¿Teníamos razón? Repasamos nuestras predicciones sobre las tendencias de ciberseguridad para 2024

Ah, 2024, un año que nos trajo un cóctel embriagador de ciberdrama, avances regulatorios y algún que otro dolor de cabeza por ransomware. Tomamos algunas medidas audaces Predicciones de ciberseguridad para finales de 2023, armados con una bola de cristal metafórica (y abundantes cantidades de café). Ahora es el momento de confesar. ¿Lo logramos? ¿Estuvimos cerca? ¿O nos equivocamos por completo?

Tome una taza de té, o tal vez algo más fuerte, y profundicemos en lo bueno, lo malo y lo "vaya, realmente predijimos". que!” momentos del 2024.

Predicción n.° 1: aumento de la regulación de la IA y el aprendizaje automático (ML)

Lo que dijimos: 2024 sería el año en que los gobiernos y las empresas se darían cuenta de la necesidad de transparencia, responsabilidad y medidas antisesgo en los sistemas de IA.

El año no decepcionó en lo que respecta a la regulación de la IA. La Unión Europea finalizó la innovadora Ley de Inteligencia Artificial, lo que marca un hito mundial en materia de gobernanza integral de la inteligencia artificial. Este ambicioso marco introdujo cambios radicales, al exigir evaluaciones de riesgos, obligaciones de transparencia y supervisión humana para los sistemas de IA de alto riesgo. Al otro lado del Atlántico, Estados Unidos demostró que no se conformaba con quedarse de brazos cruzados, y organismos federales como la FTC propusieron regulaciones para garantizar la transparencia y la rendición de cuentas en el uso de la IA. Estas iniciativas marcaron la pauta para un enfoque más responsable y ético del aprendizaje automático.

Mientras tanto, la ISO 42001 surgió silenciosamente como un cambio radical en el panorama del cumplimiento normativo. Como la primera norma internacional del mundo para sistemas de gestión de IA, La norma ISO 42001 proporcionó a las organizaciones un marco estructurado y práctico para abordar los complejos requisitos de la IA. Gobernanza. Al integrar la gestión de riesgos, la transparencia y las consideraciones éticas, la norma proporcionó a las empresas una hoja de ruta muy necesaria para alinearse tanto con las expectativas regulatorias como con la confianza pública.

Al mismo tiempo, gigantes tecnológicos como Google y Microsoft redoblaron sus esfuerzos en materia de ética y establecieron juntas de supervisión de la IA y políticas internas que indicaban que la gobernanza ya no era solo un requisito legal que cumplir, sino una prioridad corporativa. Con la implementación práctica de la norma ISO 42001 y el aumento de las regulaciones globales, la rendición de cuentas y la equidad en la IA se han vuelto oficialmente innegociables.

Predicción n.° 2: creciente complejidad del ransomware

Lo que dijimos: El ransomware se volvería más sofisticado, afectaría los entornos de nube y popularizaría las tácticas de “doble extorsión”, y el ransomware como servicio (RaaS) se volvería común.

Lamentablemente, 2024 resultó ser otro año destacado para ransomware, a medida que los ataques se volvían más sofisticados y sus impactos más devastadores. Las tácticas de doble extorsión aumentaron en popularidad, con piratas informáticos que no solo bloqueaban los sistemas sino que también exfiltraban datos confidenciales para aumentar su influencia. Las brechas de seguridad de MOVEit ejemplificaron esta estrategia, ya que el grupo de ransomware Clop causó estragos en entornos híbridos, explotando vulnerabilidades en los sistemas en la nube para extraer y extorsionar.

Y el negocio del ransomware evolucionó, y el ransomware como servicio (RaaS) hizo que fuera inquietantemente fácil para los delincuentes menos capacitados técnicamente entrar en la lucha. Grupos como LockBit convirtieron esto en una forma de arte, ofreciendo programas de afiliados y compartiendo ganancias con su creciente lista de actores maliciosos. Los informes de ENISA confirmaron estas tendencias, mientras que los incidentes de alto perfil subrayaron cuán profundamente se ha integrado el ransomware en el panorama de amenazas moderno.

Predicción n.° 3: Expansión de la IoT y riesgos asociados

Lo que dijimos: La IoT seguiría proliferando, introduciendo nuevas oportunidades pero también dejando a las industrias luchando por abordar las vulnerabilidades de seguridad resultantes.

El Internet de las cosas (IoT) El IoT siguió expandiéndose a un ritmo vertiginoso en 2024, pero con el crecimiento llegó la vulnerabilidad. Industrias como la atención médica y la fabricación, que dependen en gran medida de dispositivos conectados, se convirtieron en los principales objetivos de los ciberdelincuentes. Los hospitales, en particular, sufrieron la peor parte, con ataques impulsados ​​por IoT que comprometieron datos y sistemas críticos de los pacientes. La Ley de Ciberresiliencia de la UE y las actualizaciones de la Marco de certificación del modelo de madurez de ciberseguridad de EE. UU. (CMMC) buscó abordar estos riesgos, estableciendo nuevos estándares para la seguridad de IoT en infraestructura crítica.

Sin embargo, el progreso fue desigual. Si bien las regulaciones han mejorado, muchas industrias aún tienen dificultades para implementar medidas de seguridad integrales para los sistemas de IoT. Los dispositivos sin parches siguieron siendo un talón de Aquiles, y los incidentes de alto perfil pusieron de relieve la necesidad apremiante de una mejor segmentación y monitoreo. Solo en el sector de la atención médica, las infracciones expusieron a millones de personas al riesgo, lo que proporcionó un recordatorio aleccionador de los desafíos que aún quedan por delante.

Predicción n.° 4: La importancia de las arquitecturas de confianza cero

Lo que dijimos: Zero Trust pasaría de ser una palabra de moda a un auténtico requisito de cumplimiento, especialmente en sectores críticos.

El auge de Arquitectura de confianza cero fue uno de los puntos más destacados de 2024. Lo que comenzó como una práctica recomendada para unas pocas organizaciones de vanguardia se convirtió en un requisito de cumplimiento fundamental en sectores críticos como el financiero y el sanitario. Los marcos regulatorios como NIS 2 y DORA han impulsado a las organizaciones hacia modelos de confianza cero, en los que las identidades de los usuarios se verifican continuamente y el acceso al sistema está estrictamente controlado.

Los principales actores, como Google y JPMorgan, lideraron la iniciativa y demostraron que el modelo Zero-Trust se podía adaptar a las demandas de operaciones masivas y globales. El cambio se hizo innegable cuando Gartner informó de un marcado aumento del gasto en Zero-Trust. La combinación de presión regulatoria e historias de éxito reales subraya que este enfoque ya no es opcional para las empresas que desean proteger sus sistemas.

Predicción n.° 5: Un enfoque más global de las regulaciones y los requisitos de cumplimiento

Lo que dijimos: Los países dejarían de trabajar en compartimentos estancos y empezarían a armonizar sus regulaciones.

Nuestra predicción sobre la armonía regulatoria global parecía casi profética en algunas áreas, pero no descorchemos el champán todavía. En 2024, la colaboración internacional en materia de protección de datos ganó fuerza. El marco de privacidad de datos entre la UE y EE. UU. y Puente de datos entre el Reino Unido y los Estados Unidos Los acuerdos de colaboración entre las dos organizaciones fueron puntos destacados a finales de 2023, ya que agilizaron los flujos de datos transfronterizos y redujeron algunas de las redundancias que han afectado durante mucho tiempo a las organizaciones multinacionales. Estos acuerdos fueron un paso en la dirección correcta y ofrecieron vislumbres de lo que se podría lograr con un enfoque más unificado.

A pesar de estos marcos, los desafíos persisten. Revisión del Marco de Privacidad de Datos UE-EE.UU. por parte del Comité Europeo de Protección de Datos Indica que, si bien se han logrado avances, es necesario seguir trabajando para garantizar la protección integral de los datos personales.

Además, el panorama cambiante de las regulaciones de privacidad de datos, incluidas las leyes específicas de cada estado en los EE. UU., agrega complejidad a los esfuerzos de cumplimiento para las organizaciones multinacionales. Más allá de estos avances, existe un mosaico cada vez mayor de regulaciones específicas de cada estado en los EE. UU. que complican aún más el panorama de cumplimiento. Desde la CPRA de California hasta los marcos emergentes en otros estados, las empresas se enfrentan a un laberinto regulatorio en lugar de un camino claro.

Mientras tanto, la divergencia entre Europa y el Reino Unido en materia de estándares de privacidad y protección de datos continúa ampliándose, lo que crea obstáculos adicionales para las organizaciones que operan en estas regiones.

Este enfoque fragmentado subraya por qué los marcos globales como ISO 27001, ISO 27701, y la recientemente presentada ISO 42001 Las normas ISO 27001 son más críticas que nunca. La norma ISO 27701 sigue siendo el estándar de oro para la seguridad de la información, proporcionando un lenguaje común que trasciende las fronteras. La norma ISO 42001 extiende esto a la privacidad de los datos, ofreciendo a las organizaciones una forma estructurada de abordar las cambiantes obligaciones de privacidad. La norma ISO XNUMX, que se centra en los sistemas de gestión de la IA, añade otra capa para ayudar a las empresas a afrontar los nuevos requisitos de gobernanza de la IA.

Así pues, si bien se han dado pasos hacia una mayor armonización, el panorama normativo mundial aún no ha alcanzado su potencial. La dependencia continua de estas normas internacionales proporciona un salvavidas muy necesario, que permite a las organizaciones crear estrategias de cumplimiento coherentes y a prueba de futuro. Pero seamos honestos: todavía hay mucho margen de mejora y los reguladores de todo el mundo deben priorizar la reducción de las brechas para aliviar realmente las cargas de cumplimiento. Hasta entonces, las normas ISO seguirán siendo esenciales para gestionar la complejidad y la divergencia de las regulaciones globales.

Predicción n.° 6: Mayor regulación de la seguridad de la cadena de suministro

Lo que dijimos: La seguridad de la cadena de suministro dominaría las agendas de las salas de juntas, y las SBOM (listas de materiales de software) y la gestión de riesgos de terceros ocuparían un lugar central.

La seguridad de la cadena de suministro siguió siendo una de las principales preocupaciones en 2024, ya que las vulnerabilidades del software siguieron causando estragos en las organizaciones de todo el mundo. El gobierno de EE. UU. lideró la iniciativa con su Orden Ejecutiva Cibernética, que ordena el uso de Lista de materiales de software (SBOM) para que los contratistas federales mejoren la visibilidad de los riesgos de terceros. Mientras tanto, el NIST y la OWASP elevaron el nivel de las prácticas de seguridad del software, y los reguladores financieros como la FCA emitieron una guía para reforzar los controles sobre las relaciones con los proveedores.

A pesar de estos esfuerzos, los ataques a la cadena de suministro persistieron, lo que puso de relieve los desafíos actuales que supone gestionar los riesgos de terceros en un ecosistema complejo e interconectado. A medida que los reguladores redoblaron sus exigencias, las empresas comenzaron a adaptarse a la nueva normalidad de una supervisión estricta.

Entonces, ¿estábamos en lo cierto?

2024 fue un año de avances, desafíos y más de una sorpresa. Nuestras predicciones se cumplieron en muchas áreas: la regulación de la IA avanzó, Zero Trust ganó prominencia y el ransomware se volvió más insidioso. Sin embargo, el año también subrayó lo mucho que aún tenemos que recorrer para lograr un enfoque global unificado de ciberseguridad y cumplimiento normativo.

Es cierto que hubo algunos puntos positivos: la implementación del Marco de Privacidad de Datos UE-EE. UU., la aparición de la norma ISO 42001 y la creciente adopción de las normas ISO 27001 y 27701 ayudaron a las organizaciones a navegar en un panorama cada vez más complejo. Sin embargo, la persistencia de la fragmentación regulatoria (particularmente en EE. UU., donde un mosaico de estados agrega capas de complejidad) resalta la lucha continua por la armonía. Las divergencias entre Europa y el Reino Unido ilustran cómo los matices geopolíticos pueden frenar el progreso hacia la alineación global.

¿El lado positivo? Las normas internacionales como ISO 27001, ISO 27701 e ISO 42001 están demostrando ser herramientas indispensables, ofreciendo a las empresas una hoja de ruta para generar resiliencia y mantenerse a la vanguardia del cambiante panorama regulatorio en el que nos encontramos. Estos marcos proporcionan una base para el cumplimiento y un camino hacia operaciones comerciales a prueba de futuro a medida que surgen nuevos desafíos.

De cara a 2025, el llamamiento a la acción es claro: los reguladores deben esforzarse más para superar las brechas, armonizar los requisitos y reducir la complejidad innecesaria. Para las empresas, la tarea sigue siendo adoptar marcos establecidos y seguir adaptándose a un panorama que no muestra signos de desaceleración. Aun así, con las estrategias y herramientas adecuadas y un compromiso con la mejora continua, las organizaciones pueden sobrevivir y prosperar frente a estos desafíos.