Este es el mensaje que las ocho principales predicciones de ciberseguridad de Gartner publicadas tienen para los CISO, CIO y líderes de seguridad y gestión de riesgos del mundo. Es un recordatorio aleccionador para los muchos equipos de TI y ciberseguridad que siguen abrumados por el trabajo remoto, la integración de la nube híbrida y los proyectos de transformación digital, que el panorama de las amenazas está cambiando más rápido de lo que la mayoría de las organizaciones pueden reaccionar.
Lo que dicen las predicciones de Gartner
En conjunto, las ocho principales predicciones de ciberseguridad de Gartner advierten a las organizaciones que deben emplear una mayor resiliencia para reducir el impacto de los ciberataques más graves. La clave es reducir el radio de acción de los ataques más grandes y potencialmente devastadores.
Las predicciones llevan implícito el consejo de no centrarse sólo en el ransomware o en cualquier otro tipo de ciberataque que esté de moda en la actualidad, sino de dar prioridad a las inversiones en ciberseguridad como elemento central de la gestión de riesgos y considerarlas como inversiones en el negocio. Para 2025, el 60% de las organizaciones utilizarán el riesgo de ciberseguridad como factor determinante a la hora de realizar transacciones y compromisos comerciales con terceros, según las predicciones de Gartner.
Es fundamental duplicar la capacidad de recuperación en todas las superficies de amenaza. Por ejemplo, aunque Gartner menciona el acceso a la red de confianza cero (ZTNA) en sólo una de las ocho predicciones, los conceptos básicos de ZTNA y sus beneficios se reflejan en la mayoría de las predicciones. Las predicciones también señalan que no basta con invertir en controles preventivos, sino que hay que dar mucha más prioridad a la capacidad de recuperación. Esto se debe a que las superficies de las amenazas crecen más rápido de lo que muchas organizaciones pueden tener visibilidad y protección.
Para 2025, se espera que el 80% de las empresas adopten una estrategia para unificar la web, los servicios en la nube y el acceso a las aplicaciones privadas desde la plataforma de borde de servicio seguro (SSE) de un único proveedor. ZTNA es una de las tecnologías centrales que permiten las plataformas SSE. Para obtener información adicional sobre la relación de SSE y SASE (borde de servicio de acceso seguro) con ZTNA, así como una visión detallada del mercado, consulte la Guía de Mercado Gartner 2022 para el Acceso a la Red de Confianza Cero, por cortesía de Absolute Software.
A continuación, las ocho principales predicciones de Gartner en materia de ciberseguridad para 2022-2023:
– Hasta 2023, las normativas gubernamentales que exigen a las organizaciones que proporcionen derechos de privacidad a los consumidores abarcarán a 5.000 millones de ciudadanos y a más del 70% del PIB mundial. El año pasado, casi 3.000 millones de personas estaban cubiertas por los derechos de privacidad de los consumidores en 50 países, y se está avanzando en la ampliación de las normativas de privacidad a nivel mundial. Gartner sugiere que las organizaciones realicen un seguimiento de las métricas de solicitud de derechos de los sujetos, incluido el coste por solicitud y el tiempo de cumplimiento, para identificar las ineficiencias y justificar la automatización acelerada.
– Para 2025, el 80% de las empresas adoptarán una estrategia para unificar la web, los servicios en la nube y el acceso a las aplicaciones privadas desde la plataforma SSE de un único proveedor. Ya se está produciendo una oleada de actividad en torno a la unificación de la web, los servicios en la nube y las aplicaciones privadas, entre otros. Los proveedores independientes de ZTNA buscan integrarse en las plataformas SSE y SASE, y la actividad de fusiones y adquisiciones sigue aumentando. Palo Alto Networks adquiriendo CloudGenix, Fortinet adquiriendo OPAQ, Ivanti adquiriendo MobileIron y PulseSecure, Check Point Software Technologies adquiriendo Odo Security, ZScaler adquiriendo Edgewise Networks, Cisco adquiriendo Portshift y Absolute Software adquiriendo NetMotion son ejemplos de esta tendencia.
«Una de las tendencias clave que ha surgido de la pandemia ha sido el amplio replanteamiento de cómo proporcionar servicios de red y seguridad a las fuerzas de trabajo distribuidas», afirma Garrett Bekker, analista de investigación senior de seguridad de 451 Research, en su informe de investigación.
– El 60% de las organizaciones adoptarán la confianza cero como punto de partida para la seguridad en 2025. Más de la mitad no logrará obtener los beneficios. El pesimismo de Gartner refleja lo difícil que se está volviendo para las organizaciones asegurar el número exponencialmente creciente de identidades de máquinas que están generando, combinado con los fallos de la gestión de acceso a la identidad (IAM) y de la gestión de acceso privilegiado (PAM) en las organizaciones actuales. Intentar proteger las configuraciones de la nube híbrida con ZTNA mientras se adhiere a los modelos de responsabilidad compartida de los proveedores de la nube pública, incluido Amazon, también ha resultado difícil para muchas organizaciones. Acertar con la seguridad de la nube híbrida es difícil, lo que hace que los intentos de cualquier organización de seguir un marco de ZTNA sean un reto.
– Para 2025, el 60% de las organizaciones utilizarán el riesgo de ciberseguridad como un determinante principal a la hora de realizar transacciones y compromisos comerciales con terceros. Esta predicción implica que la ciberseguridad debe priorizarse como una inversión empresarial, centrándose en la reducción del riesgo operativo. Sin embargo, cuando Gartner observa que los ciberataques dirigidos a terceros están aumentando, sólo el 23% de los líderes de seguridad y riesgo supervisan la amenaza de terceros, lo que demuestra la amplitud de la superficie de ataque que esto deja abierta. Una señal segura de que la ciberseguridad será parte integrante de las operaciones empresariales es que será necesario realizar evaluaciones de riesgo antes de firmar contratos con terceras empresas, una predicción que Gartner considera que se producirá dentro de tres años.
– Hasta 2025, el 30% de los estados-nación aprobarán una legislación que regule los pagos, las multas y las negociaciones por ransomware, frente a menos del 1% en 2021. En la actualidad, las empresas de seguros de ciberseguridad francesas se niegan a pagar un rescate si uno de sus clientes sufre un ataque de ransomware. Gartner predice que los estados-nación seguirán el ejemplo de las aseguradoras cibernéticas francesas y regularán los pagos por ransomware. Esta predicción también muestra hasta qué punto la gestión de riesgos, la disuasión y la resiliencia se están convirtiendo en una decisión empresarial.
– En 2025, los actores de las amenazas habrán convertido en armas los entornos tecnológicos operativos para causar víctimas humanas. Desgraciadamente, las brechas aéreas no son suficientes para proteger las refinerías de energía, petróleo, gas y procesamiento y los centros de fabricación que funcionan con sistemas de control industrial (ICS) no diseñados para protegerse contra los ciberataques. Por ello, no es de extrañar que el 46% de las ciberamenazas de tecnología operativa (OT) conocidas se detecten mal o no se detecten. Además, Honeywell ha descubierto que el 11% no se detecta nunca y que la mayoría de los motores y técnicas de detección sólo detectan el 35% de los intentos de violación.
– En 2025, el 70% de los directores generales exigirán una cultura de resistencia organizativa para sobrevivir a las amenazas coincidentes de la ciberdelincuencia, los fenómenos meteorológicos graves, los disturbios civiles y las inestabilidades políticas. Otra predicción muestra cómo los CEOs están considerando más la ciberseguridad como una cuestión de gestión de riesgos, no puramente de TI. Las llamadas de atención de Gartner deben estar muy orientadas a combatir las estrategias de ciberataque más populares para un mes o periodo determinado, cuando lo que se necesita es un replanteamiento de la pila tecnológica de ciberseguridad para amenazas y riesgos más graves. La priorización de la resiliencia por parte de Gartner muestra que sus clientes quieren una ayuda provisional para los puntos débiles actuales de la ciberseguridad cuando lo que se necesita es una revisión más completa de la pila tecnológica de ciberseguridad.
– Para 2026, el 50% de los ejecutivos de nivel C tendrán requisitos de rendimiento relacionados con el riesgo incorporados en sus contratos de trabajo. Los consejos de administración con visión de futuro empezaron a exigir a los directores generales que rindieran cuentas de sus iniciativas medioambientales, sociales y de gobernanza (ESG) hace más de tres años. El salario de los directores de informática se ha indexado en función de la medida en que sus departamentos contribuyen a reducir los obstáculos para obtener más ingresos y, lo que es más importante, de la medida en que sirven a las ventas para ayudarles a obtener más ingresos. La gestión de riesgos es una habilidad fundamental que un CIO y un CISO necesitan para sobresalir en su trabajo, de la misma manera que un CEO necesita saber cómo sobresalir en las iniciativas ESG. El apoyo de fondo para esta predicción ha ido creciendo constantemente durante años.
Resiliencia en las pilas de tecnología
En conjunto, las ocho predicciones de ciberseguridad son útiles para que los CIO, los CISO y sus equipos empiecen a pensar en cómo están haciendo para ser más resistentes y redefinir sus pilas tecnológicas para hacer frente a tipos de ataques totalmente nuevos. La ciberseguridad se convierte en una decisión de negocio cuando los CISO tienen su sueldo indexado a la gestión de riesgos. Este es un paso en la dirección correcta de ver la resiliencia como un punto fuerte del negocio que hay que mejorar.
CambioDigital OnLine | Fuente Gartner