Ciberseguridad y amenazas: qué deparará 2018 a las organizaciones

Phil Muncaster

12/01/2018

Los últimos doce meses han sido una auténtica montaña rusa para las organizaciones en la región de EMEA, que se han enfrentado a retos cada vez mayores en ciberseguridad y protección de datos. En 2018, las cosas no serán más fáciles, ya que las amenazas siguen evolucionando y las nuevas normativas de la Comisión Europea entran en vigor.

Los líderes empresariales e informáticos son hoy más conscientes que nunca de los retos de ciberseguridad a los que se enfrentan. Algunos casos recientes de infracciones importantes en organizaciones que debían haber estado más preparadas incluyen los de Equifax (145,5 millones de consumidores en EE UU), Yahoo (3000 millones de cuentas) e incluso la experta en ciberseguridad Deloitte. A este caos se sumaron filtraciones de las actividades del gobierno de EE UU archivadas por la CIA y la NSA  e importantes ataques de ransomware de alcance global como WannaCry y NotPetya. También se han revelado importantes vulnerabilidades que han afectado a redes inalámbricas, protocolos de cifrado y dispositivos del Internet de las cosas.

Muchas de estas tendencias han confirmado nuestras predicciones de principios de año. Por ejemplo, los entornos en la nube siguen estando en el punto de mira de los ciberdelincuentes en la recta final de 2017.

Así pues, ¿cuál es la previsión en materia de ciberseguridad para los próximos doce meses?

Mayores retos legislativos

Mayo será un mes muy importante en cuanto a legislación, ya que entrarán en vigor dos destacadas normativas de la Unión Europea. El Reglamento General de Protección de Datos europeo (RGPD) incumbe a todas las organizaciones que procesan datos de ciudadanos de la UE, mientras que la Directiva sobre Seguridad  de  las Redes y de la Información (SRI)  concierne a los proveedores de «servicios esenciales», que variarán en función de cada Estado miembro. Ambos imponen controles de seguridad que fijan la buena práctica y su incumplimiento se castigará con duras sanciones: hasta el 4 % de la facturación anual global o 20 millones de euros —la cifra que sea superior. El RGPD entra en vigor el 25 de mayo, mientras que el plazo para la incorporación de la Directiva NIS a las leyes nacionales vence el 9 de mayo.

La empresa analista Forrester advierte a las organizaciones que intentan evitar filtraciones facilitadas por informadores internos de la necesidad respetar la privacidad de los empleados, ya que ellos también están protegidos por el RGPD. También predice que en 2018 podrían interponerse las primeras denuncias de empleados cuyas empresas hayan ido demasiado lejos con la supervisión de los usuarios.

IA: a las duras y a las maduras

Según IDC, «En 2018, el 70 % de los departamentos relacionados con la ciberseguridad empresarial utilizarán tecnologías cognitivas o inteligencia artificial para ayudar a las personas a actuar frente a la creciente escala y complejidad de las ciberamenazas». Lo más probable es que el año que viene cada vez más proveedores ofrecerán algún tipo de aprendizaje automático/IA que haga más fácil encontrar la aguja en el pajar de las amenazas. Con ello se reducirá la presión de los departamentos de TI, que seguirán desbordados por la escasez de profesionales cualificados. Se prevé que el déficit global de profesionales deseguridad informática llegará a 1,8 millones en 2020.

Sin embargo, la IA también planteará importantes retos a la sociedad, según Gartner. En sus predicciones para 2018 y más allá el analista afirma que «para 2020, la creación de ‘realidades falsificadas’, o contenidos falsos, impulsada por la inteligencia artificial superará a la capacidad de ésta de detectarla, lo que fomentará la desconfianza en lo digital».

Prosiguen los problemas en el Internet de las cosas

El Internet de las cosas seguirá introduciéndose en todos los ámbitos de nuestras vidas, así como en los procesos empresariales: Gartner predice que de aquí a 2020 estará presente en el 95 % de los nuevos dispositivos electrónicos. También advierte de que la mitad de los presupuestos de seguridad para el Internet de las cosas se destinará a la «solución de defectos, retirada de productos y errores de seguridad», y no a la protección. Considerar la seguridad como requisito esencial del diseño y no como un extra puede ahorrar a las organizaciones tiempo y dinero.

El ransomware evoluciona

En 2017, el ransomware ha sido el enemigo número uno de muchas organizaciones incautas. El próximo año no será distinto en este sentido y es posible que sucumban las empresas que no dispongan de unos procedimientos básicos de seguridad, como la aplicación de parches para vulnerabilidades conocidas. También es posible que 2018 traiga un aguijón en la cola para las empresas si los ciberdelincuentes se aplican a aumentar sus beneficios mediante ataques de ransomware a sistemas esenciales, tales como los puntos de venta.

Forrester prevé que esta podría constituir una importante tendencia que potencialmente puede dar al traste con los comerciantes minoristas y las empresas de hostelería si no se preparan ya.

Las cadenas de bloques cobran importancia

Las cadenas de bloques existen desde hace tiempo, pero normalmente solo se mencionan en relación con los servicios financieros y como fundamento de Bitcoin y otras criptomonedas. Sin embargo, su aplicación en el contexto de la ciberseguridad puede adquirir relevancia en 2018.

Dimension Data opina que la tecnología de contabilidad distribuida puede mejorar la gestión de identidad y acceso, detectando y aislando comportamientos sospechosos de un modo totalmente transparente, lo que también ayudará a los investigadores forenses.

Lo cierto es que los ciberdelincuentes no suelen trabajar de acuerdo con un programa anual, por lo que lo más probable es que en 2018 veamos una evolución tanto de las amenazas actuales como de las ciberdefensas, en lugar de situaciones totalmente nuevas. Como siempre, las organizaciones mejor preparadas tendrán cubiertos los aspectos básicos, basados en tres pilares fundamentales: personas, procesos y tecnología. Un buen punto de partida es el kit de concienciación para empresas del Instituto Nacional de Ciberseguridad (en español) así como el documento 10 medidas de ciberseguridad publicado por el Centro de Seguridad Cibernética Nacional del Reino Unido (en inglés).

TAMBIÉN LE PUEDE INTERESAR...

La oficina de cara a 2020

Todo lo que necesitan saber las organizaciones del siglo XXI.