En los círculos que manejan los códigos de seguridad de la información, el año 2014 ha sido uno que parece ser el inicio de una corriente interminable de ciberamenazas y violaciones de datos, que afectan a minoristas, bancos, redes de juego, los gobiernos y muchos más.
El año calendario puede estar llegando a su fin, pero podemos esperar que el tamaño, la gravedad y la complejidad de las amenazas informáticas continúen aumentando, dice Steve Durbin, director gerente del Foro de Seguridad de la Información (ISF) , una asociación sin fines de lucro que evalúa la seguridad y cuestiones de gestión de riesgos.
De cara a 2015, Durbin dice la ISF ve cinco tendencias de seguridad que dominarán el año. He aquí las tres primeras
1. Delito Cibernético
El Internet es un coto de caza cada vez más atractivo para los delincuentes, los activistas y los terroristas motivados a hacer dinero, llamar la atención, causar interrupción o incluso derribar corporaciones y gobiernos a través de ataques en línea, dice Durbin.
“En el 2014 vimos a los cibercriminales demostrar un mayor grado de colaboración entre ellos y un grado de competencia técnica que agarró desprevenidas a muchas organizaciones grandes”, dice Durbin.
“En 2015, las organizaciones deben estar preparados para lo impredecible por lo que tienen la resistencia necesaria para soportar, eventos de alto impacto imprevistos”, añade. “Ciberdelincuencia, junto con el aumento de causas en línea (hacktivismo), el aumento en el costo de cumplimiento para hacer frente al aumento en los requerimientos regulatorios, y con los avances incesantes en la tecnología en un contexto de falta de inversión en los departamentos de seguridad, todo puede combinar la tormenta perfecta”.
-Las organizaciones que identifican en lo que se basa el negocio estarán en condiciones de cuantificar el caso de negocios para invertir en la capacidad de recuperación, por lo tanto, reducir al mínimo el impacto de lo imprevisto.
2-Privacidad y regulaciones legales
La mayoría de los gobiernos ya han creado, o están en el proceso de creación, de las regulaciones que imponen condiciones sobre la salvaguardia y el uso de información de identificación personal (PII), con sanciones para las organizaciones que no se protegen lo suficientemente. Como resultado de ello, señala Durbin, las organizaciones necesitan tratar la privacidad como una cuestión del riesgo de cumplimiento y de negocios, con el fin de reducir las sanciones reglamentarias y los costos empresariales, como daño a la reputación y la pérdida de clientes debido a violaciones a la privacidad.
“Estamos viendo un aumento de los planes para la regulación en torno a la recogida, almacenamiento y uso de la información, junto con penas severas para la pérdida de datos y la notificación de las infracciones especialmente en la Unión Europea”, dijo Durbin. “Hay que esperar que esto continúe y desarrollar aún más la imposición de una sobrecarga en la gestión regulatoria más allá de la función de seguridad y necesariamente incluyendo legal, de recursos humanos y la entrada de nivel de la Junta.”
Y añade que las organizaciones deben considerar a las luchas de la UE con la regulación de violación de datos y regulación de la privacidad como un indicador de la temperatura y planificar en consecuencia.
“Los reguladores y los gobiernos están tratando de involucrarse”, dice. “Eso supone una carga mayor en las organizaciones. Ellos necesitan tener recursos en lugar de responder y tienen que ser conscientes de lo que está pasando. Si tienes un abogado, usted va a empezar a hacer un mayor uso de ello . Si no lo hace, sepa que hay un costo”.
3- Amenazas de terceros
Las cadenas de suministros son un componente vital de las operaciones de negocios globales de cada organización y la columna vertebral de la economía de hoy. Sin embargo, dice Durbin, los jefes de seguridad de todo el mundo están cada vez más preocupados por cuán abiertos están a numerosos factores de riesgo. Una gama de información valiosa y sensible a menudo se comparten con los proveedores, y cuando se comparte esa información, se pierde el control directo. Esto conduce a un aumento del riesgo de su confidencialidad, integridad o disponibilidad.
Incluso conexiones aparentemente inocuas pueden ser vectores de ataque. Los atacantes que tronaban Target explotaban una aplicación de servicios web que un proveedor de climatización de la compañía utiliza para presentar las facturas.
“Durante el próximo año, los proveedores de terceros seguirán bajo presión de los ataques dirigidos y es improbable que sean capaces de ofrecer garantías de confidencialidad, integridad y / o disponibilidad”, dice Durbin.
“Las organizaciones de todos los tamaños necesitan pensar en las consecuencias de un proveedor que proporciona accidentalmente el acceso a su información de propiedad intelectual, tanto del cliente, o del empleado; los planes o negociaciones comerciales. Y este pensamiento no deben limitarse a los socios de fabricación o distribución. Sino también debe abarcar a sus proveedores de servicios profesionales, sus abogados y contadores, todos los cuales comparten el acceso a menudo a sus activos de datos más valiosos “.
Durbin añade que especialistas infosec deben trabajar en estrecha colaboración con los responsables de la contratación de servicios para llevar a cabo la debida diligencia a fondo sobre los arreglos posibles.
“Es imperativo que las organizaciones tengan planes de continuidad de negocio sólidos para impulsar tanto la capacidad de recuperación y la confianza de la alta dirección en las capacidades de las funciones'”
“Un enfoque bien estructurado de evaluación de riesgos información sobre la cadena de suministro puede proporcionar un detallado proyecto. Este método debe ser impulsado por la información, y no centrada en el proveedor, por lo que es escalable y repetible en toda la empresa “.