Si 2023 ha enseñado algo a las empresas es que los riesgos cibernéticos deben tratarse con el mismo nivel de visibilidad, gobernanza, planificación y recursos que otros riesgos comerciales importantes, como las condiciones financieras, las responsabilidades legales o las interrupciones operativas.

Los titulares han estado inundados de historias de violaciones de datos y ataques cibernéticos causados ​​por procesos de gestión de seguridad de información y datos deficientes, poco claros o incluso una falta total. ¿El resultado? Pérdidas financieras importantes, daños a la reputación y fuertes multas por parte de los organismos reguladores para la organización afectada, sus proveedores y, en algunos casos, incluso para los individuos.

En respuesta al aumento de las amenazas cibernéticas, han proliferado rápidamente las regulaciones que rigen las prácticas de seguridad cibernética y de la información. Sólo esta semana, La UE anunció su acuerdo político sobre la regulación de la IA., con otro regulaciones como la Ley de Resiliencia Cibernética y el proyecto de ley de Infraestructura de Telecomunicaciones y Seguridad de Productos (PSTI) que se une a regulaciones establecidas como GDPR y NIS. Estados Unidos ha visto una Orden Ejecutiva emitida sobre ciberseguridad y Se introdujeron regulaciones de la SEC sobre divulgación de incumplimientos. Todo esto deja en claro que las organizaciones deben poder demostrar las mejores prácticas de seguridad de la información y los datos y una implementación efectiva en todos los aspectos de su negocio.

Dada la situación actual, ¿qué les depara exactamente 2024 a las empresas? Hemos analizado seis tendencias clave que creemos que dominarán el panorama de la seguridad cibernética y de la información en 2024 y las desglosamos a continuación.

Tendencia 1: creciente regulación de la IA y el aprendizaje automático (ML)

La IA y el aprendizaje automático (ML) se han vuelto rápidamente esenciales en los negocios, optimizando la toma de decisiones, automatizando tareas y brindando conocimientos que superan las capacidades humanas. Su prevalencia ha provocado debates generalizados sobre sus implicaciones para las empresas, las personas, la privacidad y la seguridad digital.

Dada la naturaleza omnipresente y autónoma de estos sistemas, que impactan significativamente el bienestar de los consumidores, los empleados y la infraestructura, existe una necesidad crítica de una regulación bien pensada para seguir el ritmo de sus capacidades en evolución. La demanda de transparencia, rendición de cuentas, medidas antisesgos y mecanismos de corrección de errores en la toma de decisiones de la IA ha aumentado a lo largo de 2023. A medida que la IA se extienda a áreas de alto riesgo, esta tendencia no hará más que intensificarse.

En consecuencia, 2024 será un año histórico para la gobernanza formalizada de la IA, que abarcará leyes, marcos industriales y políticas corporativas sólidas. Los legisladores de América, Europa y Asia están redactando propuestas que imponen obligaciones morales y legales a los proveedores, desarrolladores y empresas de IA. El La UE anunció su acuerdo político para una ley sobre IA solo esta semana. 

Mientras tanto, grupos internacionales como IEEE e ISO ya están estableciendo estándares integrales y unificados para crear, evaluar e implementar de forma segura sistemas de aprendizaje automático en diversas industrias y aplicaciones, que probablemente se publicarán en el Año Nuevo.

También esperamos que se convierta en la norma establecer juntas para supervisar las prácticas responsables de IA, auditar los procesos de desarrollo y gestionar los riesgos de los modelos dentro de las organizaciones. Además de otras actividades, tales como; 

  • Listas de verificación de ética para ayudar a los científicos de datos a crear conjuntos de datos representativos y algoritmos imparciales 
  • Cláusulas de transparencia para intercambios de modelos de IA e integraciones de servicios incluidas en los contratos de socios

El objetivo de regular la IA es encomiable: es esencial garantizar que las decisiones influenciadas por la IA sean equitativas y que las empresas implementen la automatización solo después de comprender y mitigar completamente los riesgos. Sin embargo, estas regulaciones pueden introducir complejidades y retrasos adicionales para los innovadores y las organizaciones de IA que deseen utilizar dicha tecnología.

A medida que los formuladores de políticas y los líderes de la industria trabajan para aprovechar el potencial productivo de la IA y al mismo tiempo abordar de manera preventiva los posibles inconvenientes, las empresas deben prepararse para demostrar el cumplimiento tanto internamente como ante sus clientes. Esto marca el advenimiento de una nueva fase en el desarrollo de la IA: avanzar rápidamente pero con un mayor sentido de responsabilidad.

Tendencia 2: creciente complejidad del ransomware

Se espera que los ataques de ransomware sean aún más frecuentes y sofisticados en 2024. A medida que más empresas digitalicen sus operaciones y almacenen datos confidenciales en la nube, los grupos de ransomware probablemente cambiarán su enfoque hacia entornos de nube y almacenes de datos de respaldo para maximizar el aprovechamiento de la extorsión.

Una tendencia en aumento son los ataques de ransomware de “doble extorsión”. En estos esquemas, los atacantes cifran datos y extraen información confidencial de los sistemas de la víctima, que luego amenazan con publicar o vender en línea si no se paga el rescate. Esta presión adicional hace que las víctimas sean más propensas a pagar. Los atacantes pueden incluso subastar los datos robados al mejor postor.

Además, los grupos de ransomware están estableciendo operaciones de ransomware como servicio (RaaS) y programas afiliados de malware para aumentar su impacto. Estos esquemas proporcionan kits de herramientas de ransomware fáciles de usar para ciberdelincuentes con habilidades técnicas limitadas para obtener una parte de las ganancias. Esto descentraliza aún más y distribuye el riesgo entre más ataques.

Dadas las crecientes amenazas, es posible que veamos un impulso regulatorio en torno a la resiliencia del ransomware en 2024. Las regulaciones podrían exigir a las organizaciones que: 

  • Tenga planes de respuesta a incidentes para escenarios de ransomware
  • Mantener copias de seguridad de datos fuera de línea 
  • Realizar capacitaciones de concientización sobre ciberseguridad.
  • Implementar pólizas de seguro cibernético

 

Aquellos que no cumplan con las mejores prácticas designadas para prevenir y prepararse para el ransomware pueden enfrentar multas u otras acciones. Sin embargo, dicha regulación también presenta desafíos en cuanto a su implementación y cumplimiento en varios sectores.

También es probable que veamos una mayor atención a las asociaciones internacionales, como la Iniciativa internacional contra el ransomware (CRI), para “romper el modelo de negocio del ransomware reuniendo agencias políticas, policiales y operativas a nivel mundial para interrumpir el ransomware y al mismo tiempo desarrollar resiliencia contra ciberactores maliciosos”.

Tendencia 3: Expansión de IoT y riesgos asociados

La revolución del Internet de las cosas está firmemente en marcha. Pronósticos de Gartner que para 33 se utilizarán activamente más de 2024 mil millones de dispositivos IoT empresariales y automotrices.

Sin embargo, esta profusión de dispositivos conectados, si bien ofrece eficiencia, también ofrece a los piratas informáticos abundantes nuevos vectores de ataque que explotar. Muchos sistemas de IoT todavía carecen de disposiciones de seguridad básicas, como el cifrado de datos, y confían en que las defensas del perímetro de la red sean suficientes. 

La infraestructura de tecnología operativa (OT) crítica para el negocio que antes estaba aislada dentro de las fábricas ahora está vinculada con los sistemas de gestión de TI, lo que expone los frágiles controles industriales a amenazas digitales. Existen pocas actualizaciones de firmware para parchear las vulnerabilidades en dispositivos IoT distribuidos, desde cámaras hasta bombas de infusión clínicas.

En particular, la industria manufacturera, los servicios públicos y la atención médica deben reorientar la seguridad de TI para salvaguardar una superficie de ataque en expansión plagada de dispositivos inseguros. Actividades como: 

  • Segmentar redes
  • Supervisión activa del tráfico en busca de anomalías
  • Requerir controles de acceso
  • Implementación de protocolos seguros de transmisión de datos. 

 

Todos ayudan a mitigar los riesgos que trae consigo la interconexión.

Esperamos ver más organizaciones alineadas con marcos como ISO 27001, para abordar el riesgo de IoT, ya que exige una evaluación estructurada de los riesgos de seguridad de la información y controles de protección adaptados al contexto específico de una organización. Este enfoque de confianza cero se adapta a los desafíos del IoT.

En 2023 ya se han producido intentos de abordar la seguridad y privacidad de la información de los dispositivos IoT con legislación como: 

  • La Ley de Resiliencia Cibernética de la UE
  • Certificación del modelo de madurez de ciberseguridad de EE. UU. (CMMC) 
  • La Ley de Asignaciones Consolidadas de EE. UU. 
  • Proyecto de ley de infraestructura de telecomunicaciones y seguridad de productos del Reino Unido 

 

Esperamos que las regulaciones de seguridad estandarizadas como estas aumenten y que su aplicación sea más rigurosa en 2024, junto con alianzas industriales para impulsar protecciones más sólidas de IoT, especialmente para la infraestructura nacional. 

Independientemente de la regulación y el cumplimiento, esperamos que las empresas actúen rápidamente para modernizar las defensas, a medida que la infraestructura inteligente multiplica los puntos de acceso para los adversarios y el riesgo para las operaciones comerciales y el éxito se vuelve demasiado importante como para ignorarlo.

Tendencia 4: La importancia de las arquitecturas Zero Trust

Los analistas de la industria anticipan que los marcos de confianza cero se convertirán en requisitos formales de cumplimiento dentro de los sectores de finanzas, gobierno y atención médica para 2025, a medida que los ataques expongan las debilidades de la defensa convencional.

Las fuerzas laborales se están descentralizando, la infraestructura se está trasladando a la nube y los usuarios necesitan acceso desde cualquier lugar, lo que pone fin a las suposiciones de que ya existen perímetros de seguridad claros. Sin embargo, muchas empresas todavía dependen de defensas familiares pero porosas, como VPN, firewalls y derechos de red privilegiados para proteger datos críticos.

En cambio, ya se están implementando programas maduros de ciberseguridad. adoptar arquitecturas de confianza cero que suspenden la confianza implícita al tiempo que validan rigurosamente a cada usuario y sistema que intenta acceder, y esperamos ver que la adopción de este enfoque aumente significativamente durante 2024. 

Este El modelo verifica la identidad mediante una estricta autenticación multifactor. antes de otorgar permisos con privilegios mínimos. En lugar de un acceso general a la red, las políticas de microsegmentación limitan estrictamente la conectividad a los recursos autorizados. Fundamentalmente, la confianza cero requiere un monitoreo continuo de la actividad del usuario y registros del sistema con análisis para identificar comportamientos anormales que indiquen amenazas. 

Los factores que impulsan los principios de confianza cero desde las mejores prácticas de ciberseguridad hacia lo esencial incluyen la adopción de la nube híbrida, el crecimiento de la fuerza laboral remota y las protecciones perimetrales heredadas que demostraron ser inadecuadas contra atacantes sofisticados. Eficiencia operacional también mejora al cambiar la postura de seguridad de una organización hacia decisiones de acceso dinámicas y contextuales en lugar de privilegios de red estáticos.

La remodelación temprana de los sistemas de seguridad permite a las organizaciones reforzar sus defensas y fomentar la innovación. La implementación de marcos como ISO 27001 puede proporcionar un enfoque estructurado para adoptar principios de confianza cero, ofreciendo un conjunto integral de políticas y procedimientos que se alinean con los más altos estándares de gestión de seguridad de la información. Esto ayuda a garantizar una implementación sistemática y consistente de arquitecturas de confianza cero, fortaleciendo aún más la postura de seguridad de una organización contra las amenazas en evolución.

Tendencia 5: Un enfoque más global de las regulaciones y los requisitos de cumplimiento

A medida que los ciberataques crezcan en impacto y frecuencia, las brechas vulnerables en la gobernanza de datos en todas las industrias y fronteras geográficas entrarán en la mira de los reguladores para establecer barreras de seguridad más sólidas en 2024. 

A medida que aumentan los ciberataques con impactos transfronterizos, los gobiernos de todo el mundo se dan cuenta de las limitaciones de las regulaciones fragmentadas entre jurisdicciones. Si bien muchos países han implementado leyes de privacidad y políticas de ciberseguridad específicas para sectores a nivel local, la divergencia causa dolores de cabeza a las organizaciones multinacionales. La racionalización de los requisitos a través de la colaboración internacional se convertirá en una prioridad para alinear la supervisión de la ciberseguridad a nivel mundial en lugar de mediante regulaciones inconexas en 2024.

La superposición de regulaciones genera redundancia en torno a prácticas como auditoría, capacitación o evaluaciones de subprocesadores. La innovación se desacelera a medida que los equipos de ingeniería tienen la tarea de interpretar terminología legal vaga. Y los presupuestos se inflan a medida que los recursos técnicos se desvían hacia los informes de cumplimiento.

En respuesta, esperamos ver grupos colaborativos como la Organización Internacional de Normalización (ISO) y la Asamblea Global de Privacidad (GPA) trabajar aún más estrechamente con empresas y gobiernos en 2024 para armonizar las expectativas básicas de ciberseguridad a nivel mundial. Gestión sistemática del riesgo, , ética de los datos y respuesta a incidentes. La racionalización también proviene de marcos de aseguramiento unificados como ISO 27001 y Marco de ciberseguridad del NIST, que cientos de empresas ya han aprovechado para estructurar programas cibernéticos.

Ya hemos visto movimientos hacia la globalización de las regulaciones en 2023 a través de Puentes de datos como los acuerdos UE-EE.UU. y EE.UU.-Reino Unido., que son parte integral de la tendencia más amplia de desarrollar un enfoque más coordinado y armonizado para la protección de datos y la privacidad en un contexto global. Ayudan a alinear diferentes sistemas legales, facilitan los flujos internacionales de datos y establecen estándares que pueden influir en las prácticas globales de protección de datos.

Unirse a grupos de liderazgo intersectoriales, implementar marcos estructurados a nivel mundial y monitorear las propuestas legislativas ayudará a las empresas a prepararse para demostrar el progreso. El incumplimiento deja de ser una opción para administrar los activos críticos a medida que la información redefine el negocio habitual.

Tendencia 6: Mayor regulación de la seguridad de la cadena de suministro

Las regulaciones y estándares de seguridad más estrictos para proveedores externos ocuparán un lugar central en 2024, a medida que las organizaciones reconozcan que las cadenas de suministro digitales ampliadas presentan uno de los riesgos cibernéticos más importantes para las organizaciones.

Los avances en inteligencia artificial pueden captar titulares, pero amenazas menos glamorosas como Los ataques a la cadena de suministro de software continúan erosionando a las empresas desde adentro. Los graves daños causados ​​por incidentes como SolarWinds y Log4j catalizaron la conciencia ejecutiva sobre los riesgos de terceros, pero la visibilidad y el control integrales en los entornos de proveedores siguen siendo difíciles de alcanzar para la mayoría.

De cara a 2024, los proveedores darán prioridad a las herramientas y estándares que ayuden a gestionar el riesgo de los proveedores en todas las asociaciones. La lista de materiales de software (SBOM) integral que cataloga los ingredientes de los componentes en las plataformas compradas será obligatoria para los contratistas federales como parte de la orden ejecutiva cibernética del presidente Biden. Los SBOM aumentan la transparencia para los compradores en torno a vulnerabilidades conocidas o brechas de mantenimiento en su pila tecnológica.

Más industrias emularán las iniciativas del sector automotriz que certifican estándares seguros de desarrollo de proveedores basados ​​en procesos de prueba como los puntos de referencia OWASP. Las revisiones rigurosas del código, el acceso con menos privilegios y la autoprotección de aplicaciones en tiempo de ejecución (RASP) son otras medidas de confiabilidad de los proveedores que están ganando adopción.

A medida que evolucionen las asociaciones entre minoristas, sistemas de salud y servicios financieros, la responsabilidad compartida para la gestión del riesgo cibernético se codificará en más contratos. Los términos abordarán los requisitos de visibilidad de las superficies de ataque de los socios, las notificaciones de infracciones y las políticas de acceso. Las organizaciones que carecen de preparación en materia de ciberseguridad pueden ver disminuir las perspectivas de sus proveedores en un clima centrado en la resiliencia.

En última instancia, proveedores y compradores deben acordar que, si bien las asociaciones permiten la transformación digital y la eficiencia, también amplían las fronteras de ataque. Asegurar proactivamente estas intersecciones a través de estándares, diligencia y garantías contractuales se vuelve imperativo a medida que los terceros se integran en las operaciones. No hay perímetro cuando tu red es la red de todos.

Trazando la resiliencia cibernética para un futuro incierto

Como lo ha demostrado 2023, la escala y el impacto de los ciberataques hacen que la seguridad proactiva sea una inversión no negociable para las organizaciones en lugar de un gasto aislado de TI. 

Como mínimo, la preparación cibernética en 2024 exige un enfoque renovado en la gobernanza de los sistemas de inteligencia artificial de alto riesgo, planes de resiliencia para intrusiones inevitables y visibilidad de los controles de los proveedores. Requiere asegurar superficies de ataque exponencialmente mayores a medida que la informática abandona los perímetros tradicionales. Es necesario monitorear las primeras medidas políticas de los reguladores que ya no tolerarán negligencias evitables con respecto a la protección de datos o la respuesta a incidentes.

Pero lo más importante es que los directorios corporativos deben encabezar una cultura comprometida con la integridad de los datos, las prácticas tecnológicas éticas y la responsabilidad colectiva. La contención del riesgo cibernético depende de que los líderes empresariales den ejemplo dedicando personal, presupuesto y la atención que la seguridad merece cuando se les confía el bienestar y los medios de vida de los clientes.

Las amenazas son complejas pero superables para quienes se dan cuenta de que la resiliencia cibernética depende de la coordinación y no del aislamiento. Las empresas inteligentes se prepararán para tiempos turbulentos mediante la creación proactiva de asociaciones, capacidad interna y sistemas confiables preparados para cosechar de manera segura los dividendos de la innovación digital.