Con todo lo que ha sucedido en el mundo de las amenazas electrónicas, las organizaciones ya no pueden darse el lujo de dejar la responsabilidad de manejar los riesgos sólo en las manos del departamento de seguridad de la información. Por el contrario, deben adoptar un enfoque mucho más estratégico y basado en el negocio, asegura Steve Durbin, vicepresidente mundial de Information Security Forum (ISF).
“Mientras salimos del bache económico, por lo menos en Estados Unidos ha habido una menor inversión en las empresas y en particular en la seguridad de la información”, asegura Durbin. “Ahora las empresas están tratando de ponerse al día. El crimen electrónico, el lugar del mal, ellos no sufrieron por la crisis”.
“Si bien las amenazas individuales seguirán representando un riesgo, hay incluso mayor peligro cuando se combinan, como cuando los criminales organizados adoptan técnicas desarrolladas por los activistas en línea”, añade. La administración tradicional del riesgo no es lo suficientemente ágil para lidiar con los impactos potenciales de la actividad en el ciberespacio. Si bien los ejecutivos reconocen los beneficios y las oportunidades que éste ofrece, sus organizaciones deben ampliar la administración del riesgo para que sea más flexible, basados en una base de preparación”.
ISF es una asociación no lucrativa que investiga y analiza problemas de seguridad y de administración de riesgos a nombre de sus miembros, muchos de los cuales se encuentran entre las Fortune Global 500 y Fortune Global 1000. Recientemente el ISF liberó Threat Horizon 2014, la más reciente de una serie anual de reportes Threat Horizon que pronostica la naturaleza cambiante del panorama de la seguridad de la información. ISF ha predicho que el rango y complejidad de las amenazas a la seguridad de la información aumentarán considerablemente en los próximos dos años, y las organizaciones tiene que prepararse hoy.
Durbin señala que la seguridad ya no se trata de proteger los datos y el IP. Las brechas pueden tener un impacto en la marca y la reputación – y en el precio de las acciones – señala Durbin, lo que hace a la seguridad un asunto de alto nivel para el negocio en general.
El reporte identifica tres principales detonadores del riesgo en los que las organizaciones deben enfocarse en los próximos dos años.
Amenazas externas a la seguridad
Las amenazas externas seguirán siendo la principal consideración, y Durbin predice que la amenaza evolucionará como consecuencia de la mayor sofisticación del crimen electrónico, del espionaje patrocinado por los estados, por el cambio del activismo en línea y por los ataques a los sistemas que afectan al mundo físico, incluyendo los sistemas de control industrial. Las predicciones del ISF son las siguientes:
La criminalidad electrónica aumentará conforme madure el mundo de las amenazas. Las organizaciones que comentan crímenes electrónicos, espionaje u otra actividad maliciosa en línea ya han alcanzado una escala global y una sofisticación increíble y continuarán creciendo y desarrollándose en los próximos años.
La carrera de las ciberarmas llevará a una guerra fría electrónica. Las naciones ya están en el proceso de desarrollar formas más sofisticadas de atacar a través del ciberespacio y mejorarán sus capacidades en los próximos años. Las naciones que aún no han desarrollado esta capacidad tendrán que hacerlo. Y los negocios del sector privado no deberían asumir que serán inmunes. ISF predice que las empresas sufrirán un daño colateral, especialmente como objetivos del espionaje incluirán a aquellas cuya propiedad intelectual pueda darles una ganancia o una ventaja.
Más causas estarán en línea y los activistas se volverán más activos en el ciberespacio. ISF predice quien no esté usando ya el Internet para impulsar su causa comenzará a hacerlo en los próximos dos años, incluyendo grupos de afinidad con clientes, asociaciones comunitarias, terroristas, dictadores, partidos políticos, bandas urbanas y más. Todos ellos encontrarán inspiración en los ejemplos de la Primavera Árabe, la Ocupación de Wall Street y Wikileaks.
El ciberespacio se volverá físico. El gusano Stuxtnet que destruyó a varias centrífugas de enriquecimiento de uranio en Irán en 2010 fue el primer ejemplo de esta tendencia, dice Durbin. ISF cree que la creciente convergencia de lo cibernético y lo físico llevará a más ataques en los sistemas físicos, desde intentos para provocar apagones y los sistemas de control del clima hasta interrumpir los sistemas de manufactura.
Con el fin de estar preparados para estas amenazas, ISF recomienda que las organizaciones se aseguren que se implementen medidas de seguridad estándares, y que desarrollen una resistencia al establecer una función de gobierno de seguridad electrónica, reunión e intercambio de inteligencia de ataques, una evaluación de la resistencia y capacidad de ajuste y un plan de respuesta completo.
Amenazas regulatorias
Las amenazas externas no sólo son las cosas por las que se deberían preocupar las organizaciones. El entorno regulatorio también tiene que observarse de cerca. Las predicciones de ISF incluyen las siguientes:
Los nuevos requerimientos dejarán en evidencia las debilidades. El avance a la transparencia en la divulgación de la seguridad dará a conocer las debilidades. ISF dice que las organizaciones obligadas a reportar los riesgos de seguridad tal vez tengan mucho que temer de los clientes y socios al igual que de hackers y reguladores.
Enfocarse en la privacidad puede ser una distracción para otros esfuerzos de seguridad. Los nuevos requerimientos de privacidad exigidos por los consumidores, clientes y reguladores impondrán una pesada carga de cumplimiento, dice el ISF. Las organizaciones tendrán que decidir si invertir en los controles de seguridad y legales necesarios, subcontratar o salir de ciertos mercados totalmente. El ISF señala que también las organizaciones tendrán que considerar el mensaje que sus acciones envíen a los clientes.
Para estar preparado ante estas amenazas, ISF dice que las organizaciones deben corregir sus marcos de protección de datos y sus procedimientos de administración de la información para reflejar los cambios legislativos y revisar los nuevos requerimientos a detalle para alinear los controles relacionados con la privacidad con otros controles. ISF también recomienda unirse y participar en la industria y en otras asociaciones para evaluar e influir en la política.
Amenazas internas a la seguridad
También existen problemas internos que hay que considerar, como un legado de la baja de la inversión durante la crisis económica y el devastador ritmo de la evolución tecnológica. El ISF predice lo siguiente:
Las presiones de los costos contendrán a la inversión en seguridad, dañando la capacidad de las funciones de seguridad de la información de mantenerse al día. Incluso las organizaciones que están una vez más invirtiendo en seguridad de la información no pueden corregir una historia de subinversión de la noche a la mañana. Pero los criminales ha seguido invirtiendo en sus capacidades durante la recesión, y las organizaciones pueden esperar que para los criminales será más sencillo y menos costoso adquirir la tecnología y los servicios que necesitan para cometer sus fechorías.
El poco entendimiento se derivará en un caos. ISF cree que la continua presión de los costos se derivará en una nueva división digital que separe los negocios en las organizaciones que entienden la unión entre TI y la seguridad de la información, y las organizaciones que no. Predice que las organizaciones líderes apreciarán el valor estratégico de los canales, los sistemas y la información, e invertirán en esas áreas. Las organizaciones que no lo hagan sufrirán las desventajas competitivas y elevarán el riesgo de sufrir incidentes perjudiciales.
Las nuevas tecnologías serán arrolladoras. ISF espera que las organizaciones sigan adoptando rápidamente nuevas tecnologías. Junto con los beneficios de hacerlo también llegarán nuevas vulnerabilidades y métodos de ataque. Las organizaciones deben entender su dependencia de la tecnología o sufrirán una desagradable sorpresa.
La cadena de suministro sufrirá una fuga conforme las amenazas internas lleguen desde fuera. ISF señala que los datos de una organización moderna están distribuidos entre muchas partes, lo que deja a sus datos vulnerables a los incidentes que afectan a sus proveedores. ISF dice que estos riesgos aumentarán conforme las organizaciones digitalicen sus cadenas de suministro, subcontraten funciones adicionales y dependan de asesores externos.
Con el fin de prepararse para estas amenazas, ISF recomienda a los profesionales de la seguridad ayudar a la alta administración a entender el valor de la seguridad de la información. Las organizaciones deben adoptar el gobierno de seguridad de la información e integrarlo con otros esfuerzos de manejo de riegos y de gobierno. Las empresas también necesitan entender su apetito de riesgos y asegurar que el valor de la inversión continua en seguridad satisfaga la necesidad, que sea adecuada y que se gaste bien.
Finalmente, la empresa también necesita a alguien que se haga cargo de coordinar la contratación y el aprovisionamiento de relaciones de negocio, incluyendo a proveedores de servicios de outsourcing, offshore, cadena de suministro y proveedores de servicios cloud.
