Las principales amenazas de seguridad que enfrentarán las empresas a nivel global en el 2014 incluyen las tendencias de traer su propio dispositivo (BYOD) al lugar de trabajo, la protección de los datos en la nube, el daño a la reputación de la marca, la privacidad y la regulación, los delitos cibernéticos y la continua expansión de la tecnología omnipresente.
A medida que nos adentramos en 2014 , los ataques continuarán siendo cada vez más innovadores y sofisticados. Por desgracia, si bien las organizaciones están desarrollando nuevos mecanismos de seguridad, los ciberdelincuentes están cultivando nuevas técnicas para sortearlos.
Las empresas de todos los tamaños deben prepararse para lo desconocido, para tener la flexibilidad necesaria para soportar eventos de seguridad inesperados de alto impacto.
Las seis principales amenazas identificadas por el Foro de Seguridad de la Información (ISF), no son las únicas amenazas que surgirán en 2014. Tampoco son mutuamente excluyentes, y pueden combinarse para crear aún mayores perfiles de amenazas.
1. Tendencias de BYOD en el lugar de trabajo
A medida que crece la tendencia de los empleados llevando dispositivos móviles a su lugar de trabajo, las empresas de todos los tamaños continúan viendo cómo se explotan los riesgos de seguridad de información. Estos riesgos se derivan tanto de las amenazas internas como de las externas, incluyendo la mala gestión del dispositivo en sí, la manipulación externa de las vulnerabilidades de software y el despliegue de aplicaciones de negocios mal evaluadas y poco fiables.
Si los riesgos de BYOD son demasiado altos para su empresa hoy en día, manténgase al tanto de las novedades. Si los riesgos son aceptables, asegúrese de que su programa de BYOD está implementado y bien estructurado. Tenga en cuenta que una estrategia sobre dispositivos personales pobremente implementada en el lugar de trabajo podría enfrentar brechas accidentales debido a la pérdida de límites entre los datos de trabajo y los datos personales, y una mayor información de negocios siendo almacenada sin protección en los dispositivos de consumo.
2. Protección de datos en la nube
Si bien los beneficios de costo y eficiencia de los servicios de computación en la nube son claros, las organizaciones no pueden darse el lujo de retrasar tener el control de sus implicaciones para la seguridad de la información. Al mover sus datos sensibles a la nube, todas las organizaciones deben saber si la información que están guardando sobre una persona es información de identificación personal (PII), y por lo tanto necesita una protección adecuada.
La mayoría de los gobiernos ya han creado, o están en proceso de desarrollar, regulaciones que imponen condiciones a la protección y uso de la información de identificación personal, con sanciones para las empresas que no la protegen adecuadamente. Como resultado, las organizaciones necesitan tratar la privacidad tanto como una cuestión de cumplimiento, a la vez que como un riesgo de negocio para reducir las sanciones regulatorias y los impactos comerciales, como el daño a la reputación y la pérdida de clientes debido a violaciones a la privacidad.
3. Daño reputacional
Los atacantes han vuelto más organizados, los ataques se han vuelto más sofisticados, y todas las amenazas son más peligrosas, y plantean más riesgos, para la reputación de una organización.
Con la velocidad y la complejidad del panorama de amenazas, que cambia a diario, con demasiada frecuencia las empresas se están quedando atrás, a veces ante los daños a la reputación y financiera. Las organizaciones tienen que asegurarse de que están totalmente preparadas y comprometidas para hacer frente a estos retos constantes.
4. Privacidad y regulación
Las regulaciones de los diferentes países imponen diferentes requisitos de si PII puede ser transferida a través de las fronteras. Algunos no tienen requisitos adicionales; otros tienen requisitos detallados. Para determinar qué transferencias transfronterizas se producirán con un sistema en particular basado en la nube, una organización necesita trabajar con su proveedor de nube para determinar donde se almacenará y procesará la información .
5. La ciberdelincuencia
El ciberespacio es un coto de caza cada vez más atractivo para los criminales, activistas y terroristas motivados por ganar dinero, conseguir notoriedad, perturbar o incluso derribar a corporaciones y gobiernos a través de ataques en línea.
Las organizaciones deben estar preparados para lo impredecible, por lo que deben tener la resiliencia para soportar eventos imprevistos de alto impacto. El cibercrimen, junto con el aumento de causas en línea (hacktivismo), el incremento en el costo del cumplimiento para hacer frente a los cada vez mayores requerimientos regulatorios, junto con los avances incesantes en tecnología en un contexto de falta de inversión en los departamentos de seguridad, pueden combinarse para causar la amenaza perfecta.
Las organizaciones que identifiquen aquello en lo que más se basa el negocio estarán en condiciones de cuantificar el caso de negocio para invertir en resiliencia, minimizando así el impacto de lo imprevisto.
6 . El internet de las cosas
La dependencia de las organizaciones en internet y la tecnología ha seguido creciendo en los últimos años. El auge de los objetos que se conectan a sí mismos a la internet está liberando una oleada de nuevas oportunidades para la recopilación de datos, el análisis predictivo y la automatización de las TI.
A medida que aumenta el interés en el establecimiento de estándares de seguridad para el internet de las cosas (IoT), debería corresponder a las propias empresas seguir construyendo la seguridad a través de la comunicación y la interoperabilidad.Las amenazas a la seguridad de la IoT son amplias y potencialmente devastadoras, por lo que las organizaciones deben asegurarse de que la tecnología, tanto para los consumidores, como para las empresas se adhiere a los estándares más altos de seguridad y protección.
No puede evitar todos los incidentes serios, y aunque muchos negocios son buenos en la gestión de incidentes, pocos tienen un enfoque maduro y estructurado para analizar lo que salió mal. Como resultado, están incurriendo en gastos innecesarios y aceptando riesgos inapropiados.
Mediante la adopción de un enfoque realista, de base amplia, y de colaboración respecto a la seguridad cibernética y la resiliencia, los departamentos gubernamentales, los reguladores, los administradores de negocios de alto nivel y los profesionales de la seguridad de información estarán en mejores condiciones para comprender la verdadera naturaleza de las ciberamenazas, y responder ante ellas rápida y adecuadamente.
Autor: Steve Durbin (vicepresidente global del Foro de Seguridad de la Información (ISF).)