Las 8 principales predicciones de ciberseguridad para 2021-2022

Ebook sobre visión de liderazgo: Las principales acciones para los responsables de seguridad en 2022

“¿Cómo podemos proteger a nuestros consumidores contra potenciales daños físicos causados por los delincuentes?” Este es el tipo de pregunta que los responsables de seguridad y riesgos deben poder predecir y planificar de cara al futuro.

La proliferación de los sistemas ciberfísicos (incluidos aquellos que combinan tecnologías del mundo virtual y del mundo físico, como los coches autónomos o los gemelos digitales) añade un nuevo riesgo de seguridad para las organizaciones, y una de nuestras principales predicciones para los próximos años se centra en cómo los agentes amenazadores van a atacar estos sistemas. 

Descarga la hoja de ruta: Cómo madurar tu programa de seguridad de la información

“Estamos recayendo en la vieja costumbre de querer abordarlo todo como se había hecho siempre” afirmó Sam Olyaei, director analista de Gartner, durante su presentación en el Gartner IT Symposium/Xpo de 2021. “Y esto no puede seguir así. Necesitamos tener la seguridad de que nuestra mentalidad, nuestra filosofía, nuestro programa y nuestra arquitectura están evolucionando”.

La seguridad y la gestión del riesgo ya están sobre la mesa del Consejo de Administración en las organizaciones. El número y la sofisticación de las vulneraciones de seguridad van en aumento, impulsan nuevas leyes para proteger a los consumidores y llevan a anteponer la seguridad en las decisiones empresariales. 

Más información: Las principales tendencias de seguridad y riesgos de Gartner en 2021

Los analistas de Gartner predicen un mayor grado de descentralización, regulación e implicaciones en materia de seguridad en los próximos años. Integra estos supuestos de planificación estratégica en tu hoja de ruta para el próximo año.

1. A finales de 2023, las leyes de privacidad modernas afectarán a la información personal del 75 % de la población mundial.

El Reglamento General de Protección de Datos (RGPD) supuso la primera legislación a gran escala en materia de privacidad de los consumidores, y pronto se aprobaron otras leyes, como la Ley General de Protección de Datos (LGPD) de Brasil o la Ley de Privacidad del Consumidor de California (CCPA). El mero alcance de estas leyes ya permite entrever que deberemos gestionar múltiples legislaciones de protección de datos en diferentes jurisdicciones, y los clientes exigirán saber qué tipos de datos se recopilan y para qué se utilizan. También supone que será necesario automatizar los sistemas de gestión de la privacidad. Estandariza las operaciones de seguridad basándote en el RGPD y, después, ajústalas para cada jurisdicción en particular. 

2. En 2024, las empresas que adopten la arquitectura de malla de ciberseguridad reducirán el efecto financiero de los incidentes individuales de seguridad en un 90 % de media.

Las empresas trabajan actualmente con varias tecnologías en diferentes ubicaciones, de modo que necesitan una solución de seguridad flexible. La malla de ciberseguridad se extiende para proteger identidades fuera del perímetro de seguridad tradicional y crea una visión holística de la organización. También contribuye a mejorar la seguridad del teletrabajo. Todas estas condiciones impulsarán su adopción en los próximos dos años.

La guía definitiva: Ciberseguridad

3. En 2024, el 30 % de las empresas incorporarán soluciones basadas en la nube, como Secure Web Gateway (SWG), Cloud Access Security Brokers (CASB), Zero Trust Network Access (ZTNA) y Firewall As A Service (FWaaS), de un mismo proveedor. 

Las organizaciones están apostando por la optimización y la consolidación. Los responsables de seguridad suelen gestionar docenas de herramientas, pero su plan es consolidarse en menos de 10. El software como servicio (SaaS) será el método de entrega preferente, y la consolidación repercutirá en los calendarios de adopción del hardware.

4. En 2025, el 60 % de las empresas considerarán el riesgo de ciberseguridad como principal determinante en sus transacciones con terceros y sus interacciones comerciales. 

Los inversores, especialmente los de capital riesgo, ya utilizan el riesgo de ciberseguridad como factor clave en la evaluación de oportunidades. Un número creciente de empresas se fijan en el riesgo de ciberseguridad durante sus tratos comerciales, incluidas fusiones y adquisiciones, y en sus contratos con proveedores. Esto se traduce en más peticiones de información sobre el programa de ciberseguridad de un socio, mediante cuestionarios o puntuaciones de seguridad.

5. El porcentaje de países que aprueban leyes para regular los pagos, las multas y las negociaciones a raíz de los ataques de ransomware ascenderá al 30 % a finales de 2025, cuando era del 1 % en 2021.

Aunque actualmente la regulación aplicable a los pagos de ransomware puede ser más amplia, los expertos en seguridad prevén unas campañas más agresivas de prevención del pago. Ante un mercado tan poco reglamentado como el de la criptomoneda, el pago de los rescates de ransomware tiene implicaciones éticas, legales y morales, por lo que es imprescindible tener en cuenta su repercusión. La decisión de pagar (o no pagar) debería corresponder a un equipo interdisciplinario, capaz de abordar todas estas cuestiones. 

6. En 2025, el 40 % de los consejos de administración tendrán un comité de ciberseguridad especializado y supervisado por un consejero cualificado. 

A medida que la ciberseguridad gana posiciones (y las mantiene) como prioridad de los consejos de administración, cabe prever la creación de comités de ciberseguridad en este nivel de la organización y una vigilancia y una evaluación más estrictas. Esto hace más visible el riesgo de ciberseguridad en todos los niveles de la organización y requiere un cambio en el enfoque de los informes presentados al consejo, cuyo grado de detalle podrá depender de la trayectoria y los conocimientos de los consejeros específicos. Centra tus mensajes en el valor, el riesgo y el coste.

7. En 2025, el 70 % de los CEOs adoptarán una cultura basada en la resiliencia de la organización para sobrevivir a las amenazas coincidentes de la ciberdelincuencia, los desastres climáticos, los disturbios civiles y la inestabilidad política. 

Avanza más allá de la ciberseguridad hacia la organización resiliente, para tener en cuenta contextos de seguridad más amplios. La transformación digital aporta complejidad al panorama de las amenazas, lo que repercutirá en tu forma de crear productos y servicios. Trabaja para definir la resiliencia y los objetivos de la organización y prepara un inventario de ciberriesgos en consonancia.

8. En 2025, los agentes amenazadores habrán armado los entornos tecnológicos operativos lo bastante bien como para provocar pérdidas humanas. 

Cuando el malware se propaga desde la Tecnología de la Información (TI) hasta la Tecnología de las Operaciones (TO) es imperativo que se hable menos de la disrupción del negocio y se empiece a hablar de los daños físicos, cuya responsabilidad final probablemente recaerá en el CEO. Centra el interés en unos sistemas ciberfísicos que protejan el activo y forma equipos que puedan abordar la gestión de forma adecuada.