物聯網治理:如何應對法規遵從性和安全挑戰
譯文【51CTO.com快譯】隨著物聯網在組織的網絡中變得越來越普遍,有效的物聯網治理問題也變得越來越重要。物聯網系統的治理與組織的各種系統產生的數據密切相關。
越來越多的組織使用物聯網設備挖掘更多數據來推動其業務運營,但物聯網治理卻相對有些落后。在正確采用物聯網之后,組織利用不斷增長的物聯網設備網絡將帶來許多好處,其中包括提高收入和運營效率、降低成本,甚至創建新的業務模型。
但是,隨著越來越多的物聯網和邊緣計算設備在組織網絡中擴散,對嚴格有效的物聯網治理模型的需求也越來越大。
Sectigo公司物聯網/嵌入式解決方案副總裁Alan Grau解釋說:“從治理的角度來看,組織網絡中充斥著通常不安全、未經認證的設備,這引發了對合規性和網絡安全性的嚴重擔憂。由于設備安全性并沒有與物聯網的快速增長保持同步,不安全的物聯網設備會使組織面臨既不安全又不合規的風險。”
這種缺乏可見性和由此帶來的不安全性得到Panaseer公司進行的一項研究的證實。在這個研究中,組織的安全主管將物聯網設備視為其最不可見的資產。
Aptum科技公司的售前工程師Grant Duxbury說,“組織在物聯網設備上很少能找到IP地址,即使有IP地址,也很難判斷這一設備的功能以及所連接的設備。而在不同位置包含多個設備的多個網絡中,其可見性將顯著下降。這使組織安全團隊完全看不到某個物聯網設備帶來的風險,以及惡意行為者可以利用哪些漏洞。”
為了確保這些物聯網設備的安全性和合規性,組織可以按照以下步驟來確保物聯網管理。
1.檢查和安全審查
Duxbury建議,組織首次將物聯網設備注冊到生態系統中時需要進行嚴格的檢查,并且應該查看制造商關于安全配置設備最佳方法的指南。
他說,“需要一份完整的清單將每個設備及其功能映射出來,以增加可見性,這將有助于在特定位置精確定位每個功能。還應部署具有監視、維護和自動更新功能的端到端設備管理工具,以確保每個設備在其整個生命周期內都得到有效管理。”
2.驗證每個設備
Grau認為,跨網絡處理物聯網治理的最重要方法是對每臺物聯網設備進行身份驗證。
他說,“易受攻擊的物聯網設備等同于易受攻擊的網絡。安全性必須是全面的,并且必須從物聯網設備的身份驗證開始。”
Grau表示,采用物聯網網絡的組織需要超越弱身份驗證解決方案(例如密碼)。取而代之的是,為了確保正確的物聯網治理,組織堅持采用能夠洞悉網絡中每個設備并可以確保這些設備具有正確實施安全協議的管理系統。物聯網管理門戶通過確保所有設備都經過認證,并內置正確的公開密鑰基礎設施(PKI)解決方案,可以有效地管理網絡。”
3.治理結構
SAP NS2公司首席信息安全官Ted Wagner表示,任何物聯網治理計劃中應包含的主題是“軟件和硬件漏洞以及對安全性要求的遵從性(無論是基于法規還是基于策略)”。
他指的是在物聯網設備中發現軟件漏洞時的典型用例。在這種情況下,確定缺陷的嚴重性很重要。組織需要問這些問題:會導致安全事件嗎?需要多快才能解決?如果無法修補軟件,是否有另一種方法來保護物聯網設備或減輕風險?
Wagner說,“應對物聯網治理的一種良好方法是組織設立董事會作為治理結構。提案將會提交給組織董事會,董事會通常由6至12名成員組成,他們討論新提案或變更的優點。他們可以通過接收定期的漏洞報告(包括有關漏洞的趨勢或指標)來監視諸如軟件漏洞之類的持續風險。有些組織的董事會擁有很多權力,而另一些董事會則可以充當高管或決策者的咨詢職能。”
他補充說,“為實現最佳的物聯網治理,組織需要透明性或風險可見性、識別特定風險的有效工作流程,以及采取行動以降低組織風險的機制。”
4.數據隱私
Talend公司首席產品營銷經理Janet Liao警告說,在物聯網治理方面,組織可能會做出下意識的反應,為此應該在任何治理計劃中優先考慮數據隱私,而不是專注于加強數據安全。
她解釋說,“物聯網的核心是始終保持聯系的概念。很多組織正在尋求捕獲、共享、使用生成的大量客戶數據來推動競爭優勢。問題在于,在遵循通用數據保護條例(GDPR)情況下,數據隱私的定義范圍很廣,組織在采用物聯網時可能會遇到很多麻煩。這是因為該法規對組織施加了更多的責任,以滿足特定的隱私要求。這意味著組織必須采取適當的技術和措施,以確保不會侵犯人們隱私。可悲的是,對于大多數組織而言,這尚未得到適當解決,因此,隨著引入物聯網產生的數據,它將變得越來越復雜。”
5.物聯網治理取決于產生的數據
CCS Insight公司首席運營官Martin Garner解釋說:“物聯網治理不應該和物聯網所使用的產品或流程分離。圍繞使用自動駕駛汽車或工廠機器人的治理問題將決定物聯網系統的要求。其治理范圍包括機器連接的強度、軟件堆棧、任何機器學習和人工智能的質量。”
他繼續說:“影響物聯網治理的關鍵領域是將物聯網內置到機器中以提高工業流程效率,或幫助員工更好地工作并保持安全。它可以包括使組織銷售的產品更好地工作或允許使用其他業務模型。這些方法中的每一個都有不同的治理要求。物聯網系統的治理與這些系統產生的數據密切相關,這些數據對用戶或組織來說十分重要。”
原文標題:IoT governance: how to deal with the compliance and security challenges,原文作者:Nick Ismail
【51CTO譯稿,合作站點轉載請注明原文譯者和出處為51CTO.com】
