Después de la implementación del RGPD, ¿cómo deberían responder las empresas nacionales de IoT?
En el artículo anterior (Recopilación detallada | Puntos centrales de la Ley General de Protección de Datos de la UE (GDPR)), compartí con ustedes los puntos centrales de la Ley GDPR, para que las empresas puedan intuitivamente comprender qué es el RGPD y qué impacto tendrá en los negocios futuros. Este artículo se centrará en los puntos de vista centrales del RGPD y proporcionará un análisis en profundidad de cómo deberían responder las empresas de la industria del Internet de las cosas. El plan de respuesta aquí involucra muchos vínculos, como arquitectura del sistema, gestión de personal, gestión de procesos, evaluación de riesgos, lógica empresarial, respuesta a emergencias, etc. Dado que las condiciones operativas específicas de diferentes empresas son diferentes, el siguiente contenido se puede utilizar como método de análisis para el autoexamen de las empresas de IoT.
La particularidad de la industria del IoT es que muchos dispositivos no están conectados a Internet, por lo que no hay riesgo de que se filtre la privacidad del usuario. Hoy en día, la conexión en red de dispositivos es la tendencia general. Los responsables y encargados del tratamiento tendrán acceso directo o indirecto a una gran cantidad de datos personales del usuario, como nombre, sexo, edad, DNI, número de teléfono móvil, etc. Por otro lado, debido a la necesidad de elaborar perfiles operativos y monitorear los datos del dispositivo y del usuario, se recopilarán más datos privados sobre el comportamiento del usuario. Por lo tanto, el impacto del RGPD en las empresas de IoT sigue siendo importante y de gran alcance.
Como empresa de soluciones de seguridad de IoT, Qinglian Cloud ha acumulado muchos años de experiencia en los campos de seguridad de redes, seguridad en la nube, ataque y defensa de piratas informáticos y protección de la privacidad de datos. Ha proporcionado soluciones a empresas nacionales de IoT. Después de la implementación del RGPD, se resumen los siguientes puntos, que pueden usarse como guía de referencia para que las empresas implementen el cumplimiento del RGPD y compartirlos con todos.
Recomendaciones para que las empresas nacionales de IoT respondan al RGPD:
1. Atención directa de los ejecutivos corporativos
2. Distinguir razonablemente entre responsables y procesadores de datos.
3. Proteger la privacidad desde el inicio del diseño.
4. Obtener el consentimiento de autorización de datos del cliente de forma clara.
5. Identificar dónde se almacenan los datos.
6. Identificar tipos de datos y riesgos.
7. Autorización para utilizar datos de identificación
8. Capacidad de portar y transferir datos de identificación
9.
10. Tener la capacidad de identificar rápidamente y reportar violaciones de datos de manera oportuna.
11. Seguir el principio de minimización de datos.
12. Datos anonimizados.
13. Garantizar la confidencialidad y la integridad de los datos de las comunicaciones en la red.
14. Garantizar una autenticación sólida de las comunicaciones de la red.
15. Preste atención a la gestión del ciclo de vida de los datos.
16. Preste atención al control de la privacidad dentro de la empresa.
17. Compruebe si los proveedores externos cumplen con el RGPD.
18. Considere la posibilidad de establecer personal dedicado a la protección de la privacidad.
19, cumplir con otros requisitos de seguridad.
20. Mantener una estrecha colaboración con empresas de seguridad profesionales.
La atención directa de los ejecutivos corporativos
Ya sean los requisitos de cumplimiento de seguridad del GDPR u otras regulaciones, están más estrechamente relacionados con el proceso de gestión corporativa/I+D. El avance de los procesos internos depende más de la atención y determinación práctica de los ejecutivos corporativos. Promover la correcta implementación de un proceso debe realizarse de manera ordenada de arriba a abajo. Si los ejecutivos corporativos no son conscientes o no prestan suficiente atención a promover el cumplimiento, a menudo se desperdiciará mucha mano de obra, tiempo y costos, y también afectará el progreso del negocio normal. Por eso damos prioridad a la importancia de los ejecutivos corporativos.
Distinguir razonablemente entre responsables y encargados del tratamiento
Los responsables y encargados del tratamiento están claramente descritos en el RGPD. En la práctica del RGPD, es muy importante que las empresas aclaren primero si son responsables o procesadores de datos. Por ejemplo, si una empresa utiliza Google Analytics (u otros proveedores de servicios de análisis de datos de terceros) para analizar el comportamiento del usuario en el sitio web, entonces la empresa es el controlador de datos y Google Analytics es el procesador de datos. Cuando el interesado (consumidor) ejerce el "derecho al olvido" de acuerdo con los requisitos del RGPD, la empresa es responsable de cumplir los requisitos legales del usuario y la empresa debería poder eliminar los datos personales del usuario entregados a terceros. -proveedores de servicios de análisis de datos de terceros.
Privacidad por Diseño
Cada roble debe ser una bellota. la razón es sencilla. La seguridad es la piedra angular de los sistemas de TI. Si existen vulnerabilidades de seguridad en el sistema de TI básico, especialmente para la industria de Internet de las cosas, los problemas de seguridad relacionados con la lógica empresarial no se pueden resolver mediante una actualización remota por lotes. Las empresas de IoT deben incluir factores de seguridad en el alcance del diseño de la arquitectura al comienzo del diseño de la arquitectura del sistema. Deje que la seguridad intervenga desde la etapa inicial para evitar pérdidas corporativas más graves causadas por accidentes de seguridad en la etapa posterior.
Obtener claramente el consentimiento de autorización de datos del cliente.
El RGPD también tiene una descripción clara aquí, exigiendo que las empresas informen a los clientes de una manera muy obvia y directa (similar a la autorización de una aplicación) qué datos se recopilarán, especialmente para productos de IoT dirigidos a menores (como relojes para niños). , máquinas de cuentos infantiles, etc.). ), los datos relevantes sólo pueden recopilarse con la autorización directa del tutor.
Determine dónde almacenar los datos
Los datos son parte de los activos de TI de una empresa. Una cosa que las empresas deben hacer antes de implementar el RGPD es determinar dónde residen los datos.
La arquitectura subyacente de Internet de las cosas es la computación en la nube, que utiliza diferentes tecnologías de almacenamiento de datos para almacenar diferentes tipos de datos, como Redis para almacenar datos en caché, Hadoop para almacenar grandes archivos de registro fuera de línea y Cassandra para almacenar algunos archivos pequeños fragmentados. Los líderes de tecnología empresarial deben comprender claramente qué tecnologías o componentes de almacenamiento de datos se utilizan internamente y qué tipo de datos almacenan los diferentes componentes. Identificar los “campos de batalla de datos” es el primer paso en la protección de la privacidad de los datos.
Identificar el tipo y riesgo de los datos
Cuando se identifica claramente la ubicación donde se almacenan los datos, es necesario evaluar el riesgo para el activo de datos. Piense en los tipos de datos que almacenan las empresas: datos de identificación personal, datos de ubicación, datos de comportamiento, datos financieros, por ejemplo. ¿Cuáles son los tipos de datos: números enteros? ¿Punto flotante? ¿Booleano? ¿Fotos/vídeos? ¿Cuáles son los riesgos de las diferentes filtraciones de datos? Por ejemplo, ¿se robará la tarjeta de crédito del usuario? ¿Expondrá a los usuarios a ataques de spam? ¿Se suplantará la identidad del usuario? ¿Conducirá esto a que se rastree el paradero del usuario? Etc., basado en el modelo de riesgo de datos establecido por la empresa, puede brindar un fuerte soporte para la implementación específica de futuras soluciones de seguridad.
Autorización para utilizar datos de identidad
En la mayoría de los escenarios de uso de datos, las empresas no son las únicas con control total y derechos de procesamiento sobre los datos. En las soluciones de big data, a menudo es necesario confiar en las capacidades de empresas externas para realizar una extracción y un análisis de datos en profundidad. En este momento, la gestión de la autorización del uso de datos se vuelve extremadamente importante. Las empresas necesitan saber claramente qué datos existen antes de poder intercambiar servicios de datos con terceros o enviar datos directamente a terceros. Cuando esto sucede, la empresa se convierte en responsable del tratamiento de los datos. Si se produce una fuga de datos debido a un proveedor de servicios externo, la empresa, como responsable del tratamiento, también es responsable solidariamente según el RGPD.
Capacidad para identificar la migración y transferencia de datos
El RGPD estipula que los interesados (consumidores) tienen derecho a transferir información personal a otras personas u organizaciones. Esto requiere que las empresas diseñen arquitecturas de sistemas que admitan el formato y la portabilidad de los datos, y que compartan datos entre múltiples proveedores. Al mismo tiempo, también necesitan una solución para la transmisión segura de datos que garantice el cifrado, la integridad y una estricta autenticación bidireccional de los datos durante la transmisión.
Los datos personales se pueden borrar si es necesario.
El “derecho al olvido” del interesado también es un punto clave planteado por el RGPD. Las empresas deben poder eliminar algunos datos que un usuario especifica o que el usuario ya no puede utilizar. Las empresas deberían poder localizar rápidamente datos y eliminar datos de usuarios localizados, y notificar a terceros proveedores de servicios de datos sobre los datos que se eliminarán si los datos son utilizados por terceros.
Tener la capacidad de identificar rápidamente y reportar violaciones de datos de manera oportuna.
Creo que esta habilidad es muy importante y difícil. Hay dos dificultades: 1. ¿Cómo pueden las empresas darse cuenta rápidamente de que sus datos se han visto comprometidos? Al observar los casos de violación de datos históricos o recientes, las empresas básicamente son conscientes de ellos. 2. ¿Tienen las empresas la capacidad (valentía) de informar sobre violaciones de datos a las agencias reguladoras y a los interesados dentro de las 72 horas estipuladas en el RGPD? ¿Por qué esta habilidad es tan difícil? Creo que los directivos de empresas pueden sentirlo. De hecho, no se trata únicamente de capacidad técnica.
Seguir el principio de minimización de datos
Existe un principio importante en el diseño de la arquitectura de seguridad: minimizar los permisos. En otras palabras, realice una evaluación de riesgos en el negocio y solo proporcione los permisos mínimos que puedan satisfacer las operaciones comerciales, como abrir la menor cantidad de puertos posible, deshabilitar los permisos de raíz, etc. GDPR estipula claramente el principio de minimización de datos, es decir, recopilar la menor cantidad posible de datos de usuario mientras se satisfacen las necesidades comerciales. En términos generales, cuantas menos funciones, menos riesgos, y lo mismo ocurre con la seguridad de los datos.
Datos anonimizados.
En GDPR, "anonimato" tiene una definición oficial clara. Tiene dos significados: 1. Tomando como ejemplo la arquitectura del sistema de Qinglian Cloud, diferentes tipos de datos de usuarios y dispositivos se almacenan en una base de datos/cifrado clasificado para evitar la filtración de todos los datos personales completos de los usuarios al mismo tiempo para evitar la filtración de datos. 2. Anonimizar el procesamiento de datos confidenciales; , como ocultar el segmento intermedio de datos de cumpleaños al registrar el número de identificación, para evitar no poder localizar o señalar directamente a una persona física identificable debido a la filtración de datos.
Asegurar la confidencialidad y la integridad de los datos de las comunicaciones de la red.
Aquí hay dos puntos principales: confidencialidad e integridad. La arquitectura del sistema de Qinglian Cloud tiene integrado un sistema de puerta de enlace de acceso de seguridad IoT de desarrollo propio. La puerta de enlace no solo proporciona una variedad de métodos de cifrado de datos (AES/DES/SSL, etc.), sino que también realiza firmas de seguridad y controles de legalidad en cada paquete de datos para garantizar que los datos puedan resistir la reinstalación del dispositivo iniciada por los piratas informáticos durante el proceso. proceso de transmisión cifrada Prevenir ataques y lograr una transmisión de datos de IoT segura y estable.
Asegure una autenticación sólida para las comunicaciones de red.
La autenticación debe ser bidireccional, no unidireccional. Para la industria de IoT, la autenticación de identidad incluye principalmente la autenticación de identidad entre dispositivo y nube, dispositivo y dispositivo, cliente y nube, cliente y dispositivo, nube y interfaces de terceros, y la nube misma. En la arquitectura del sistema de Qinglian Cloud, esta serie de mecanismos de autenticación de identidad también se implementan a través del sistema de puerta de enlace de acceso seguro de IoT, que puede resistir ataques de falsificación de datos, como la falsificación de dispositivos iniciada por piratas informáticos.
Preste atención a la gestión del ciclo de vida de los datos
Para el proceso de I+D de la empresa, Microsoft propuso SDL (Ciclo de vida de desarrollo de seguridad), que se divide en siete partes, desde la formación hasta la respuesta final a la emergencia. Lo mismo ocurre con los datos. Las empresas deben comprobar si el ciclo de vida, desde la definición de formatos de datos hasta la recopilación de datos, su análisis y visualización, y luego el almacenamiento persistente, puede ser seguro y controlable. Después de todo, diferentes enlaces en el ciclo de vida enfrentan diferentes riesgos de seguridad. La gestión eficaz del ciclo de vida de los datos es una de las capacidades de seguridad necesarias para las empresas. Se recomienda que el director técnico de la empresa estudie detenidamente el proceso SDL de Microsoft.
Preste atención al control de privacidad dentro de la empresa.
El control de la privacidad no se limita al RGPD. Las empresas deben comprobar si cuentan con procesos de control de la privacidad o capacidades técnicas. Incluyendo, entre otros: control de privacidad del almacenamiento de datos, control de privacidad del sistema OA, control de privacidad del sistema de ventas, control de privacidad de la red de la oficina, control de privacidad de la oficina móvil, control de la privacidad de los empleados dimitidos, capacidades de control de la privacidad de la destrucción del hardware de almacenamiento de datos, etc.
Compruebe si los proveedores externos cumplen con el RGPD.
Tome Qinglian Cloud como ejemplo: Qinglian Cloud proporciona servicios de nube privada/nube pública seguros y confiables para empresas de IoT. Sin embargo, ya sea una nube pública o una nube privada, los productos de Qinglian Cloud sirven como un conjunto. de los sistemas de software de seguridad de Internet de las cosas deben depender de un proveedor de servicios IaaS de computación en la nube. Por lo tanto, cuando las empresas consideran si los proveedores externos cumplen con los requisitos de cumplimiento del RGPD, no solo deben considerar las capacidades de seguridad propias del proveedor externo (Qinglian Cloud puede proporcionar una verdadera solución de seguridad de extremo a extremo para Internet de las cosas), sino también Considere también el cumplimiento subyacente del RGPD para los proveedores de computación en la nube. Amazon AWS y Alibaba Cloud, representadas por la computación en la nube, tienen requisitos estándar de cumplimiento del RGPD y merecen la atención empresarial.
Considere establecer un personal dedicado a la protección de la privacidad.
En la práctica del RGPD, las empresas no solo necesitan la atención de los altos directivos, sino que también necesitan formar personal especializado en protección de la privacidad, como el director de privacidad (CPO) o el responsable de protección de datos (DPO). propuesto por el RGPD. Incluso si la empresa no tiene este puesto, debe llevar a cabo una capacitación especial en protección de la privacidad para los líderes técnicos y los empleados principales, establecer los procesos de protección de la privacidad correspondientes y cumplir con los requisitos de cumplimiento del RGPD.
Existen otros requisitos de cumplimiento de seguridad.
La construcción de la seguridad de la información empresarial nunca se puede lograr de la noche a la mañana. Antes de centrarse en el RGPD, las empresas deben comprobar si cumplen con otros requisitos de cumplimiento de seguridad nacional, como el nivel de protección de ciberseguridad. Al menos en el nivel de aplicación de Internet de las cosas, también debería tener ciertas capacidades de defensa de seguridad. No se puede entender que estoy usando Alibaba Cloud y que la seguridad está garantizada por Alibaba Cloud. No puedo asumir que sólo porque mis datos estén cifrados significa que están seguros. La aparición de vulnerabilidades de seguridad está más relacionada con la lógica empresarial que con la protección de datos. Qinglian Cloud puede proporcionar servicios profesionales de consultoría de seguridad (capacitación en seguridad + pruebas de seguridad + soluciones de seguridad de IoT) para empresas de IoT.
Mantener una estrecha colaboración con empresas de seguridad profesionales.
Existen especializaciones en la industria técnica, y la seguridad proviene de la acumulación de experiencia a largo plazo y de enfrentamientos reales de ataque y defensa de piratas informáticos. Muchas empresas de IoT no tienen la capacidad de formar equipos de seguridad profesionales. Las empresas deberían prestar más atención a su propio negocio y desarrollo de productos y establecer asociaciones a largo plazo con empresas de seguridad: por un lado, puede mejorar las capacidades de protección de seguridad empresarial de la empresa y, por otro lado, también puede mejorar la seguridad de los empleados. Concienciación a través de la cooperación con empresas de seguridad. Eliminar las vulnerabilidades de seguridad durante los procesos de I+D y pruebas, mejorando así la seguridad de los productos producidos en masa.