La protección de los datos ya no es sólo una cuestión tecnológica, sino que su impacto político y comercial es de gran alcance.
En 2018, vimos a la Unión Europea introducir una amplia legislación de protección de datos en el marco del Reglamento General de Protección de Datos (GDPR). Y en los Estados Unidos, los líderes de los gigantes de la tecnología testificaron ante el Congreso sobre la privacidad y la protección de datos. Hay una mayor conciencia y expectativa de una mejor seguridad de la información y eso es algo bueno.
Pero justo cuando se ha establecido una nueva base de protección de datos, la complejidad y la frecuencia de las amenazas a la seguridad cibernética están aumentando. Amenazas que eran novedosas hace unos años ahora están disponibles como un servicio y con poca experiencia técnica. En 2018 se produjo un aumento en el secuestro de recursos informáticos para la extracción de criptografía, pero el rescate, los ataques internos y el malware no están cediendo. Aunque estas amenazas continuarán, he aquí algunas tendencias clave que hay que seguir de cerca en el año que viene.
1. Tecnología operacional y seguridad de la infraestructura crítica
Las grandes instalaciones industriales y de infraestructura crítica dependen ahora de Internet para su gestión y vigilancia a distancia. En el otro extremo de la escala, los marcapasos cardíacos incrustados en los pacientes han requerido actualizaciones de software para corregir las vulnerabilidades de seguridad. Esta tendencia va a continuar, y veremos un aumento de los ataques y fallos de seguridad que se identifican en la tecnología que no son objetivos tradicionales. Los dispositivos de la Internet de las Cosas seguirán siendo objetivos dado su bajo nivel de seguridad, y es probable que veamos algunos incidentes de seguridad de tecnología operacional y de infraestructura crítica más importantes en el próximo año.
2. Las dos caras de la seguridad de las nubes
A medida que la entrega de aplicaciones continúa migrando hacia un modelo de entrega de software como servicio, la seguridad en torno a las aplicaciones basadas en la nube necesitará ser mejorada. Las empresas están mejorando en la seguridad de estas aplicaciones, pero la facilidad de acceso introduce sistemáticamente riesgos para las organizaciones en las que no se ha aplicado el nivel necesario de refuerzo de la seguridad. Sin embargo, esto es difícil de gestionar, ya que el uso de algunas aplicaciones se lleva a cabo como Shadow IT.
Las aplicaciones empresariales deben seguir integrándose con herramientas centralizadas de gestión de la identidad y el acceso, como el Directorio Activo Azure, pero las aplicaciones que quedan fuera de la responsabilidad de la empresa en materia de tecnología de la información seguirán experimentando incidentes debido a la escasa consideración de la seguridad.
3. Espionaje comercial y guerra política
Mientras que la mayoría de los países desarrollados tienen leyes contra los ciberataques, Internet es una red mundial. Cada vez más gobiernos reconocen los ataques y la ciberdefensa como elementos clave para su capacidad militar. Las organizaciones comerciales deben ser conscientes de que sus activos digitales deben ser protegidos de los competidores, especialmente de aquellos que operan desde países con leyes débiles de protección de datos y seguridad. En el futuro se producirá un aumento del espionaje comercial y de la captura de inteligencia para proporcionar una ventaja competitiva.
4. La sala de juntas se preocupa (de nuevo) por la RPI y los EE.UU.
El PIBR entró en vigor en mayo de 2018 y llevó consigo un intenso enfoque por parte de las salas de juntas. Desde entonces, ha habido gran expectativa en cuanto a cómo se hará cumplir la ley. Es probable que los consejos de administración de las empresas redoblen su atención una vez que los reguladores impongan las primeras multas importantes por infracciones. Mientras las conversaciones sobre una versión estadounidense del GDPR continúan durante otro año, las empresas con sede en EE.UU. estarán atentas a las tendencias en la aplicación de la eficacia general de la ley para mejorar la protección de datos.
5. Mayor integración de la seguridad
Asegurar una organización requiere emprender muchas prácticas diferentes. Con el auge de la red corporativa sin perímetro (datos y sistemas fuera de la red corporativa), es un reto aún mayor asegurar todos los activos de la empresa. Veremos una mejora gradual de las herramientas de integración y gestión, de modo que las empresas puedan gestionar sus activos digitales dondequiera que estén alojados; en las instalaciones, en la nube o incluso en los dispositivos personales.
No es de extrañar que se reporten más incidentes de seguridad en 2019 y más allá. Esto se debe a los requisitos de notificación obligatoria en la Unión Europea y otras jurisdicciones, a que los sistemas no tradicionales están siendo atacados con éxito y a que los sofisticados ataques dirigidos a empresas y gobiernos son cada vez más comunes y se notifican más ampliamente. Para mantenerse seguros, los líderes aumentarán sus inversiones en tecnología de la información, pero es posible que se encuentren demasiado atrasados; la actual escasez de conocimientos en materia de seguridad no hará sino intensificarse a medida que la demanda supere la reserva de talentos disponibles. El camino de la seguridad para las organizaciones se hará aún más penetrante con las crecientes necesidades de habilidades y el costo del cumplimiento de la seguridad; ésta es una curva de demanda que sólo seguirá aumentando con el tiempo.