El 2019 fue un año interesante para la ciberseguridad, con una amplia variedad de violaciones de datos que impulsaron una creciente conciencia de la naturaleza esencial de la ciberseguridad y tal vez un merecido respeto por los miembros de la industria.
¿Podemos esperar más de lo mismo en 2020 o las empresas adoptarán soluciones que los profesionales de la seguridad han estado considerando durante años? Sólo el tiempo lo dirá, pero es poco probable que los hackers cambien sus tácticas en 2020 (¿por qué cambiar lo que funciona?). Sus métodos serán más sofisticados a medida que la tecnología evolucione, y sus objetivos variarán según la ubicación de los datos utilizables (por ejemplo, ahora que los ISP de EE.UU. pueden monetizar los datos de sus clientes, es de esperar que se produzcan infracciones en este ámbito). Como si lo hubiera planeado... esto nos lleva a nuestra principal preocupación en materia de ciberseguridad.El 2019 fue un año interesante para la ciberseguridad, con una amplia variedad de violaciones de datos que impulsaron una creciente conciencia de la naturaleza esencial de la ciberseguridad y tal vez un merecido respeto por los miembros de la industria.
Violación de datos
Las violaciones de datos se producen porque las empresas objetivo poseen datos valiosos, datos que vale la pena vender o mantener para obtener un rescate. Los repositorios de datos son un objetivo atractivo porque los ciberdelincuentes se aprovechan rápidamente de los errores humanos y de otras vulnerabilidades, como los parches de software retrasados, utilizando las mismas herramientas de prueba de penetración que utilizan sus homólogos éticos. Es poco probable que esto cambie en 2020.
Sin embargo, las regulaciones como la GDPR de la UE se aplicarán plenamente en 2020. Vale la pena enfatizar que el cumplimiento es necesario para las empresas fuera de la UE, con algunas excepciones. La Ley de Privacidad del Consumidor de California ((CCPA) es casi una versión estadounidense de la GDPR y entra en vigor en enero de 2020) y varios países han introducido leyes de protección de datos similares, lo que puede inducir a las empresas a dar prioridad a la privacidad de los datos y a los procesos de ciberseguridad relacionados en sus operaciones. Esto se debe en gran medida a los daños de reputación y a las sanciones económicas que se derivan de una violación de datos. Desafortunadamente, la protección contra las violaciones de datos se complica debido a la falta de conocimientos de seguridad.
Habilidades de ciberseguridad
La demanda de funciones de seguridad cibernética supera el número de candidatos disponibles. En este momento se acepta en general que para 2021 habrá en todo el mundo más de 3,5 millones de puestos de seguridad cibernética vacantes. ¿Quizás 2020 sea el año en que los empleadores inviertan en la formación de su actual personal de seguridad en competencias adicionales en materia de seguridad? ¿Quizás reduzcan los requisitos de entrada, permitiendo que aquellos con conocimientos de TI se reciclen en las áreas de seguridad deseadas?
Por otra parte, las empresas pueden decidir subcontratar, pagando a otros para mejorar su postura de seguridad de forma remota o utilizando soluciones de software basadas en la Inteligencia Artificial para la evaluación de la vulnerabilidad.
Mi predicción... aunque no soy Nostradamus, creo que muchas empresas serán demasiado baratas (o simplemente no tendrán el presupuesto) como para invertir en sus empleados, tal vez con el temor de que los capaciten, los hagan más aptos para el empleo y, por lo tanto, les permitan aceptar ofertas de trabajo más lucrativas en otros lugares. Demuéstrame que estoy equivocado, pero creo que las empresas que valoran a su personal se asegurarán de que se lleve a cabo una formación adicional. Si es así, tendrán una amplia gama de certificaciones reconocidas internacionalmente para elegir.
Pase lo que pase, cada empresa necesitará mejorar la ciberseguridad contratando personal adicional, capacitando al existente o subcontratando.
Aunque la ciberseguridad es una destreza muy demandada, con cero desempleos, en la mayoría de los casos, los cargos directivos son arriesgados. Si se produce una violación de datos, a menudo es el CIO o la CSO quien termina "dimitiendo" o siendo despedido. Como empleado de seguridad de nivel medio, ¿dónde está el incentivo para asumir un papel de liderazgo si su cabeza acaba en la guillotina cuando algún empleado es víctima de un ataque de phishing o de rescate? ¿Tal vez, el año 2020 sea el año en que los responsables directos de una infracción asuman su parte de culpa y el personal superior no sea utilizado como un ejercicio de relaciones públicas en el control de daños?
Gestión de puntos finales
Cuantos más endpoints cree su empresa, más vectores de ataque estarán disponibles para los ciber-delincuentes. Tiene sentido de una manera extraña, ¿no?
- Si utiliza soluciones en la nube, está abierto a los ataques basados en la nube.
- Si intenta hacer que todo en su empresa sea "inteligente" utilizando dispositivos habilitados para Internet, es decir, conectados a la IO, entonces abre vectores de ataque adicionales. Esto es especialmente cierto si el dispositivo no está construido teniendo en cuenta la seguridad (con contraseñas predeterminadas o emparejando PINs que no se pueden cambiar, por ejemplo) o si utiliza protocolos de conexión vulnerables.
- Si permite que los dispositivos móviles propiedad de los empleados sin utilizar la administración de dispositivos móviles (MDM), crea vulnerabilidades, ya que el departamento de TI no tiene acceso total para proteger los datos de la empresa o carece de la capacidad de borrar el dispositivo en caso de pérdida o robo. El malware en los dispositivos propiedad de los empleados será una preocupación válida en 2020, dado que la mitad de las organizaciones encuestadas por Kaspersky en 2019 se vieron comprometidas de esta manera.
Se cruzan los dedos para decir que el 2020 será el año en que las empresas añadan sólo los puntos finales necesarios para las operaciones comerciales y que reconsideren los beneficios de BYOD.
Gestión de credenciales
Espere que las tecnologías de autenticación de próxima generación sean más prominentes, dadas las debilidades inherentes al método tradicional de nombre de usuario/contraseña. La autenticación multifactorial y la biometría son sólo dos de las posibles opciones. Tenga en cuenta que el reconocimiento facial, de voz y de huellas dactilares se puede eludir fácilmente y que los datos comprometidos son mucho más problemáticos que el cambio de una contraseña o un token. El uso de tokens de red y métodos similares también son una solución viable PERO todos estos métodos sólo son una mejora si los datos requeridos para verificarlos son seguros. ESA información será utilizada por los hackers para eludir la autenticación.
Gestión del riesgo
Mi última predicción se refiere a la gestión de riesgos. Las brechas de datos están en aumento, son más comunes, etc. y las empresas de los sectores objetivo, a pesar de seguir las mejores prácticas de seguridad, a menudo se ven afectadas por ataques concentrados en sus redes. El seguro cibernético es una forma de reducir el riesgo financiero de una violación de datos, ahora aún más importante debido a las sanciones financieras impuestas a aquellos que no cumplen con las regulaciones dentro y fuera de su jurisdicción.
Creo que esto impulsará la adopción de los ciber-seguros en 2020, especialmente si las aseguradoras ofrecen políticas que demuestren su comprensión del panorama de la ciberseguridad y de las amenazas relacionadas con las empresas, pero debe ser algo más que una compensación por interrupción del servicio o por fallo de los equipos. Con el aumento de la adopción, los costes de los ciber seguros para todo el mundo deberían disminuir... Por supuesto, la prima correspondiente se basará en la postura de seguridad existente en la empresa y la suscripción de ciberriesgos tiene sus retos, dadas las variables que intervienen
Conclusión
En conclusión, las predicciones sobre las tendencias de la ciberseguridad son sólo eso, predicciones. Esperar más de lo mismo, un fallo en la formación de la conciencia de seguridad/error humano que resulte en violaciones de los datos publicados. La principal diferencia en 2020 es que los clientes esperan ahora que sus datos estén protegidos y se alegran de ver a las empresas castigadas por los fallos en este ámbito. Tal vez el 2020 sea el año en que las empresas reconsideren la cantidad de datos que deben almacenar sobre los usuarios y dónde deben almacenarlos...
Es probable que el uso de la IA/aprendizaje por ordenador para detectar y bloquear las amenazas aumente en 2020; los homólogos hackers utilizarán entonces la IA para desarrollar nuevos ataques. Y el juego continúa... Pase lo que pase en 2020, dos cosas siguen siendo ciertas: la ciberseguridad sólo será más importante para las empresas y la concienciación sobre la seguridad es esencial para todos los que se conecten a la red de la empresa, ya que los ataques de phishing y de rescate serán más sofisticados.
¡Olvidate de FTP! Empiece a transferir datos de forma segura y conforme a las normas.
Michael O'Dwyer
An Irishman based in Hong Kong, Michael O’Dwyer is a business & technology journalist, independent consultant and writer who specializes in writing for enterprise, small business and IT audiences. With 20+ years of experience in everything from IT and electronic component-level failure analysis to process improvement and supply chains (and an in-depth knowledge of Klingon,) Michael is a sought-after writer whose quality sources, deep research and quirky sense of humor ensures he’s welcome in high-profile publications such as The Street and Fortune 100 IT portals.