Las 5 amenazas clave de seguridad global en 2018

¿Ataques vía WiFi? (Casi) todos somos vulnerables
19 octubre, 2017
Encriptacion criptografia
La encriptación, la última frontera de seguridad
6 diciembre, 2017

El Foro de Seguridad Informática (Information Security Forum, ISF), un organismo independiente de seguridad de la información, augura para 2018 un incremento en las violaciones de datos y atribuye el mismo en gran medida a las que llama “5 amenazas clave de seguridad global”. Las organizaciones deberán lidiar con ellas durante el año que se avecina.

“El alcance y el ritmo de las amenazas a la seguridad de la información están poniendo en peligro la veracidad y la reputación de las organizaciones más confiables de la actualidad”, afirma Steve Durbin, director general de la ISF. “En 2018, veremos una mayor sofisticación en el panorama de amenazas con amenazas personalizadas a los puntos débiles de su objetivo o capaces de realizar metamorfosis para tener en cuenta las defensas que ya se han implementado. En estos días, lo que está en juego es más alto que nunca”.

Los ataques del próximo año serán mucho más caros para organizaciones de todos los tamaños. A los costos propios de la recuperación de un ataque se suman los potenciales costos legales, que se prevén como una de las evoluciones esperables de la seguridad informática. En países como Estados Unidos ya se espera que los clientes, enojados por la vulnerabilidad a la que están expuestos sus datos, presionen a los gobiernos para que éstos desarrollen una legislación de protección de datos más estricta.

Según la ISF, el foco de las amenazas en 2018 estará protagonizado por:

Crime-as-a-service (CaaS) expandirá las herramientas y servicios disponibles. Se espera que se organicen los “sindicatos criminales”, bajo jerarquías complejas, asociaciones y colaboraciones que imitan a las grandes organizaciones del sector privado. Prevén por el dramático crecimiento del delito cibernético en 2017 que este proceso se mantenga en el año entrante y las organizaciones delictivas profundicen en la mercantilización de sus “servicios” a nivel global. Al mismo tiempo, Durbin dice que los ciberdelincuentes se están volviendo más sofisticados en el uso de la ingeniería social. Si bien los objetivos de las amenazas como el ransomware generalmente son individuos en lugar de empresas, tales ataques aún representan una amenaza para las organizaciones ya que a nivel informático “cada vez hay más confusión entre la empresa y el individuo”, dice. “El individuo es cada vez más la empresa”.

Internet de las cosas (IoT) agregará aún más riesgos no administrados. Las organizaciones están adoptando cada vez más dispositivos IoT, pero la mayoría de los dispositivos IoT no son seguros por diseño. Además, la ISF advierte que habrá una creciente falta de transparencia en el ecosistema de IoT que evoluciona rápidamente, con términos y condiciones imprecisos que permiten a las organizaciones utilizar datos personales de maneras que los clientes no pretendían. Desde el punto de vista empresarial, será problemático para las organizaciones saber qué información sale de sus redes o qué datos están siendo capturados y transmitidos en secreto por dispositivos como teléfonos inteligentes y televisores inteligentes.

“Desde el punto de vista del fabricante, saber cuál es su patrón de uso, obtener una mejor comprensión del individuo, claramente es importante”, dice Durbin. “Pero todo eso ha abierto más vectores de amenazas que nunca antes”.

 

La cadena de suministro seguirá siendo el eslabón más débil en la gestión de riesgos. La ISF ha planteado el problema de la vulnerabilidad de la cadena de suministro durante años. Como señala la organización, a menudo se comparte una variedad de información valiosa y sensible con los proveedores. Cuando se comparte esa información, se pierde el control directo. Eso significa un mayor riesgo de comprometer la confidencialidad, integridad o disponibilidad de esa información. “No importa en qué línea de negocios se encuentre. Todos tenemos cadenas de suministro”, agrega. “El desafío que enfrentamos es ¿cómo sabemos realmente dónde está nuestra información en cada etapa del ciclo de vida? ¿Cómo protegemos la integridad de esa información mientras se comparte?”. Durbin recomienda adoptar procesos fuertes, escalables y repetibles con una garantía proporcional al riesgo enfrentado. Las organizaciones deben incorporar la gestión del riesgo de la información de la cadena de suministro dentro de los procesos existentes de adquisición y gestión del proveedor.

La regulación aumentará la complejidad de la gestión crítica de activos. La regulación agrega complejidad, y el amplio Reglamento General de Protección de Datos de la Unión Europea (GDPR) entrará en funcionamiento a principios de 2018, agregando otro nivel de complejidad a la gestión crítica de activos.

“Probablemente no haya una conversación que tenga con nadie, en ningún lugar del mundo en el que no se toque GDPR” (en referencia a las nuevas regulaciones que están próximas a implementarse en la Unión Europea en relación a la Privacidad de Datos https://www.eugdpr.org). “No se trata solo de cumplimiento. Se trata de garantizar que tenga la capacidad en toda su empresa y cadena de suministro en cualquier momento para poder señalar datos personales y comprender cómo se gestiona y protege, para demostrar eso en cualquier punto en el tiempo, no solo por los reguladores, sino por el individuo”. La expansión de los servicios globales permite pensar que incluso quienes operen fuera de la Unión Europea tendrán que considerar en su modelo de información del negocio este aspecto regulatorio.

Las expectativas insatisfechas de la junta podrían exponer a las organizaciones a incidentes importantes. El Oficial de Seguridad de la Información (CISO por sus siglas en inglés) tendrá una difícil tarea en 2018 debido a la necesidad de cumplimentar regulaciones adicionales que elevará sustancialmente su presupuesto. La ISF dice que las juntas directivas esperarán que su aprobación de mayores presupuestos de seguridad de la información en los últimos años haya permitido que el CISO y la función de seguridad de la información produzcan resultados inmediatos. Pero una organización completamente segura es un objetivo inalcanzable. E incluso si lo entienden, muchas juntas directivas no entienden que llevar a cabo mejoras sustanciales en la seguridad de la información lleva tiempo, incluso cuando la organización cuenta con las habilidades y capacidades correctas.

“El papel del CISO en estos días es anticiparse, no asegurarse de que el firewall esté funcionando”, dice. “Tiene que anticipar qué desafíos se presentarán en el camino que afectarán al negocio y lo expresarán al directorio. Un buen CISO debe ser un vendedor y un consultor. Puedo ser el mejor consultor en el mundo, pero si no puedo venderle mis ideas, no llegaré a ninguna parte en la reunión del directorio”.