Por César Pallavicni Z., CEO de Pallavicini Consultores.
Fuente Gráfico Check Point Research (CPR) División Inteligencia.
Un enfoque en las leyes de privacidad, los ataques de ransomware, los sistemas ciberfísicos y el escrutinio a nivel de la junta están impulsando las prioridades de los líderes de seguridad de la información (que incluye la ciberseguridad) y riesgo operacional.
En Chile, en 2021 tuvimos un aumento exponencial en los ciberataques, siendo el sector financiero y retail principalmente afectados, y si consideramos que empresas medianas fueron atacadas por el tipo de fraude BEC (Business Email Compromise), donde los ciberdelincuentes obtuvieron varios millones de dólares, y que, por otra parte, estamos a la espera de leyes que regulen la ciberseguridad y la promulgación de la reforma de la Ley de Protección de Datos Personales y algunas empresas miran tímidamente qué pasa con GPDR en Europa, es obvio que hay mucho que avanzar, siendo fundamental la toma de conciencia de directivos para la aprobación de presupuestos de inversión y gasto, coherentes con el tamaño de empresa y con las cifras a nivel mundial de los ciberdelitos que, se dice, ya supera los ingresos del tráfico de droga.
Los analistas de Gartner (https:// www.gartner.com/en/ articles/the-top-8-cybersecurity-predictions-for-2021-2022) predicen más implicancias de descentralización, regulación y seguridad en los próximos años y aconsejan incorporar estos supuestos de planificación estratégica en su hoja de ruta para este año.
A continuación, me permito resumir algunas de las predicciones que creo son más relevantes para nuestro país:
1. Para fines de 2023, las leyes de privacidad modernas cubrirán la información personal del 75% de la población mundial. GDPR fue la primera legislación importante para la privacidad del consumidor, pero fue seguida rápidamente por otras, incluida la Ley General de Protección de Datos Personales (LGPD) de Brasil y la Ley de Privacidad del Consumidor de California (CCPA). El gran alcance de estas leyes sugiere que se administrarás múltiples leyes de protección de datos en varias jurisdicciones, y los clientes querrán saber qué tipo de datos está recopilando y cómo se están utilizando. Estandarice las operaciones de seguridad de la información utilizando GDPR como base y luego ajuste para las jurisdicciones individuales y locales de cada país.
2. Para 2024, las organizaciones que adopten una arquitectura de malla de ciberseguridad reducirán el impacto financiero de los incidentes de seguridad en un promedio del 90%. Las organizaciones ahora admiten una variedad de tecnologías en diferentes lugares, por lo que necesitan una solución de seguridad flexible. La malla de ciberseguridad se extiende para cubrir identidades fuera del perímetro de seguridad tradicional y crear una visión holística de la organización. También ayuda a mejorar la seguridad para el trabajo remoto. Estas demandas impulsarán la adopción en los próximos dos años.
3. Para 2024, el 30% de las empresas adoptará las capacidades Secure Web Gateway (SWG), Cloud Access Security Brokers (CASB), Zero Trust Network Access (ZTNA) y Firewall As A Service (FWaaS) entregadas en la nube del mismo proveedor. Las organizaciones se están inclinando hacia la optimización y la consolidación.
4. Para 2025, el 60% de las organizaciones utilizará el riesgo de ciberseguridad como determinante principal en la realización de transacciones de terceros y compromisos comerciales. Los inversores, especialmente los capitalistas de riesgo, están utilizando el riesgo de ciberseguridad como un factor clave en la evaluación de oportunidades. Cada vez más, las organizaciones recurren al riesgo de ciberseguridad durante los acuerdos comerciales, y contratos de servicios, incluidas las fusiones y adquisiciones.
5. Para 2025, el 40% de las juntas directivas y/o directorios tendrán un comité de ciberseguridad dedicado supervisado por un miembro calificado de la junta. A medida que la ciberseguridad se convierte (y sigue siendo) lo más importante para las juntas, espere ver un comité de ciberseguridad y una supervisión y escrutinio más estrictos, sobre todo para las industrias más reguladas por la CMF (Comisión para el Mercado Financiero).
6. Para 2025, el 70% de los CEOs exigirá una cultura de resiliencia organizacional para sobrevivir a las amenazas coincidentes de la ciberdelincuencia, los eventos climáticos severos, los disturbios civiles y las inestabilidades políticas. Vaya más allá de la ciberseguridad y entre en la resiliencia organizacional para tener en cuenta entornos de seguridad más amplios. Trabajar para definir la resiliencia y los objetivos de la organización, y crear un inventario de los riesgos cibernéticos que los afectan
Finalmente, invitamos a las empresas a reflexionar sobre el futuro inmediato en materia de avances tecnológicos que representan beneficios pero que traen nuevas vulnerabilidades que se deben considerar; nuestro estado de madurez no puede seguir en el rango de 150 empresas certificadas en Gestión de Seguridad de la Información bajo la norma internacional ISO 27001.
