Ocho predicciones de seguridad para 2022

Todavía hay una gran nube de incertidumbre en torno a la navegación de la nueva normalidad, mientras las economías mundiales buscan todavía cómo salir del caos pandémico. A la vez que las empresas pregonan sus esfuerzos por acelerar la transformación digital, para sus responsables de seguridad hay un lado oscuro en el rápido despliegue de las nuevas tecnologías.

El teletrabajo, las reuniones virtuales, las redes de nube híbrida y la adopción de SaaS (Software as a Service) han traído consigo complejas infraestructuras de TI que están abriendo nuevas vías de amenaza. Mientras tanto, los CISO también deben ayudar a garantizar que sus organizaciones cumplan con las nuevas regulaciones.

La reciente avalancha de ataques, vulnerabilidades de la red y nuevos regímenes de cumplimiento han evidenciado que los CISO tienen mucho trabajo que hacer desde los primero días de 2022. Así, éstos han recopilado información de las empresas de análisis y expertos del sector, y han elaborado esta lista de las principales predicciones de ciberseguridad para este año.

Las empresas darán prioridad a la resistencia de la cadena de suministro y al abastecimiento responsable

Los ciberdelincuentes y autores de las amenazas están poniendo el foco progresivamente hacia los vendedores y proveedores más pequeños, lo que provoca que las violaciones de la cadena de suministro, o de terceros, sean casi inevitables. Cada vez hay más informes sobre incidentes con terceros que afectan a las empresas. Según un informe de predicción de Gartner, "el 60% de las organizaciones utilizarán el riesgo de ciberseguridad como principal factor determinante a la hora de realizar transacciones y compromisos comerciales con terceros". Según sugiere el informe, las empresas exigirán que se acuerden políticas que estipulen que sus proveedores asumirán el riesgo de ataques de terceros y el pago de los costes de reparación, antes de incorporar nuevos proveedores o renovar contratos.

La legislación sobre privacidad se acelerará a nivel mundial

Dado que la residencia de los datos sigue siendo uno de los componentes más importantes de la seguridad, cabe esperar que las modernas leyes de privacidad cubran la información personal del 75% de la población mundial, tal y como se establece en el informe de predicción de Gartner. "El gran alcance de leyes como el GDPR (Reglamento de Protección de Datos europeo), la LGPD (Ley general de protección de datos de Brasil) y la CCPA (Ley de Privacidad del Consumidor de California) sugiere que los responsables de cumplimiento normativo gestionarán múltiples legislaciones de protección de datos en varias jurisdicciones, y los clientes querrán saber qué tipo de datos se están recopilando y cómo se están utilizando. Según Ben Smith, director de tecnología de la empresa de seguridad de redes Netwitness, la flexibilidad de la arquitectura informática de una organización será aún más importante a medida que se aprueben y apliquen las nuevas normativas sobre privacidad. "Independientemente de su tamaño corporativo, si está encargado de asegurar su organización global, deberá pensar en su propia arquitectura y en dónde (qué país) se recogen los datos, dónde viven y dónde se manejan", asegura Smith.

Aumentará la contratación de responsables de cumplimiento de la normativa o GRC

A medida que las organizaciones se enfrenten a nuevas normativas, se va a producir una demanda de responsables de cumplimiento residentes que ayuden a navegar a través de los complejos y cambiantes dictados. "Los responsables de cumplimiento aumentarán, sin duda, en la agenda de los reclutadores, ya que los organismos reguladores exigen que haya una garganta única para equivocarse", es decir, un responsable, según asegura Liz Miller, analista de Constellation Research. Sin embargo, también puntualiza que “eso es exactamente lo contrario de lo que necesitamos. Lo que sí necesitamos son tácticas y estrategias hábiles, que puedan ser voces y líderes de confianza dentro (y a través) de una organización, capaces de traducir la complejidad de las nuevas (y constantemente cambiantes) regulaciones globales en un valor de negocio real para todos, desde el CEO hasta la sala de correo" de una empresa o institución.

Las herramientas de control 'Bossware' afectarán al compromiso de los empleados y a las amenazas internas

Con una parte importante de la mano de obra mundial obligada a trabajar desde casa por la pandemia, se ha producido un aumento en el uso de software que permite a los supervisores controlar a los empleados en todo momento. Esto ha alterado en cierta medida el ecosistema del trabajo a distancia y ha aumentado también la angustia de los empleados. "El Tattleware (también conocido como 'Bossware', es decir,  el conjunto de herramientas de software que permite a los supervisores monitorizar automáticamente la productividad de sus empleados y afecta a su privacidad) degradará la experiencia de estos en un 5% y aumentará las amenazas internas en 2022", según el informe de predicción de seguridad de Forrester. "La reacción de los empleados crecerá a medida que las empresas se extralimiten, lo que conducirá a una caída apreciable de la satisfacción tecnológica y del compromiso de los trabajadores". Según el mismo informe, esto también puede llevar a los CISO a corregir en exceso para reducir el alcance de los programas de amenazas internas, y aumentar así los riesgos.

Los productos de seguridad y la gestión de proveedores se consolidarán

Con el traslado de los principales procesos de negocio a complejos entornos en la nube, habrá un impulso por parte de las empresas para racionalizar la gestión de los proveedores de productos de seguridad. Según el informe de predicción de Gartner, las empresas tratarán de adoptar las pasarelas web seguras (SWG) entregadas en la nube, los agentes de seguridad de acceso a la nube (CASB), el acceso a la red de confianza cero (ZTNA) y las capacidades del cortafuegos como servicio (FaaS) del mismo proveedor.

Los propios proveedores consolidarán funciones que antes se encontraban en aplicaciones separadas.  "La creciente complejidad de los entornos cloud, cloud-native y devops también conducirá a la consolidación de las funcionalidades, con los proveedores abordando casos de uso desde la observabilidad de TI para la seguridad, hasta la gestión de la postura de seguridad en la nube (CSPM), la protección de la carga de trabajo en la nube, la gestión de la superficie de ataque de los activos en la nube, y mucho más", afirma Scott Crawford, director de investigación para la seguridad de la información en 451 Research.

Crecerá el gasto en detección y respuesta a las amenazas

A medida que las campañas de malware importantes proliferaron en 2021 (incluyendo el ransomware, el spearphishing y los ataques de carga lateral), los CISO comenzaron a centrarse en adelantarse a los ciberatacantes para proteger sus negocios. "En 2022, esperamos que los numerosos ataques de alto perfil y de gran alcance que se han producido en 2021 impulsen un mayor gasto en la detección y respuesta a las amenazas, el área más frecuentemente reportada por los encuestados en nuestros estudios de 451 Research Voice of the Enterprise: Information Security, donde nos indican que tienen ya despliegues en piloto/POC o planean realizarlos en los próximos 6-24 meses", dice Crawford de 451.

Las primas de los ciberseguros aumentarán

Los ciberseguros serán más caros y las primas se dispararán tras los recientes ciberataques de gran repercusión. "Los ciberseguros son mucho más caros estos días, ya que los costes se disparan, y lo más probable es que las primas sigan subiendo", dice Miller, de Constellation. "Los seguros son como espadas de doble filo: si bien proporcionan cobertura de seguridad y se han convertido en algo "imprescindible" para las organizaciones, también han alertado a los ciberdelincuentes para que pidan aún más rescate en los ataques, porque son conscientes de que todo está cubierto." Las aseguradoras, dolidas por las pérdidas asumidas de las antiguas pólizas, están aumentando los precios entre un 25% y un 27% de media”, ha señalado Miller.

Aumentará el uso de CDT (tokens de datos de clientes) y BAT (tokens de atención básica)

Varios expertos han predecido el lanzamiento de tokens habilitados para blockchain como compensación a los clientes preocupados por la seguridad de la recopilación y el uso de sus datos. "En los próximos años, el 25% de la lista Fortune Global 500 empleará CDT y BAT habilitados para blockchain para compensar a sus clientes", según un informe de IDC.

"La idea de compensar a los clientes con tokens por su tiempo, datos o mera atención ha sido durante mucho tiempo un concepto atractivo para los profesionales del marketing, que no dejan de observar el impacto y los resultados de sus inversiones en medios", añade Miller, de Constellation, citando a Brave, un navegador web de código abierto. "Uno de estos modelos, anunciado recientemente por Brave, podría ser un campo de pruebas para ver si incluso los usuarios más conscientes y sensibles a la privacidad, como los de Brave, están dispuestos a ver anuncios o a participar en contenidos patrocinados por publicidad a cambio de una MTD que podría utilizarse para apoyar a los editores y productores de contenidos. "Brave anima a los usuarios a activar anuncios opcionales a cambio de MTD como recompensa por su atención al contenido generado. Los usuarios pueden pasar sus tokens a los editores como forma de apoyar a los sitios seleccionados o retenerlos para, por ejemplo, canjearlos por contenido premium.