Como
cada año, recopilamos las predicciones que hacen nuestros
investigadores, científicos e ingenieros. Anticipamos los cambios que se
darán en el mundo de las amenazas,
las tendencias en la adopción de tecnología, los factores regulatorios y
de cumplimiento, así como otras influencias que impactarán la manera en
que usted trabaja en el actual entorno empresarial.
En noviembre de 2018 dimos a conocer nuestras
Predicciones en Ciberseguridad 2019;
ahora que hemos llegado a la mitad del año, pensamos que vale la pena hacer una revisión de los puntos clave hasta el momento.
El
tema preponderante del Reporte de Predicciones en Ciberseguridad 2019
de Forcepoint fue la confianza. Es un hecho que la confianza sustenta
las relaciones; las
relaciones entre las empresas y los empleados, entre el negocio y los
clientes, entre las compañías y los inversionistas, y a lo largo de la
cadena de suministro. Los ataques cibernéticos (sean intencionales o
accidentales) pueden socavar dicha confianza y
causar pérdidas financieras importantes, reducir el valor en el
mercado, afectar la reputación, dar lugar a multas por incumplimiento
regulatorio (se
calcula que se han impuesto 100 multas por no cumplir con el GDPR y existen 60,000 reportes de robo de datos en Europa) y provocar la pérdida de clientes. A nadie sorprende que la
Encuesta Global sobre la Percepción de Riesgos 2019 del Foro Económico Mundial
colocara a los ataques informáticos en el cuadrante de alto impacto y alta probabilidad.
Nuestras
predicciones para 2019 reflejaron la confianza que ponemos en la gente,
los procesos y la tecnología. A continuación, un resumen de los
principales pronósticos
que se han cumplido hasta ahora en 2019.
Nuestra Predicción: “Surgirán ‘calificaciones crediticias de la seguridad’ en la industria a medida que las organizaciones buscan garantías de que los socios y las cadenas de suministro son confiables.”
Como
consumidores estamos acostumbrados a consultar nuestra calificación
crediticia que las instituciones financieras utilizan para determinar si
somos aptos para
tener tarjetas de crédito, préstamos e hipotecas. Esto permite que
dichas organizaciones gestionen el riesgo y hagan un pronóstico del
resultado deseado – en este caso que paguemos lo que nos prestan. En el
ámbito de la seguridad cibernética, no es posible
obtener puntuaciones/calificaciones de la ciberseguridad derivadas de
una variedad de factores para indicar qué tan segura es una
organización, y el éxito con el que puede proteger sus datos. La
calificación de una compañía que ha sido víctima del robo de
datos podría ver afectada de forma muy negativa después de sufrir una
brecha.
En
2019, hemos visto como los gobiernos le están dando gran importancia a
dichas calificaciones. En enero de este año, el gobierno del Reino Unido
calificó
las medidas de seguridad informática
de los ayuntamientos usando una escala RAG. En octubre de 2018, la
Cámara de Comercio de Estados Unidos dio a conocer la primera
evaluación nacional de la ciberseguridad
denominada “Evaluación de la Ciberseguridad Empresarial” (ABC). Ambos
sistemas buscan identificar áreas de riesgo y de mejora potencial.
En mayo de 2019, Equifax
bajó su perspectiva
– la primera
vez que se hace citando problemas de seguridad como un factor
relevante. La fiabilidad y confianza en la seguridad cibernética de una
organización seguirá teniendo una influencia importante en el mercado
bursátil.
Con
el propósito de ayudarle a fortalecer la confianza que usted pone en
los proveedores de nube, puede consultar el STAR Registry de la Cloud
Security Alliance,
en el cual se hace una evaluación de los proveedores de servicios de
nube. El registro de Forcepoint es el siguiente:
https://cloudsecurityalliance.org/star/registry/forcepoint-llc/
Nuestra Predicción: “Los atacantes van a alterar los dispositivos de Internet de las Cosas Industrial (IIoT) usando las vulnerabilidades de la infraestructura y del hardware de la nube”.
Nuestra
predicción se derivó de la evolución de nuestros pronósticos previos.
En nuestras Predicciones 2015 hablamos de ataques contra los
dispositivos conectados,
de los ataques de 2018 contra la comunicación entre dispositivos y de
los ataques de 2019 a la infraestructura de nube que soporta los
sistemas de IIoT.
En marzo de 2019, los senadores de Estados Unidos presentaron la “Ley
de Mejoramiento de la Ciberseguridad de IoT de 2019”
ante el Senado y la Cámara de Representantes de ese país. El objetivo
de dicha legislación es “aprovechar el poder que tiene el Gobierno
Federal
para fomentar una mayor seguridad informática en los dispositivos de
Internet de las Cosas, y para otros propósitos”. Dichas iniciativas
pueden ayudar a promover la ciberseguridad y alentar a los fabricantes a
integrar la “seguridad por diseño” a fin de mejorar
los sistemas sin importar si se implementan en un entorno de consumo,
industrial o de CI.
El
Proyecto Top 10 para 2018 de OWASP Internet of Things (IoT)
se dio a conocer
en diciembre de 2018, en el que se hace una actualización de su listado
de 2014. OWASP ofrece un inventario consolidado de los riesgos, las
amenazas y las vulnerabilidades a los que se enfrentan desarrolladores,
empresas y consumidores. OWASP calificó a las
“contraseñas débiles, fáciles de adivinar o de código fijo” como el
principal problema que afecta a los sistemas de IoT. Muchos de los
problemas incluidos se aplican al espacio de ICS/IIoT, especialmente
porque los dispositivos que tienen una seguridad pobre
se introducen a los entornos de IIoT. El tercero de los 10 principales
problemas se relaciona mucho más de cerca con nuestra predicción,
mientras que los 9 restantes destacan que los obstáculos que un atacante
debe superar para penetrar a dichos sistemas son
muy sencillos.
En
la primera mitad de 2019 ha quedado en evidencia una serie de
vulnerabilidades de los sistemas de nube y del deseo del gobierno de
mejorar la situación específicamente
para IoT.
Nuestra Predicción: “Los hackers utilizarán el software de reconocimiento facial, y las organizaciones responderán con sistemas basados en el comportamiento”.
El
uso de la biometría para la autenticación no es algo nuevo, pero los
fabricantes de teléfonos y los bancos, entre otros,
lo han popularizado. Hicimos nuestra predicción a partir de cuándo se
comenzó a utilizar un escáner de rasgos faciales de una persona al
descubrir que los atacantes buscan acceso, y evaden, los sistemas de
autenticación para tener acceso a los datos detrás
de esa puerta.
En
2019, las tecnologías de reconocimiento facial sufrieron un revés al
citarse razones de privacidad. Destaca la ciudad de San Francisco,
California,
donde se prohíbe el uso del reconocimiento fácil
por parte de las organizaciones gubernamentales, así como el hecho de que las autoridades del Reino Unido han
cuestionado el uso de dicha
tecnología. Sin embargo, con la atención (no deseada) puesta en los sistemas de
reconocimiento
de voz y las
bases de datos nacionales de inteligencia biométrica,
seguiremos pendientes de esta área. Nuestra predicción esencialmente
plantea la pregunta de “Si se puede abusar de los métodos de
identificación y autenticación, ¿nosotros como defensores a quién
tenemos que recurrir?”
Nuestra Predicción: “No hay una IA real en la ciberseguridad, ni existen probabilidades de que se desarrolle en 2019”.
Nuestra
predicción tal vez pudo haber causado asombro, pero la hicimos a partir
de la adopción de subcampos de la inteligencia
artificial (IA) en el terreno de la seguridad informática. La IA en su
sentido más real tiene aún que desarrollarse en todas las industrias,
pero el machine learning (ML) y los algoritmos soportados por expertos
humanos definitivamente tienen que hacerlo aún
más. Consulte el Índice de IA de Stanford para
conocer la adopción global de dichas tecnologías.
Las
adquisiciones y ofertas públicas iniciales de 2019 de los proveedores
de seguridad informática que usan la IA/ML demuestran
su apoyo para los métodos empleados mientras que otras industrias están
observando de cerca el impacto que la IA tendrá en ellas; la
Administración de Alimentos y Medicamentos de Estados Unidos propuso un
marco regulatorio
para el software basado en IA que se utiliza en los dispositivos
médicos. En otros sectores observamos fallas provocadas por la IA que se
utiliza para
solucionar vulnerabilidades del software
y avances en la generación automática de imágenes del cuerpo completas
usando la IA.
El jefe de Forcepoint X-Labs, Raffael Marty, hizo una presentación alrededor de esta predicción en la reciente
conferencia Ai4Cybersecurity.
¿Está de acuerdo con lo que expuso?
Predicciones 2020
A
medida que el año avanza, van a surgir otros problemas. Para finales de
este año presentaremos una evaluación completa de qué tan precisas
fueron nuestras Predicciones
en Ciberseguridad 2019. También daremos a conocer nuestras Predicciones
en Ciberseguridad para 2020, de modo que usted sabrá qué puede esperar
en los próximos años; ya estamos pensando en ellas.
No hay comentarios:
Publicar un comentario