Llegamos a ustedes gracias a:



Reportajes y análisis

4 amenazas a la seguridad que prevalecerán en el 2017

[10/02/2017] Al igual que años anteriores, el 2016 no experimentó una disminución en la filtración de datos. En proyección para el 2017, el Information Security Forum (ISF), una corporación global e independiente de seguridad de la información y la administración de riesgos, pronostica que los negocios enfrentarán cuatro amenazas globales que serán claves en el 2017.

"El 2016 ciertamente cumplió con las expectativas, afirma Steve Durbin, director administrativo del ISF. "Vimos todo tipo de irrupciones que parecieron solo crecer y crecer. Nosotros nos movimos de una a otra. Siempre previmos algún nivel de estos ataques, pero nunca previmos su extensión completa. No creo que nadie hubiese podido prever algunas de las cosas que hemos visto últimamente, como el involucramiento de los rusos en las últimas elecciones de Estados Unidos.

El ISF afirma que las cuatro amenazas principales que enfrentarán los negocios en el 2017 son las siguientes:

  1. La excesiva conectividad y la IoT traerán riesgos incontrolables.
  2. Las organizaciones criminales darán un gran paso con el crimen como servicio.
  3. Las nuevas regulaciones traerán riesgos de cumplimiento normativo.
  4. La reputación de las marcas y la confianza en éstas serán el objetivo de los ataques.

"El ritmo y escala de las amenazas a la seguridad de la información continúa acelerándose, poniendo en peligro la integridad y la reputación de las organizaciones confiables, afirma Durbin. "En el 2017, veremos una mayor sofisticación en el panorama de amenazas, que ahora son hechas a la medida de las debilidades de sus blancos o que mutan tomando en cuenta las defensas que se han establecido. El ciberespacio es la tierra de las oportunidades para terroristas, hackers y criminales motivados por generar conflictos, cometer fraudes, robar información o derribar corporaciones y gobiernos. La solución es prepararse para lo desconocido con una perspectiva informada sobre las amenazas. Una preparación mejor proporcionará a las organizaciones de todo tamaño la flexibilidad para soportar eventos de seguridad inesperados y de alto impacto.

Las principales amenazas que fueron identificadas por el ISF no se excluyen mutuamente. Pueden combinarse para crear perfiles de amenazas aún más grandes.

La excesiva conectividad y la IoT traerán riesgos incontrolables

La conectividad Gigabit está en camino y habilitará a la Internet de las cosas (IoT, por sus siglas en inglés) y una nueva clase de aplicaciones que explotan la combinación de big data, localización GPS, clima, monitoreo de dispositivos de salud, producción industrial y mucho más. Durbin afirma que debido a que la conectividad ahora es tan asequible y prevalente, estamos integrando sensores en todos lados, creando ecosistemas de dispositivos con sensores integrados que son casi imposibles de asegurar.

Durbin afirma que esto aumentará los problemas en otros campos, además de la privacidad y el acceso a los datos: Expandirá exponencialmente el panorama de las amenazas.

"El tema para mí, en el 2017, es lo que yo describo como una 'postura de ojos abiertos' que debemos adoptar, señala Durbin. "Estamos hablando de dispositivos que nunca tuvieron la seguridad diseñada dentro de ellos, dispositivos que están recolectando información. Es relativamente simple que algunos de éstos sean invadidos por los hackers. Hemos visto algunos movimientos, particularmente en Estados Unidos, para promover que los fabricantes de IoT diseñen algún nivel de seguridad dentro de sus dispositivos. Pero el costo es un problema, y están diseñados para conectarse.

Durbin piensa que muchas organizaciones no están al tanto de la escala y penetración de los dispositivos activados por Internet, y están desplegando soluciones de IoT sin considerar debidamente la gestión de riesgos y la seguridad. Eso no significa que las organizaciones deberían alejarse de las soluciones de IoT, sino que tienen que pensar sobre dónde se usan los dispositivos conectados, a qué datos tienen acceso y después construir la seguridad con ese conocimiento en mente.

"La infraestructura crítica es una de las principales áreas de preocupación, afirma Durbin. "Nos referimos a las ciudades inteligentes, a los sistemas de control industrial -todos ellos utilizan dispositivos con IoT integrado. Tenemos que asegurarnos de que somos conscientes de las implicaciones de esto.

"Nunca podrá proteger a todo el entorno, pero no nos vamos a deshacer de los dispositivos con integración a la IoT, añade. "Ya están ahí. Coloquemos algo de seguridad que nos permita responder y contener lo máximo posible. Necesitamos tener los ojos abiertos, ser realistas sobre la manera en que podemos administrar la aplicación de dispositivos de IoT.

Las organizaciones criminales darán un gran paso con el crimen como servicio

Durante años, afirma Durbin, las organizaciones criminales han estado operando como nuevas compañías. Y, al igual que otras compañías nuevas y exitosas, han estado madurando y se han vuelto cada vez más sofisticadas. En el 2017, las organizaciones criminales desarrollarán jerarquías aún más complicadas, asociaciones y colaboraciones que imitan a las de las organizaciones grandes del sector privado. Esto, dice, facilitará su diversificación hacia nuevos mercados y la mercantilización de sus actividades a nivel global.

"Yo originalmente los describo como negocios emprendedores, como compañías nuevas, señala Durbin. "Lo que estamos viendo es la maduración de todo ese campo. Se han movido desde el garaje a bloques de oficinas con infraestructura corporativa. Se han vuelto increíblemente buenos para hacer cosas para las cuales nosotros no lo somos: colaboración, uso compartido, trabajo con socios para la conexión de brechas en su servicio.

Y para muchos, es un ofrecimiento de servicio. Aunque algunas organizaciones tienen sus raíces en estructuras criminales existentes, otras organizaciones se centran solamente en el crimen cibernético, especializándose particularmente en áreas que van desde la escritura de malware al alojamiento de servicios, pruebas, servicios de transferencia de dinero ilícito y más.

"Ellos están interesados en cualquier cosa que pueda ser monetizada, señala Durbin. No importa si es que se trata de propiedad intelectual o detalles personales. Si es que existe un mercado, ellos irán a recolectar esa información.

El ejecutivo añade que los estados maliciosos se benefician de algunas de estos servicios y resalta que el ISF espera que los incidentes cibernéticos resultantes en el próximo año sean más persistentes y dañinos de lo que las organizaciones habían experimentado previamente.

Las nuevas regulaciones traen riesgos de cumplimiento normativo

El ISF cree que el número de filtración de datos crecerá en el 2017, y también lo harán el volumen de registros que se verán comprometidos. La filtración de datos se convertirá en algo mucho más costoso para las organizaciones de todo tamaño, sostiene Durbin. El costo vendrá de áreas tradicionales como la notificación de clientes y de limpieza de la red, pero también desde áreas más nuevas como los litigios, que involucra a un número cada vez mayor de asociados.

Adicionalmente, la opinión pública ejercerá presión en los gobiernos mundiales para que introduzcan legislación más restrictiva para la protección de datos, lo que ocasionará costos nuevos inimaginables. La reforma ya está en camino en Europa en la forma de la Regulación General de Protección de Datos de la UE (GDP), y la Directiva de Seguridad de la Información de la Red que ya se encuentra en efecto. Las organizaciones que llevan a cabo negocios en Europa tendrán que conseguir un manejo inmediato respecto a qué datos se están recolectando de los individuos europeos, de dónde vienen los datos, para qué se están utilizando, dónde y cómo se están almacenando, quién es responsable de estos y quién puede acceder a ellos. Las organizaciones que no logren hacerlo y sean incapaces de demostrar seguridad mediante el diseño estarán potencialmente sujetas a grandes multas.

"Para las organizaciones, el reto en el 2017 va a ser de doble filo, sostiene Durbin. "Primero tendrán que mantenerse al día respecto a los cambios en las regulaciones a lo largo de muchas jurisdicciones en las que operan. En segundo lugar, está saber ¿cómo podría asegurar el cumplimiento, si es que cuenta con claridad como la GDP?

"El alcance de esto es muy extenso, añade. "Necesita volver a pensar por completo en la manera en la que recolecta y asegura la información. Si es una organización que ha estado haciendo negocios por bastante tiempo y mantiene información personalmente identificable, necesita demostrar que conoce en dónde se encuentran estos datos en cada etapa dentro del ciclo de vida en el que los está protegiendo. Debe tomar pasos razonables, inclusive con sus socios externos. Ninguna comisión de seguridad con la que he hablado espera que para mayo del 2018 todas las organizaciones vayan a estar en total cumplimiento. Pero necesita ser capaz de demostrar que toma las regulaciones en serio. Eso, y la naturaleza de la información que desaparece, determinarán el nivel de la multa que recibirá. La escala de multa disponible se encuentra en una jurisdicción completamente diferente a la que todos estaban acostumbrados.

La reputación de las marcas y la confianza en estas serán el objetivo de los ataques

En el 2017, los criminales no solo estarán detrás del robo de identidades y de información personal. La información corporativa clasificada y la infraestructura crítica estarán en la mira. Sus empleados y la habilidad de estos para reconocer las amenazas a la seguridad, así como la capacidad de éstos para reaccionar apropiadamente, determinarán cómo esta tendencia afectará a su organización.

"Con atacantes más organizados, atacantes más sofisticados y amenazas más peligrosas, nunca antes han existido riesgos más altos para la reputación de una organización, afirma Durbin. "Asimismo, la reputación de la marca y la dinámica de la confianza que existe entre los clientes, socios y proveedores se han vuelto un objetivo de los criminales cibernéticos y los hackers. Los riesgos son más grandes que nunca y ya no estamos hablando de información personal y robo de identidad solamente. Los secretos corporativos de alto nivel y la infraestructura crítica se encuentran bajo ataque regularmente, por lo que los negocios tienen que estar al tanto de las tendencias más importantes que han emergido el año pasado, así como aquellas que se pronostican para el año que viene.

Aunque muchos profesionales de la seguridad de la información señalarán a las personas como el eslabón más débil en la seguridad de una organización, eso no tiene que ser así. Las personas pueden ser el control de seguridad más fuerte de una organización, afirma Durbin, pero eso requiere alterar la manera en que piensa respecto a la concientización y entrenamiento sobre la seguridad.

En vez de simplemente concientizar a las personas sobre sus responsabilidades en cuanto a la seguridad de la información y cómo deberían responder, Durbin señala que la respuesta es integrar comportamientos positivos de seguridad de la información que hará que los empleados desarrollen comportamientos y hábitos para "detenerse y pensar.

"El 2017 realmente se trata de las organizaciones y su necesidad de reconocer el hecho de que las personas no tienen que ser el eslabón más débil en la cadena de seguridad, afirma Durbin. "Ellos pueden ser el eslabón más sólido si es que mejoráramos nuestro entendimiento de cómo las personas usan la tecnología, la psicología del comportamiento humano.

Hacer esto de manera exitosa requiere entender los riesgos variados que enfrentan los empleados en diferentes roles, y adaptar sus procesos de trabajo para integrar los procesos de seguridad apropiados para dichos roles.