Principales Conclusiones: 8 áreas de riesgo
- Tecnología – Aunque la tecnología ha revolucionado la forma en la que las organizaciones gestionan su negocio en la actualidad, su mayor uso también implica una mayor vulnerabilidad. Desde la publicidad a la automoción, todos los sectores están desarrollando nuevos servicios y modelos de negocio. Estas oportunidades generan también un conjunto de riesgos radicalmente diferente, que las organizaciones deben anticipar y gestionar dentro de sus procesos de transformación digital.
- Cadena de Suministro - Dos tendencias principales relacionadas con la cadena de suministro intensificarán de forma importante los ciber riesgos durante el próximo año: una es la rápida expansión de los datos operativos expuestos a los ciber delincuentes desde dispositivos móviles, de red y el Internet of Things (IoT); otra es la tendencia creciente por parte de las empresas a confiar en terceras partes y proveedores de servicios externos. Ambas tendencias ofrecen a los atacantes nuevas brechas en la cadena de suministro y requieren una gestión de riesgos a largo plazo y con implicación de la alta dirección si se quieren llevar a cabo operaciones comerciales fiables y viables.
- IoT – Los dispositivos IoT están en todas partes, y cada uno de ellos en el lugar de trabajo supone un potencial riesgo para la seguridad. Muchas organizaciones no gestionan de forma segura o ni siquiera cuentan con un inventario que incluya todos los dispositivos IoT relacionados con su negocio, lo que ya está derivando en grandes brechas de seguridad. A medida que pasa el tiempo, el número de terminales IoT se incrementa drásticamente, algo facilitado por el lanzamiento actual de dispositivos IoT y la próxima transición al 5G.
- Operaciones de Negocio – La conectividad a Internet mejora de forma significativa las tareas operativas pero una mayor conectividad también genera nuevas vulnerabilidades. La superficie de ataque se amplía de forma importante, facilitando a los atacantes el movimiento lateral dentro de una red completa. Además, los accesos directos operativos o los procesos de backup inefectivos pueden amplificar aún más el impacto de un ciberataque. Las organizaciones deben conocerse mejor y estar preparadas para el ciber impacto derivado de una mayor conectividad.
- Empleados – Los empleados siguen constituyendo una de las causas más comunes de brechas de seguridad, aunque muchas veces ellos mismos no son conscientes de la amenaza que suponen para la ciberseguridad de su organización. A medida que la tecnología continúa impactando en todas las funciones, desde el CEO a los recién incorporados, es fundamental que la organización establezca un enfoque integral para mitigar los riesgos internos, incluyendo una sólida gestión de datos, políticas de comunicación en materia de ciberseguridad e implementación de controles efectivos de acceso y protección de datos, así como de servicios de concienciación.
- Fusiones y Adquisiciones – Las previsiones anticipan que el valor de las operaciones de fusión y adquisición habrán alcanzado los 4 billones de dólares en 2018, lo que supone la cifra más alta en cuatro años. El problema que esto plantea a las empresas que adquieren otros negocios es que mientras ellos pueden tener un enfoque correcto en relación con la gestión de riesgos relacionados con la ciberseguridad, no existe garantía de que sus objetivos de compra también lo tengan. Los negociadores deben contar con una estrategia específica de ciberseguridad en sus planes de fusiones y adquisiciones si quieren garantizar una transición sin problemas en el futuro.
- Regulación – Mayor regulación, leyes, normas y estándares relacionados con cuestiones ciber se están diseñando para proteger y aislar negocios y clientes. El ritmo de la presión regulatoria se ha incrementado en 2018, fijando el escenario para un mayor riesgo de cumplimiento en 2019. La regulación y el cumplimiento, no obstante, no pueden constituir el único objetivo. Las organizaciones deben mantener un equilibrio entre las nuevas regulaciones y la evolución de las amenazas cibernéticas, lo que requerirá de un seguimiento desde todos los ángulos.
- Comité de Dirección – La negligencia en materia de ciberseguridad continúa siendo un punto importante para los comités de dirección y administradores, pero la historia reciente muestra un aumento de los riesgos personales. La alta dirección debe seguir ampliando su foco y manteniendo un enfoque exigente dentro de la compañía, no solo en relación con las acciones desarrolladas tras un incidente sino también en lo relativo a la preparación y planificación.