摘要：如果实施得当，利用不断增长的物联网设备网络有很多好处，包括提高收入和运营效率、降低成本，甚至创造新的商业模式。

随着物联网在组织网络中变得越来越普遍，有效的物联网治理问题变得越来越重要。
　　
　　物联网系统的治理与这些系统产生的数据密切相关。
　　
　　企业和组织越来越多地使用物联网设备，通过挖掘更多数据来推动运营成功，但物联网治理却落后了。
　　
　　如果实施得当，利用不断增长的物联网设备网络有很多好处，包括提高收入和运营效率、降低成本，甚至创造新的商业模式。
　　
　　然而，随着越来越多的物联网和边缘设备在企业网络中扩散，对严格和有效的物联网治理模型的需求就越大。
　　
　　根据调研机构德勤公司最近的一项研究，预计会给物联网治理带来障碍的主要趋势包括：
　　
　　•数据治理：为支持大规模数据存储而构建的大数据平台和设备往往功能多样，难以释放物联网的真正价值。
　　
　　•隐私权：医疗保健等领域的云计算可穿戴设备将引发数据提供者以及政府监管机构的质疑。
　　
　　•安全漏洞：由于所涉及的设备呈指数级增长，保护网络变得越来越复杂，这给企业和监管机构带来了越来越大的压力，以确保它们得到充分保护。
　　
　　PQShield销售和业务开发副总裁、Sectigo前物联网/嵌入式解决方案副总裁AlanGrau表示：“从治理的角度来看，企业网络中充斥着通常不安全、未经身份验证的设备，这引发了人们对合规性的严重担忧，和网络的安全
　　
　　“物联网的快速增长并没有与设备安全性的增长同步，不安全的设备会给企业带来不安全和不合规的风险。”
　　
　　Panaseer公司的一项研究证实了这种缺乏可见性和由此导致的不安全性，安全领导者将物联网设备列为他们最不了解的资产。
　　
　　AptumTechnologies公司售前工程总监GrantDuxbury说，“在物联网设备上很少能找到IP地址，即使有，也很难判断设备的功能是什么以及它连接到什么。由于不同位置的多个网络包含多个设备，可见性自然会降低。这让安全团队完全不知道单个设备带来的风险，以及恶意行为者可以利用哪些漏洞，”
　　
　　为确保这些设备安全且企业保持合规，企业领导者可以按照以下步骤确保物联网治理。
　　
　　IT治理、风险和合规性指南—信息时代为企业提供有关IT治理、风险和合规性的完整业务指南。
　　
　　（1）检查和安全审查
　　
　　在首次将物联网设备注册到生态系统时，Duxbury建议需要进行严格的检查，并且应始终审查制造商关于安全配置设备的最佳方法的指南。
　　
　　他补充说，“一个完整的清单映射出每个设备及其功能以提高可见性，这将有助于在特定位置查明每个功能。还应部署具有监控、维护和自动更新功能的端到端设备管理工具，以确保每个设备在其整个生命周期内都得到尽可能有效的管理。”
　　
　　（2）对每台设备进行身份验证
　　
　　Grau认为，跨网络处理物联网治理的最重要方法是对每台设备进行身份验证。
　　
　　他说，“易受攻击的物联网设备等同于易受攻击的网络。安全性需要全面而全面，并从设备身份验证开始。”
　　
　　利用物联网网络的企业需要超越弱身份解决方案，例如密码。
　　
　　与其相反，为了确保正确的物联网治理，Grau坚持一个能够洞察网络上每个设备并能确保这些设备具有正确实施的安全协议的管理系统作为前进的方向。
　　
　　他补充说，“物联网管理门户通过确保所有设备都经过身份验证，并内置正确的PKI解决方案来有效地管理网络，”
　　
　　（3）治理结构
　　
　　他提到了在物联网设备中发现软件缺陷的典型用例。在这种情况下，确定缺陷的严重性很重要。会不会引发安全事件？需要多快解决？如果无法修补软件，是否有其他方法可以保护设备或降低风险？
　　
　　Wagner建议，“处理物联网治理的一个好方法是将董事会作为治理结构，提案会提交给董事会，董事会通常由6～12人组成，他们讨论任何新提案或变更的优点。他们可以通过定期接收包含漏洞趋势或指标的漏洞报告来监控软件漏洞等持续风险。一些董事会拥有很大的权力，而另一些则可能充当高管或决策者的咨询职能。”
　　
　　为了实现最佳的物联网治理，企业需要风险的透明度或可见性、识别特定风险的有效工作流程以及采取行动以降低组织风险的机制。
　　
　　（4）数据隐私
　　
　　Talend公司首席产品营销负责人JanetLiao警告说，在物联网治理方面，企业可能会做出下意识的反应。
　　
　　企业不应专注于“加强”数据安全，而应在任何治理计划中优先考虑数据隐私。
　　
　　她解释说，“物联网的核心是始终连接的客户的概念。企业正在寻求捕获、共享和使用生成的大量客户数据来推动竞争优势。
　　
　　问题在于，在GDPR下，数据隐私的定义很广泛，当他们开始采用物联网时，可能会发现很多人陷入困境。这是因为该法规对企业施加了影响深远的责任，以实施特定的“设计隐私”要求。
　　
　　Liao说，“这意味着企业必须采取适当的技术和组织措施，以确保数据隐私不是事后的想法。可悲的是，对于大多数企业来说，这还没有得到妥善解决，因此随着物联网生成的数据的引入，这将变得越来越复杂。”
　　
　　（5）物联网治理取决于产生的数据
　　
　　CCSInsight公司首席运营官兼物联网首席分析师MartinGarner解释说：“物联网治理不应与使用物联网的产品或流程分开。使用自动驾驶汽车或工厂机器人的治理问题将决定需要什么来自物联网系统。治理的范围包括机器连接的强度、软件堆栈、任何机器学习和人工智能的质量。”
　　
　　他继续说：“影响物联网治理的关键领域是物联网是内置在机器中以提高工业流程效率还是帮助员工更好地工作并保证他们的安全。它可以包括使您销售的产品能够更好地工作或允许它使用不同的商业模式。这些方法中的每一种都有不同的治理要求。
　　
　　物联网系统的治理与这些系统产生的数据密切相关，它对用户或组织的重要性和机密性，以及它是否处理个人身份信息。”
　　
　　编辑：Harris