Cada año se produce una nueva evolución de las principales amenazas de seguridad global, con lo que las empresas deben comprender cuáles son las tendencias para tratar de hacerlas frente. A continuación, se desglosan las 5 que están llamadas a ser clave.
En el 2018 se podrá apreciar una mayor sofisticación dentro del panorama de las amenazas cibernéticas, con la aparición de algunas consideradas personalizadas para atacar a los puntos más débiles, así como una mayor sofisticación o metamorfosis de las utilizadas hasta el momento, con el fin de eludir los sistemas de defensa.
Según expertos de la ISF (Information Security Forum) en 2018 se podrá ver una mayor sofisticación de los ataques, con algunos mucho más caros para organizaciones de todos los tamaños.
En esa línea, las áreas tradicionales, como la limpieza de la red y la notificación al cliente, representarán un gran porcentaje de los ataques aunque surgirán nuevos en base a los litigios que involucran a un mayor número de partes implicadas.
La ISF predice además que los clientes enojados presionarán a los gobiernos para que presenten una legislación de protección de datos mucho más estricta que la actual. De esta forma, las 5 principales amenazas de seguridad mundial a las que tendrán que enfrentarse las organizaciones serán las siguientes
- CaaS (Crimen como servicio)
Ya en 2017, el IFS predecía un gran aumento de delitos cibernéticos, particularmente en casos de crimen como servicio. Pues bien, la organización mantiene que en 2018 se mantendrá esta tendencia, con organizaciones criminales diversificándose aún más en nuevos mercados y expandiendo sus operaciones a nivel global. Algunas organizaciones tendrán raíces en las estructuras delictivas ya existentes, mientras que otras surgirán centradas únicamente en especializarse en delitos cibernéticos. El software cifrado o malware será la categoría más popular. Hasta ahora, los cibercriminales que usan el ransomware dependen de cifrar la información del objetivo atacado para pedir un rescate o compensación económica. La llegada de ciberdelincuentes aspirantes a esta área hará que el entorno se vuelva más sofisticado en el uso de la ingeniería social.
-
El IoT
Es evidente que las organizaciones están adoptando cada vez más dispositivos IoT para sus procesos de negocio, los cuales no resultan seguros desde la fase de su diseño. La ISF advierte que habrá una creciente falta de transparencia en el ecosistema de IoT, el cual evoluciona rápidamente, con términos y condiciones imprecisas que permiten a las organizaciones utilizar datos personales de manera que los clientes no sean conscientes de ello. Desde el punto de vista empresarial, será un problema saber qué información sale de las redes o qué datos están siendo capturados y transmitidos en secreto por smartphone o SmarTV sin consentimiento de los usuarios. En el área industrial, el uso de estos dispositivos IoT puede agravar la seguridad de un entorno con procesos de producción, donde tradicionalmente se han encontrado aislados y sin comunicaciones establecidas con agentes externos.
-
Cadena de suministro
Las vulnerabilidades en la cadena de suministro también serán otro foco a tener en cuenta. Ya el pasado año comenzamos a ver como grandes organizaciones perdían capacidad de fabricación al quedar bloqueadas o paralizar sus procesos, independientemente de sus líneas de negocio. Todos tenemos cadenas de suministro y es necesario saber dónde se encuentra la información en cada etapa del ciclo de vida. En 2018, las organizaciones deberán enfocarse en los puntos más débiles en sus cadenas de suministro, destaca la ISF. Los proveedores de soluciones de seguridad deberán ser más proactivos, y las organizaciones deberán adoptar procesos fuertes, escalables y repetitivos con una garantía proporcional al riesgo. La gestión del riesgo de la cadena de suministro deberá estar dentro de los procesos existentes de adquisición y gestión del proveedor.
-
Regulación
La entrada en vigor de la GDPR, sin duda, centrará todas las miradas de las organizaciones en este aspecto a lo largo del próximo año. Tradicionalmente, la regulación ha agregado complejidad y el amplio Reglamento General de Protección de Datos de la Unión Europea, no hará otra cosa que aumentar la complejidad a la gestión crítica de activos de las compañías. No se trata solo de cumplimiento, sino de garantizar que tenga la capacidad en toda la empresa y su cadena de suministro para señalar los datos personales y comprender cómo se gestionan y protegen. Y no solo por parte de las partes regulatorias, sino también por el uso que pueda solicitar el propio individuo. En este sentido, ISF señala que los recursos adicionales para abordar las obligaciones de GDPR aumentarán los costes de cumplimiento y la gestión de datos, desviando la inversión hacia otras actividades.
-
Desalineación
Otra amenaza para las organizaciones vendrá dada por la desalineación entre las expectativas de la junta directiva y la capacidad real de las funciones de seguridad. La ISF alerta de que las juntas directivas esperarán que su aprobación de presupuestos más cuantiosos en seguridad de la información haya permitido que el CISO y la función de seguridad produzca resultados inmediatos. Sin embargo, una seguridad total es un objetivo inalcanzable. La desalineación significa que cuando ocurre un incidente importante, la organización no solo sentirá los efectos; también le repercutirá en una mala reputación de los miembros de la junta, tanto a nivel individual como colectivamente. El papel del CISO en estos instantes vuelve a ser primordial, anticipándose a que los incidentes no afecten al negocio. De este modo, según la organización IFS, un buen CISO deberá contar con dotes de buen vendedor y consultor, asesorando a su comité de dirección en la correcta toma de decisiones.