Infosecurity Europe -el mayor evento europeo dedicado a la seguridad, que este año celebra su 25º aniversario- ha preguntado a su comunidad de profesionales de seguridad de nivel corporativo su opinión acerca de lo que nos deparará el nuevo año. La lista incluye diversos retos, oportunidades y tendencias amplias en los ámbitos de la tecnología, las empresas y la sociedad en general.
Muchos de los CISO destacaron los riesgos que entrañan las tecnologías emergentes cuya adopción se espera que crezca en 2020. Peter Gooch, partner de riesgos cibernéticos de Deloitte, señala lo siguiente: “En 2020 se producirán más implementaciones de herramientas de automatización de la seguridad. Si estas se realizan de forma adecuada, las organizaciones podrán adaptarse rápidamente a las cambiantes tácticas de ataque. Si no se realizan correctamente, será más complicado combatirlas”.
Los responsables de seguridad prevén las tendencias, retos y riesgos principales para este año destacan deuda técnica, credential stuffing y control de accesos
“Aumentará la demanda de transparencia a la hora de contratar servicios de nube, lo que exigirá que los proveedores expongan más datos y eventos para su consumo por parte de herramientas SIEM, y evidencien prácticas de seguridad y capacidades más próximas al tiempo real. Los hackers dirigen cada vez más su actividad hacia los datos no estructurados para ocultar y lanzar ataques, por lo que la prioridad es implementar un control robusto”.
“Más de 100 empresas de todo el mundo comenzarán a comprobar 5G privada para finales de 2020, lo que podría aumentar la superficie de ataque y dificultar el seguimiento de los flujos de datos y la tarea de los responsables de protegerlos”.
Mark D. Nicholls,responsable de seguridad y control de la información de la asociación inmobiliaria Peabody, apunta hacia las vulnerabilidades provocadas por la Inteligencia Artificial (AI) e Internet de las Cosas (IoT). “Si bien el aprendizaje automático se ha consolidado en 2019 y comenzaremos a entrar de lleno en la AI en 2020, hay que recordar que todo lo que puede utilizarse para hacer el bien también puede utilizarse para hacer el mal. Imaginen un ataque DDOS respaldado por una verdadera tecnología de AI”, advierte.
“Conforme los consumidores avancen hacia un mundo más inteligente y conectado, veremos más ataques dirigidos a dispositivos conectados como medio para conseguir un objetivo mayor. Aunque no se trata de algo nuevo, la superficie de ataque será mayor. Debemos seguir educando para garantizar que los seres humanos sean nuestra línea de defensa más sólida”.
Otro de los temas que más preocupan son los vectores de ataque que tienen más probabilidades de cobrar protagonismo en 2020. Becky Pinkard, CISO del galardonado banco Aldermore, prevé que se produzcan más ataques como consecuencia de la deuda técnica. “Al apostar por atender la demanda de los consumidores y adoptar las nuevas capacidades tecnológicas, la industria está asumiendo más deuda técnica de la que está devolviendo. Creo que vamos a ver más titulares de ataques exitosos como consecuencia de esta deuda creciente y del ‘riesgo de sombra’ que genera. La tendencia hacia la banca abierta en servicios financieros, la incorporación de API, la tecnología de contabilidad distribuida y la AI en una sucesión de desencadenamiento rápido, en la que se busca sobre todo captar la atención del cliente, suele traducirse en que la seguridad pierda puestos en el orden de prioridades a la hora de prestar servicios”.
“Hemos observado un uso masivo de credential stuffing y me pregunto si continuará creciendo conforme aumente la circulación de datos y de combinaciones de nombres de usuario y contraseña”, señala Troy Hunt, director regional de Microsoft, fundador de Have I Been Pwned y nuevo miembro del Hall of Fame 2019 de Infosecurity Europe. “O puede que lleguemos a un punto en el que las organizaciones decidan bloquear algunos intentos de inicio de sesión que utilizan el nombre de usuario y la contraseña correctos pero no proceden de la persona adecuada. En EE UU se está sancionando a ‘corporaciones víctimas’ de credential stuffing. Si las organizaciones no se adaptan, la situación empeorará”.
Por lo que atañe a los enfoques de seguridad que mitigarán los riesgos dominantes en 2020, David Boda, responsable de seguridad de la información de Camelot Group, considera que lo más recomendable es ‘regresar a los principios básicos’. “Los parches y un control de accesos robusto y puntual seguirán siendo las mejores formas de reducir el riesgo para la mayoría de las organizaciones de todos los sectores. Estas son las dos áreas a las que deberían estar prestando atención tanto los proveedores como los consultores y las organizaciones usuarias”.
Killian Faughnan, CISO de grupo de William Hill, coincide en que el control de accesos será muy importante -sobre todo para los centros de trabajo de nueva generación. “El control de accesos resulta difícil de resolver sin pecar de un exceso de restricción o de un exceso de permisividad. Dado que, en 2020, el 35 % del personal estará compuesto por millennials, tenemos que encontrar un equilibrio adecuado para permitir que los empleados trabajen de una forma que les resulte adecuada”.
Colaboración entre empresas
Algunos CISO creen que las soluciones procederán de una colaboración más estrecha del sector. “Creo que va a haber más colaboración entre empresas de seguridad, lo que espero que se traduzca en mayor capacidad de seguridad de extremo a extremo”, señala Mark Nicholls.
Siguiendo un razonamiento similar, Peter Gooch opina que la convergencia será una tendencia clave: “En 2020 podrían producirse adquisiciones y fusiones de gran envergadura, así como una expansión y formalización de los proveedores en un contexto más convergente. Es probable que se produzca algo similar a la revolución ERP, que transformó el funcionamiento de muchos equipos de finanzas y operaciones, lo que podría dar como resultado un modelo operativo más eficiente para los profesionales de la ciberseguridad”.
Dos temas candentes de 2018/2019 ya no son prioritarios para los CISO este año. Uno de ellos es el déficit de habilidades. “Aunque seguirá siendo un tema que nos ocupe”,señala Killian Faughnan, «creo que hemos tocado fondo y que habrá más empresas que comenzarán a contratar a potenciales profesionales de seguridad en lugar de a profesionales ya existentes. Es más fácil formar a un desarrollador para que se convierta en profesional de seguridad de aplicaciones que al revés.
También se ha prestado menos atención al GDPR, probablemente porque el reglamento y su impacto ya no son un terreno desconocido como lo fueron en otro momento. Paul Watts, CISO de Dominos Pizza para Reino Unido e Irlanda, ha observado signos de “apatía hacia las infracciones de seguridad» y se pregunta si en 2020 continuará esta tendencia. «Aunque esto es atribuible en parte a la distracción que supone la política, creo que el sector está denunciando más, pero quizá a la opinión pública le importe menos. Todavía no tengo claro si esto va a ser positivo o negativo para los CISO en la nueva década que comienza…”.
Una pregunta que suele estar en el aire en estas fechas es si estamos a punto de presenciar la ‘megainfracción’ que haga sombra a incidentes destacados como el de Equifax. “Es imposible predecir si se va a producir una infracción de seguridad descomunal que vuelva a poner el mundo patas arriba», reflexiona Troy Hunt. «Si se produce otro incidente como los de Ashley Madison o Equifax, que tuvieron consecuencias graves para la vida de decenas de millones de personas, es posible que ocupe los titulares de los medios de comunicaciones durante bastante tiempo. Sin embargo, estos casos son extremadamente difíciles de prever”.