que los líderes de tecnología empresarial estudien detenidamente el proceso SDL de Microsoft.
Preste atención al control de la privacidad dentro de la empresa
El control de la privacidad no se limita al RGPD. Las empresas deben autoexaminar si tienen el proceso o las capacidades técnicas para el control de la privacidad. Esto incluye, entre otros: control de privacidad para el almacenamiento de datos, control de privacidad para sistemas OA, control de privacidad para sistemas de ventas, control de privacidad para redes de oficinas, control de privacidad para oficinas móviles, control de privacidad para empleados renunciados, control de privacidad para capacidades de control de privacidad para almacenar datos y destrucción de hardware, etc.
Compruebe si los proveedores externos cumplen con el RGPD
Tome Qinglian Cloud como ejemplo: Qinglian Cloud proporciona servicios de nube privada/nube pública de IoT seguros y confiables para empresas de IoT, pero si Ya sea una nube pública o una nube privada, los productos Qinglian Cloud, como un conjunto de sistemas de software de seguridad de IoT, deben depender de un determinado proveedor de servicios IaaS de computación en la nube. Por lo tanto, cuando las empresas consideran si los proveedores externos cumplen con los requisitos de cumplimiento del RGPD, no solo deben considerar las capacidades de seguridad propias del proveedor externo (Qinglian Cloud puede proporcionar una verdadera solución de seguridad de IoT de extremo a extremo), sino que también deben considerar el cumplimiento subyacente del RGPD para los proveedores de computación en la nube. Teniendo como representantes a la computación en la nube, Amazon AWS y Alibaba Cloud, ambos fabricantes tienen requisitos estándar de cumplimiento del RGPD, que también merecen la atención de las empresas.
Considere la posibilidad de establecer personal dedicado a la protección de la privacidad
Al aplicar el RGPD, las empresas no solo necesitan la atención de los altos ejecutivos, sino que también necesitan cultivar personal dedicado a la protección de la privacidad, como los directores de privacidad. ( Director de Privacidad (CPO) o Oficial de Protección de Datos (DPO) como se especifica en el RGPD. Incluso si la empresa no tiene este puesto, debe llevar a cabo una capacitación especial en protección de la privacidad para los líderes técnicos y los empleados principales, y establecer los procesos de protección de la privacidad correspondientes para cumplir con los requisitos de cumplimiento del RGPD.
Tiene otros requisitos de cumplimiento de seguridad
La construcción de seguridad de la información empresarial no se puede completar de la noche a la mañana. Antes de prestar atención al RGPD, las empresas deben revisar si cumplen con los demás requisitos de cumplimiento de seguridad del país, como el nivel de protección de seguridad de la red. Al menos a nivel de aplicación de IoT, también deberíamos tener ciertas capacidades de defensa de seguridad. No se puede entender que uso Alibaba Cloud y que la seguridad está garantizada por Alibaba Cloud, ni puedo pensar que mis datos estén encriptados, lo que significa que están seguros. . La aparición de vulnerabilidades de seguridad está más relacionada con la lógica empresarial y no solo se refleja en la protección de datos. Qinglian Cloud puede proporcionar servicios de consultoría de seguridad especializados (capacitación en seguridad, pruebas de seguridad, soluciones de seguridad de IoT) para empresas de IoT.
Mantener una estrecha cooperación con empresas de seguridad profesionales
Especializada en la industria técnica, la seguridad proviene de la acumulación de experiencia a largo plazo y de enfrentamientos reales de ataque y defensa de piratas informáticos. Muchas empresas de IoT no tienen la capacidad de formar equipos de seguridad profesionales. Las empresas deberían prestar más atención a su propio negocio y al desarrollo de productos, y establecer asociaciones a largo plazo con empresas de seguridad: por un lado, pueden mejorar las capacidades de protección de seguridad. de sus propios negocios y, por otro lado, A través de la cooperación con empresas de seguridad, se puede mejorar la conciencia de seguridad de los empleados y se pueden eliminar las vulnerabilidades de seguridad en los procesos de I + D y pruebas, mejorando así la seguridad de los productos producidos en masa.