El término (IoT) se refiere a la interconexión de dispositivos físicos a través de internet, y tiene relación directa con temas de Protección de Datos Personales porque para su funcionamiento se necesita recopilar y compartir información personal manera constante. Esta tecnología ha transformado tanto la vida cotidiana de las personas como el funcionamiento de las empresas, y es a través de este Blog que veremos su influencia a nivel organizacional.
Antes que nada, tenemos que entender que una novedad tecnológica por sí misma no presenta inconvenientes para la sociedad, de hecho la tecnología (ioT) es un gran avance que le permite a las personas automatizar ciertas tareas; sin embargo, esta novedad se ha masificado, lo que ha generado que se manifiesten ciertas vulnerabilidades en la seguridad y protección de datos personales que no se tenían previstas al momento de su creación. Por lo tanto, Y desde la perspectiva de Protección de Datos (PDP), será esencial comprender la problemática para así poder mitigar los riesgos asociados a esa tecnología, los que se pueden resumir así:
- Recopilación Excesiva de Datos: Muchos dispositivos IoT recopilan grandes volúmenes de datos personales, desde información de salud, pasando por hábitos de consumo, de gustos, o aficiones, hasta la configuración de la seguridad en un hogar, y esto va en contra de las normas PDP, pues, la recopilación de datos debe estar limitada a finalidades específicas y debe estar claramente justificada. El incumplimiento de este principio es considerado como una violación a la privacidad.
- Falta de Transparencia y Consentimiento: En la mayoría de los casos, los usuarios no son conscientes ni de los datos que les están siendo recopilados, ni de cómo se utilizan. La Ley PDP establece puntualmente que las personas deben dar un consentimiento explícito e informado para el procesamiento de sus datos, pero al usar dispositivos (IoT) se viola este requisito, lo cual deja a los usuarios vulnerables a abusos en el manejo de sus datos personales.
- Seguridad Insuficiente: El software usado para monitorear o controlar los dispositivos (IoT), en gran parte de los casos, no cuentan con medidas de seguridad robustas, lo que permite que sean objetivos claros para los ciber-delincuentes. Según la Ley PDP las organizaciones propietarias de tal software deben implementar medidas técnicas y organizativas adecuadas para proteger los datos personales de los residentes en Colombia; sin embargo, ya que esto no sucede entonces se configuran infracciones en perjuicio de las personas.
- Acceso no Autorizado: La interconexión de múltiples dispositivos (IoT) se hace a través de puntos de acceso que en una red no están totalmente controlados, esto puede permitir a los atacantes acceder a datos sensibles almacenados en otros dispositivos conectados a dicha red.
Riesgos para las Empresas con Empleados Remotos
Fugas de Datos Confidenciales: Los empleados que trabajan desde casa y utilizan dispositivos (IoT) pueden no estar cumpliendo con las políticas de seguridad de la organización para la que trabajan, y esto puede resultar en la filtración de datos empresariales confidenciales o estratégicos. De acuerdo a la Ley PDP las empresas son responsables de proteger los datos personales que procesan, independientemente de dónde se encuentren sus empleados, lo que conduce a que se puedan tener brechas de seguridad.
Ataques a la Red Corporativa: Los dispositivos (IoT) en el hogar pueden servir como puertas de entrada para ataques a la red corporativa cuando los funcionarios que trabajan desde casa se conectan a la organización usando escritorio remoto o un VPN. Si el dispositivo (IoT) queda comprometido, los atacantes podrían usarlo como punto de partida para infiltrarse en la infraestructura de la empresa y poner en riesgo todo el almacenamiento de la organización.
Mitigación de Riesgos:
- Establezca políticas de seguridad claras y prácticas para el uso de dispositivos (IoT) en entornos domésticos y empresariales.
- Las empresas deben asegurarse de que los empleados remotos cumplan con las políticas de protección de datos establecidas, las cuales deben incluir uso de redes seguras, dispositivos autorizados, software autorizado y comprobación de actualización de los elementos de seguridad
- Es fundamental que se le proporcione capacitación continua a los trabajadores remotos acerca de los riesgos asociados con los dispositivos (IoT) y sobre las buenas prácticas en seguridad que deben seguir. La falta de conocimiento puede llevar a errores que comprometan la seguridad de los datos en general.
- Se deben realizar evaluaciones periódicas de los riesgos asociados con los dispositivos (IoT) y se deben desarrollar mecanismos que impidan su influencia dentro de los procesos de la organización.
Si su empresa tiene trabajadores que realizan su función desde casa, entonces su área de tecnología deberá incorporar un capítulo de seguridad que contextualice los dispositivos (IoT), y establezca reglas que minimicen el impacto dentro de los procesos de su organización.
Descubre más desde Blog de Privacidad, Seguridad y Compliance
Suscríbete y recibe las últimas entradas en tu correo electrónico.
