Las 3 principales conclusiones sobre la normativa y la resistencia del IoT
- El IoT sustenta infraestructuras y soluciones críticas como la monitorización de pacientes y las redes de energía, por lo que los reguladores exigen a los fabricantes y proveedores de soluciones que incorporen desde el principio disponibilidad continua, ciberdefensas robustas, recuperación rápida y una sólida protección de los datos.
- La legislación sobre IoT está diseñada para proteger a empresas y consumidores de las amenazas a la seguridad, la pérdida de privacidad de los datos y los dispositivos inseguros. El cumplimiento también se extiende a la soberanía de los datos y la itinerancia permanente.
- La legislación que afecta al IoT incluye la Ley de Ciberresiliencia de la UE, la Ley de Ciberseguridad de China y las Leyes de Seguridad de las Telecomunicaciones de EE.UU. y Reino Unido. Los mercados maduros de Asia-Pacífico (Japón, Corea del Sur, Australia, Singapur, Malasia, Indonesia) y América (Brasil, Canadá, México) tienen equivalentes. Además, existen normativas sectoriales e industriales específicas.
¿Qué es la legislación sobre IoT?
La legislación del IoT abarca las leyes y reglamentos que se aplican al IoT. Su objetivo es proteger a los consumidores y las organizaciones de las amenazas a la seguridad, la pérdida de privacidad de los datos y los dispositivos inseguros. El cumplimiento también se extiende a la soberanía de los datos y a las normas sobre itinerancia permanente.
Las ciberamenazas siguen aumentando y las violaciones de datos son ya casi un hecho cotidiano. No es de extrañar, pues, que hayamos asistido a un aumento de la legislación en materia de seguridad. La ciberseguridad y la resistencia van de la mano, porque una solución de IoT que puede defenderse, detectar y reaccionar rápidamente ante las ciberamenazas tiene menos probabilidades de sufrir graves trastornos.
La legislación gubernamental que afecta al IoT incluye la Ley de Ciberresiliencia de la UE, la Ley de Ciberseguridad de China y las Leyes de Seguridad de las Telecomunicaciones de EE.UU. y el Reino Unido. Los mercados maduros de Asia-Pacífico (Japón, Corea del Sur, Australia, Singapur, Malasia, Indonesia) y América (Brasil, Canadá, México) tienen equivalentes.
Además, existen normativas específicas del sector y de la industria que se aplicarán en función de su solución y de dónde se utilice. La guía GSMA Global IoT Regulations ofrece una visión complementaria de gran utilidad.
Más allá de la legislación, hay una serie de normas pertinentes que promueven las mejores prácticas. Las organizaciones de clientes pueden insistir en algunas de ellas, pero lo hagan o no, las normas, que incluyen ISO, ETSI, NIST y EN 18031, proporcionan directrices y marcos útiles para la resistencia y la seguridad en los numerosos aspectos del IoT, desde la cadena de suministro hasta las aplicaciones y los dispositivos, pasando por la gestión de riesgos.
Las empresas, los fabricantes de equipos originales y los proveedores de soluciones deben tener en cuenta todo el espectro de legislación, reglamentación y normas, y diseñar en consecuencia en función de sus prioridades empresariales y su actitud ante el riesgo.
A medida que el Internet de las cosas se integra más en los sistemas y las infraestructuras, es probable que la legislación aumente en alcance y aplicación. Por lo tanto, el cumplimiento de la normativa nunca está "hecho", sino que es una exigencia continua y en evolución que las empresas deben satisfacer.
Legislación, reglamentación y normas actuales sobre IoT
Esta tabla enumera la legislación, la reglamentación y las normas relevantes para el IoT.
| Dónde |
¿Por qué? |
¿Por qué? |
| Cadena de suministro |
Para garantizar que los productos y servicios de terceros cumplen las normas de seguridad |
ISO/IEC 27036, 28000:2022
NIST 800-161
|
| Gestión de riesgos |
Para gestionar los riesgos de seguridad y garantizar la gobernanza |
ISO/IEC 31000
ISO/IEC 22301
NIST 800-37
|
| Respuesta a incidentes |
Marcos para gestionar y responder a incidentes de ciberseguridad |
ISO/IEC 27017
Alianza para la Seguridad en la Nube (CSA)
Certificación STAR
NIST SP 800-144
EN 18031
|
| Protección de datos |
Normativa que regula la protección de datos personales y el derecho a la intimidad |
GDPR, CCPA (California), VCDPA (Virginia) y CPA (Colorado)
ISO/IEC 27701 |
| Gestión de la seguridad |
Marcos generales de ciberseguridad para la gestión organizativa |
ISO/IEC 27001
Directiva NIS2 (UE)
NIST CSF
EN 18031
|
| Red |
Protección de la infraestructura de comunicaciones y de los datos en tránsito |
ISO/IEC 27033
Directiva CRA y NIS2 (UE)
NIST CSF
|
| Seguridad de las aplicaciones |
Normas y marcos para proteger el software y las aplicaciones |
ISO/IEC 27034
NIST 800-53 |
| Seguridad de dispositivos |
Centrado en el hardware, IoT y sistemas embebidos |
ISO/IEC 27002
CRA de la UE y PSTI del Reino Unido
ETSI EN 303645
NIST CSF
Marca de confianza cibernética de EE.UU.
EN 18031 |
| Seguridad de la nube y las infraestructuras |
Directrices específicas para la seguridad de entornos e infraestructuras en nube |
ISO/IEC 27017
Alianza para la Seguridad en la Nube (CSA)
Certificación STAR
NIST SP 800-144
EN 18031 |
Qué significa la normativa sobre IoT para su empresa
La legislación, la reglamentación y las normas nos obligan a pensar en la resistencia del IoT, pero el cumplimiento -aunque esencial- no debe ser la fuerza motriz.
Los tiempos de inactividad provocan pérdidas económicas: pérdida de ingresos, costes de reparación y posibles multas si no se cumple la normativa. Tan grave es el riesgo que un estudio de Forrester descubrió que más de un tercio de las empresas que sufrieron una brecha en un dispositivo IoT tenían más probabilidades de reportar costes de entre 5 y 10 millones de dólares, en comparación con las que sufrieron ciberataques en dispositivos no IoT. No siempre tiene por qué ser así. Diseñar soluciones con la orientación y el apoyo de socios que puedan ofrecer resistencia cibernética y de red ayudará a las empresas a evitar un intenso escrutinio y mayores sanciones financieras.
Ni su empresa ni sus clientes pueden permitirse que el IoT esté fuera de línea. Cuando lo está, sus clientes pierden datos, usted pierde ingresos y se arriesga a sufrir daños potencialmente irreparables en la reputación de su empresa. Por todas estas razones, la resiliencia no puede ser una ocurrencia tardía.
Buenas prácticas para cumplir la normativa sobre IoT
Para cumplir la normativa sobre IoT, debe insistir en los más altos estándares de seguridad y protección de datos. Debe incorporar la resistencia desde el principio, en todos los aspectos de su solución IoT: el dispositivo, la red, el software, los procesos operativos y el entorno de nube.
El cumplimiento va de la mano con el tiempo de actividad, la satisfacción del cliente y el retorno de la inversión. No lo vea como un obstáculo, sino como una ayuda para desarrollar y mantener una alta calidad de servicio.
Colabore estrechamente con su proveedor de servicios de comunicaciones (CSP) y con los fabricantes de productos y dispositivos para maximizar la resistencia. Comprenda cómo los servicios y soluciones que ofrecen cumplen la normativa pertinente. Insista en el cumplimiento de las normas y las mejores prácticas del sector.
Adoptar medidas en torno a:
- Resistencia de la infraestructura: redundancia de redes y sistemas, equilibrio de carga, escalado automático y conmutación por error automatizada.
- Seguridad: utilice un marco de seguridad como lista de comprobación para la gestión de identidades y accesos, autenticación multifactor, control de acceso basado en funciones, datos cifrados, análisis de vulnerabilidades, protección de puntos finales, segmentación de redes y gestión de parches.
- Optimización del rendimiento de los servicios: planificación periódica de la capacidad, redes de distribución de contenidos, almacenamiento en caché y computación periférica.
- Supervisión y mantenimiento predictivo : el análisis predictivo basado en IA puede anticipar fallos.
- Automatización y orquestación: sistemas autorregenerables, aprovisionamiento automatizado y actualizaciones de software rápidas y fiables.
- Recuperación en caso de catástrofe: copias de seguridad frecuentes y pruebas periódicas.
- Gestión de cambios y gobernanza: procedimientos de control de cambios, control de versiones y auditorías de sistemas.
- Comunicación y asistencia: mantenga informados a reguladores y clientes durante cualquier incidente; dote a los clientes de herramientas de autoservicio.
Obtenga la guía
Nuestra guía para maximizar el tiempo de actividad del IoT incluye:
- una lista de normativas
- preguntas detalladas para su CSP de IoT
- consideraciones de diseño para la seguridad
- consejos para recuperarse de una interrupción.
Descargar gratis
Wireless Logic puede ayudar con la resiliencia IoT y los requisitos normativos. Habla con nuestros expertos y comienza tu prueba gratuita.
Preguntas más frecuentes
¿Está regulado el IoT?
Las regulaciones se aplican al IoT. Los reguladores reconocen que el IoT sustenta infraestructuras y soluciones críticas como la monitorización de pacientes y las redes de energía, por lo que exigen a los fabricantes y proveedores de soluciones que incorporen desde el principio disponibilidad continua, ciberdefensas sólidas, capacidades de recuperación rápida y una sólida protección de datos.
¿Qué normativa existe sobre el IoT?
La legislación que afecta al IoT incluye la Ley de Ciberresiliencia de la UE, la Ley de Ciberseguridad de China y las Leyes de Seguridad de las Telecomunicaciones de EE.UU. y el Reino Unido. Los mercados maduros de Asia-Pacífico (Japón, Corea del Sur, Australia, Singapur, Malasia, Indonesia) y América (Brasil, Canadá, México) tienen equivalentes. Además, existen normativas sectoriales e industriales específicas.
¿Cómo cumplir la normativa sobre IoT?
Para cumplir la normativa sobre IoT, debe insistir en los más altos estándares de seguridad y protección de datos. Incorpore resiliencia desde el principio, en el dispositivo, la red, el software, los procesos operativos y el entorno de nube. Implemente la resistencia de la infraestructura, la seguridad, la optimización del rendimiento del servicio, la supervisión y el mantenimiento predictivo, la automatización y la orquestación, la recuperación ante desastres, la gestión del cambio y la gobernanza, y la comunicación y el soporte. Para obtener más información, descargue la guía gratuita.
