20 de octubre de 2021
20 de octubre de 2021
Autora: Kasey Panetta
La importancia de las leyes de privacidad, los ataques de ransomware, los sistemas ciberfísicos y la evaluación de los consejos de administración marcan las prioridades de los responsables de seguridad y riesgos.
Ebook sobre visión de liderazgo: Las principales acciones para los responsables de seguridad en 2022
“¿Cómo podemos proteger a nuestros consumidores contra potenciales daños físicos causados por los delincuentes?” Este es el tipo de pregunta que los responsables de seguridad y riesgos deben poder predecir y planificar de cara al futuro.
La proliferación de los sistemas ciberfísicos (incluidos aquellos que combinan tecnologías del mundo virtual y del mundo físico, como los coches autónomos o los gemelos digitales) añade un nuevo riesgo de seguridad para las organizaciones, y una de nuestras principales predicciones para los próximos años se centra en cómo los agentes amenazadores van a atacar estos sistemas.
Descarga la hoja de ruta: Cómo madurar tu programa de seguridad de la información
“Estamos recayendo en la vieja costumbre de querer abordarlo todo como se había hecho siempre” afirmó Sam Olyaei, director analista de Gartner, durante su presentación en el Gartner IT Symposium/Xpo de 2021. “Y esto no puede seguir así. Necesitamos tener la seguridad de que nuestra mentalidad, nuestra filosofía, nuestro programa y nuestra arquitectura están evolucionando”.
La seguridad y la gestión del riesgo ya están sobre la mesa del Consejo de Administración en las organizaciones. El número y la sofisticación de las vulneraciones de seguridad van en aumento, impulsan nuevas leyes para proteger a los consumidores y llevan a anteponer la seguridad en las decisiones empresariales.
Más información: Las principales tendencias de seguridad y riesgos de Gartner en 2021
Los analistas de Gartner predicen un mayor grado de descentralización, regulación e implicaciones en materia de seguridad en los próximos años. Integra estos supuestos de planificación estratégica en tu hoja de ruta para el próximo año.
El Reglamento General de Protección de Datos (RGPD) supuso la primera legislación a gran escala en materia de privacidad de los consumidores, y pronto se aprobaron otras leyes, como la Ley General de Protección de Datos (LGPD) de Brasil o la Ley de Privacidad del Consumidor de California (CCPA). El mero alcance de estas leyes ya permite entrever que deberemos gestionar múltiples legislaciones de protección de datos en diferentes jurisdicciones, y los clientes exigirán saber qué tipos de datos se recopilan y para qué se utilizan. También supone que será necesario automatizar los sistemas de gestión de la privacidad. Estandariza las operaciones de seguridad basándote en el RGPD y, después, ajústalas para cada jurisdicción en particular.
Las empresas trabajan actualmente con varias tecnologías en diferentes ubicaciones, de modo que necesitan una solución de seguridad flexible. La malla de ciberseguridad se extiende para proteger identidades fuera del perímetro de seguridad tradicional y crea una visión holística de la organización. También contribuye a mejorar la seguridad del teletrabajo. Todas estas condiciones impulsarán su adopción en los próximos dos años.
La guía definitiva: Ciberseguridad
Las organizaciones están apostando por la optimización y la consolidación. Los responsables de seguridad suelen gestionar docenas de herramientas, pero su plan es consolidarse en menos de 10. El software como servicio (SaaS) será el método de entrega preferente, y la consolidación repercutirá en los calendarios de adopción del hardware.
Los inversores, especialmente los de capital riesgo, ya utilizan el riesgo de ciberseguridad como factor clave en la evaluación de oportunidades. Un número creciente de empresas se fijan en el riesgo de ciberseguridad durante sus tratos comerciales, incluidas fusiones y adquisiciones, y en sus contratos con proveedores. Esto se traduce en más peticiones de información sobre el programa de ciberseguridad de un socio, mediante cuestionarios o puntuaciones de seguridad.
Aunque actualmente la regulación aplicable a los pagos de ransomware puede ser más amplia, los expertos en seguridad prevén unas campañas más agresivas de prevención del pago. Ante un mercado tan poco reglamentado como el de la criptomoneda, el pago de los rescates de ransomware tiene implicaciones éticas, legales y morales, por lo que es imprescindible tener en cuenta su repercusión. La decisión de pagar (o no pagar) debería corresponder a un equipo interdisciplinario, capaz de abordar todas estas cuestiones.
A medida que la ciberseguridad gana posiciones (y las mantiene) como prioridad de los consejos de administración, cabe prever la creación de comités de ciberseguridad en este nivel de la organización y una vigilancia y una evaluación más estrictas. Esto hace más visible el riesgo de ciberseguridad en todos los niveles de la organización y requiere un cambio en el enfoque de los informes presentados al consejo, cuyo grado de detalle podrá depender de la trayectoria y los conocimientos de los consejeros específicos. Centra tus mensajes en el valor, el riesgo y el coste.
Avanza más allá de la ciberseguridad hacia la organización resiliente, para tener en cuenta contextos de seguridad más amplios. La transformación digital aporta complejidad al panorama de las amenazas, lo que repercutirá en tu forma de crear productos y servicios. Trabaja para definir la resiliencia y los objetivos de la organización y prepara un inventario de ciberriesgos en consonancia.
Cuando el malware se propaga desde la Tecnología de la Información (TI) hasta la Tecnología de las Operaciones (TO) es imperativo que se hable menos de la disrupción del negocio y se empiece a hablar de los daños físicos, cuya responsabilidad final probablemente recaerá en el CEO. Centra el interés en unos sistemas ciberfísicos que protejan el activo y forma equipos que puedan abordar la gestión de forma adecuada.
Recursos recomendados para clientes de Gartner*:
Selecciona el mejor enfoque para capturar y comunicar el valor de la ciberseguridad
* Ten en cuenta que algunos documentos podrían no estar disponibles para todos los clientes de Gartner.