A medida que los ciberataques constituyen una amenaza cada vez mayor que afecta a todos los aspectos del negocio y crecen en volumen e intensidad, las empresas se verán obligadas a adoptar nuevas medidas que les permitan gestionar el ciberriesgo desde un punto de vista holístico, integrándola de forma más agresiva dentro de su política de gestión de riesgos, de acuerdo con los especialistas de Aon Ciber Solutions en el informe “Predicciones de Ciberseguridad para 2018“. El informe señala determinadas acciones específicas que Aon cree que las empresas llevarán a cabo en 2018 para hacer frente a las amenazas cibernéticas, así como otras tendencias que anticipa en este nuevo año.
Las empresas se verán obligadas a adoptar nuevas medidas que les permitan gestionar el ciberriesgo desde un punto de vista holístico
“En 2017 los delincuentes cibernéticos han causado estragos a través de diferentes medios, desde los ataques de ‘phishing’ que han afectado a distintas campañas políticas hasta los criptogusanos infiltrados en sistemas operativos a gran escala. Con el crecimiento del IoT (Internet of Things), hemos sido testigos también de la proliferación de diversos ataques de denegación de servicio o denial-of-service (DDoS) en dispositivos IoT, paralizando su funcionalidad”, afirma Jason J. Hogg, CEO, Aon Cyber Solutions. “En 2018 anticipamos una mayor exposición cibernética debido a la convergencia de tres tendencias: primero, la creciente dependencia de la tecnología por parte de las empresas; segundo, la mayor concentración de los reguladores en la protección de los datos de los consumidores; y tercero, el valor en aumento de los activos no físicos. Una mayor exposición requerirá un enfoque integrado de ciberseguridad para los marcos tanto de cultura empresarial como de gestión de riesgos. Los líderes deben adoptar un enfoque de gestión de riesgos cibernéticos coordinado y orientado al C-Suite, lo que les permitirá evaluar y mitigar mejor el riesgo en todas las funciones de la empresa.”
La previsiones para 2018 analizan cómo la creciente escala e impacto de los ciberataques, junto con el hecho de que las compañías deban aceptar una mayor responsabilidad sobre los mismos, generará cambios significativos en el panorama corporativo. El informe predice un papel en expansión para el Chief Risk Officer (CRO), la importancia de implementar la autenticación de múltiples factores, el aumento de las amenazas internas y la expansión de programas de bug bounty en nuevos sectores.
El informe destaca 8 Predicciones principales para prevenir del ciberriesgo:
- Se incrementará la contratación de las pólizas ciber a medida que los directivos vayan tomando conciencia de la responsabilidad cibernética de sus empresas. Al experimentar y ser testigos los consejeros y ejecutivos del impacto de los ciberataques, que incluye pérdida de ingresos, interrupciones operativas y reclamaciones en su contra, las empresas tenderán a recurrir cada vez más a soluciones aseguradoras ciber a medida y no confiar sólo en las cláusulas “silenciosas” de otras pólizas. Esto se extenderá más allá de los compradores tradicionales de seguros cibernéticos de sectores como minorista, financiero y sanitario, a otros también vulnerables a la disrupción empresarial derivada de ataques cibernéticos, como fabricación, transporte, servicios públicos, petróleo o gas.
- Los Chief Risk Officer (CRO) se posicionarán para gestionar el ciber riesgo como un riesgo de negocio. Dado que los ciberataques sofisticados generan consecuencias en el mundo real que afectan las operaciones comerciales a una escala creciente, los miembros del C-suite serán cada vez más conscientes del riesgo para el negocio. En 2018 se espera que los CRO se sienten en el comité de ciberseguridad, trabajando en estrecha colaboración con los CISOs (Chief Information Security Officers) para ayudar a las organizaciones a comprender el impacto holístico del riesgo cibernético en el negocio.
- La legislación será cada vez más severa (GDPR, NIS, SPD…). En 2018, los reguladores a nivel internacional, nacional y local aplicarán de manera más estricta las regulaciones de ciberseguridad existentes y aumentarán las presiones de cumplimiento sobre las compañías al introducir otras nuevas. Se espera que la Comisión Europea exija responsabilidades a importantes compañías estadounidenses y globales por violaciones de la GDPR. Al otro lado del Atlántico, las organizaciones de big data estarán bajo escrutinio sobre cómo están recogiendo, utilizando y garantizando los datos. Bajo la carga de las presiones regulatorias cada vez mayores, las organizaciones sectoriales presionarán a los reguladores, pidiendo alineación.
- Las PYMES que prestan servicio a las grandes corporaciones estarán en el punto de mira de los cibercriminales. En 2018, las organizaciones globales deberán considerar las complejidades cada vez mayores en lo que respecta a la forma en que las empresas están utilizando el IoT en relación con la gestión de riesgos de terceros. Sin embargo, el informe predice que esto no sucederá, y como resultado, se espera que alguna compañía grande se hunda por un ataque a un pequeño proveedor o contratista basado en IoT, usándolo como una forma de entrar a su red. Esto va a suponer que las grandes corporaciones serán más exigentes en las responsabilidades requeridas a sus proveedores.
- Tanto las contraseñas como la biometría física son vulnerables y esto contribuirá a promocionar la autenticación de factor múltiple. El informe anticipa que cada vez serán más las empresas que adopten la autenticación de factor múltiple para combatir el ataque a las contraseñas y los ataques a factores biométricos. Esto requerirá que las personas presenten varias pruebas ante el sistema de autenticación. Dada esta necesidad y la demanda de los consumidores para no utilizar capas de seguridad intrusivas, se espera la implementación de factores biométricos de comportamiento.
- Los delincuentes tendrán como objetivo transacciones que utilizan puntos como moneda, estimulando la adopción generalizada de programas de bug bounty. Empresas de sectores diferentes a los de tecnología, administración pública, automoción y servicios financieros introducirán plataformas de bug bounty en sus programas de seguridad, entre ellas empresas con programas de fidelidad, regalos y recompensas, como líneas aéreas, minoristas y proveedores de hospitality, ya que los delincuentes se dirigen a transacciones que usan puntos como moneda. A medida que más organizaciones adopten los programas, necesitarán el apoyo de expertos externos para evitar la introducción de nuevos riesgos con programas configurados incorrectamente.
- Las criptomonedas seguirán incentivando la industria del ransomware. En 2018, los criminales ransomware desarrollarán nuevas tácticas de ciberextorsión. Los informes predicen que los atacantes que utilizan formas de malware benigno, como el software diseñado para causar ataques DDoS o publicar anuncios en miles de sistemas, lanzarán grandes ataques de ransomware. Aunque los atacantes continuarán lanzando ataques dispersos para interrumpir tantos sistemas como sea posible, el informe anticipa un aumento de los ataques dirigidos a compañías específicas y exigiendo pagos de ransomware proporcionales al valor de los activos encriptados. Las criptomonedas continuarán respaldando la floreciente industria del ransomware en general, a pesar de que las autoridades avanzan en su capacidad de rastreoa través de carteras bitcoin, etc.
- Los riesgos internos seguirán siendo un problema para las organizaciones, que subestiman su gran vulnerabilidad y responsabilidad, ya que los ataques potenciales más importantes no son detectados. En 2017, las empresas no invirtieron suficiente en estrategias proactivas de mitigación de riesgos internos, y 2018 no será diferente. Según el informe, debido a la continua falta de formación en seguridad y controles técnicos, junto con la dinámica cambiante de las plantillas actuales, la magnitud de los ciberataques e incidentes causados por personas con información privilegiada no se harán completamente públicos. Muchas compañías continuarán respondiendo de manera reactiva a los incidentes a puerta cerrada y desconocerán el verdadero coste e impacto del riesgo interno en la organización.