Según la edición de 2018 del Informe de predicciones de ciberseguridad realizado por los especialistas en Soluciones Cibernéticas de Aon, la creciente amenaza de los ataques cibernéticos en todos los aspectos del negocio y su crecimiento en términos de recurrencia y alcance, obligará a las empresas a implementar nuevas medidas para abordar el riesgo cibernético "holístico", integrándolos completamente en las políticas de gestión de riesgos.
Il Informe de Predicciones de Ciberseguridad 2018 indica cuáles serán los cambios significativos, derivados precisamente del aumento del tamaño e impacto de los ciberataques, asociado a la mayor responsabilidad que las empresas están llamadas a asumir en el ámbito de la ciberseguridad.
Principales hitos del “Informe de Predicciones de Ciberseguridad 2018”:
- Las empresas estipularán pólizas de seguro 'stand alone', ya que los Consejos de Administración y los ejecutivos serán más conscientes de sus responsabilidades también en el ámbito cibernético.
A medida que los miembros de la junta y los ejecutivos experimentan de primera mano el impacto de los ataques cibernéticos, que incluyen, por ejemplo, la reducción de las ganancias, la interrupción del negocio y las demandas contra los directores y gerentes, las empresas recurrirán cada vez más a pólizas de seguro hechas a la medida contra el riesgo cibernético, en lugar de confiar en silencio. componentes de otras políticas. Además, la adopción de políticas cibernéticas se extenderá mucho más allá de los sectores en los que se crearon tradicionalmente, como el comercio minorista, el financiero y el de la salud, e involucrará a otros sectores vulnerables a la interrupción del negocio causada por problemas relacionados con la cibernética, como la fabricación, el transporte, servicios públicos y petróleo.
- Los directores de riesgos asumirán un papel central en la gestión del riesgo cibernético, que se tratará cada vez más como un riesgo comercial a medida que converjan los mundos real y digital..
A medida que los ataques cibernéticos avanzados generan consecuencias en el mundo real, con un impacto cada vez mayor en las operaciones comerciales, los altos ejecutivos serán más conscientes de la relevancia del riesgo cibernético. En 2018, se espera que los CRO se involucren en la gestión de problemas cibernéticos, trabajando en estrecha colaboración con los directores de seguridad de la información (CISO), para ayudar a las organizaciones a comprender el impacto del riesgo cibernético en los negocios.
- La atención de las Autoridades se amplía a dinámicas cada vez más complejas, generando pedidos de armonización. La Unión Europea pide a las empresas internacionales que informen cualquier violación del Reglamento General de Protección de Datos (GDPR); en los EE. UU., se auditarán los agregadores de big data.
En 2018, las Autoridades a nivel internacional, nacional y local aplicarán de forma más estricta la normativa existente en materia de ciberseguridad y aumentarán la presión sobre las empresas para que hagan cumplir las normas, introduciendo también otras nuevas. En el futuro, se espera que las autoridades europeas responsabilicen a las principales empresas estadounidenses y mundiales por violaciones del RGPD. Al otro lado del Atlántico, las empresas de 'grandes datos' (ya sea que los recopilen o los vendan) estarán sujetas a un escrutinio sobre cómo recopilan, usan y protegen los datos. Bajo el peso de las crecientes presiones regulatorias, las organizaciones de la industria solicitarán a las autoridades que armonicen varias regulaciones de seguridad cibernética.
- Los piratas informáticos están listos para atacar empresas activas bajo laInternet de los objetos (IO), especialmente las pequeñas y medianas empresas que prestan servicios a empresas globales.
En 2018, las empresas globales enfrentarán mayores complejidades en el uso deInternet de las Cosas, relativo a la gestión del riesgo de terceros. El Informe predice que las grandes empresas se verán afectadas y desafiadas por los ataques dirigidos contra su pequeño proveedor o contratista, que apuntará a la IoT para penetrar en sus redes. Esto representará una llamada de atención que llevará, por un lado, a las empresas a revisar su enfoque de la gestión de riesgos de terceros y, por otro lado, empujará a las pequeñas y medianas empresas a implementar mejores medidas de seguridad, para no sufrir pérdidas comerciales.
- El descifrado continuo de contraseñas y la omisión de los sistemas de reconocimiento biométrico aumentarán la importancia de los sistemas de autenticación multifactor.
Más allá de las contraseñas, las empresas están introduciendo nuevos métodos de autenticación, desde el reconocimiento facial hasta las huellas dactilares. Sin embargo, estas tecnologías siguen siendo vulnerables y, por ello, el Informe Aon prevé que una nueva ola de empresas adoptará la autenticación multifactor para contrarrestar el asalto a las contraseñas y los ataques a los sistemas biométricos. Luego, las personas tendrán que proporcionar múltiples datos al dispositivo de autenticación. Por lo tanto, se espera un uso cada vez mayor de la biometría del comportamiento.
- Los piratas informáticos apuntarán a las transacciones que utilizan puntos de fidelidad como moneda, lo que estimulará el uso generalizado de programas de "recompensa de errores", es decir, programas de recompensa promovidos por empresas dedicadas a cualquier persona que rastree e informe sobre vulnerabilidades del sistema o dispositivo.
Las empresas también fuera de los sectores de tecnología, gobierno, automoción y servicios financieros introducirán plataformas de 'recompensa de errores' en sus sistemas de seguridad. A medida que los delincuentes se enfocan en las transacciones que usan puntos de lealtad como moneda, las empresas que adoptan programas de lealtad que ofrecen recompensas y recompensas, como aerolíneas, minoristas y cadenas hoteleras, contribuirán a la nueva ola de "recompensa de errores" de adopción de programas. A medida que nuevas empresas adopten estos programas, se buscará el apoyo de expertos externos, para evitar la aparición de nuevos riesgos por una configuración inadecuada de los programas.
- Los ataques de ransomware serán más específicos; las criptomonedas contribuirán a la expansión del ransomware.
En 2018, los atacantes de ransomware cambiarán sus tácticas. El Informe indica que los piratas informáticos, que utilizan diversas formas de malware "benigno", como el software diseñado para lanzar ataques DDoS (Distributed Denial of Service), ataques a los servidores de la empresa que hacen que los servicios, datos o recursos de una empresa no estén disponibles durante un cierto período de tiempo. organización) o difundir publicidad en miles de sistemas, provocará oleadas masivas de ataques de ransomware. Si bien continuarán los ataques de "alfombra" para atacar la mayor cantidad de sistemas posible, el Informe también estima un aumento de los ataques dirigidos a empresas específicas y destinados a exigir pagos de ransomware proporcionales al valor de los activos cifrados. Las criptomonedas seguirán apoyando el desarrollo de ransomware, a pesar de una mayor capacidad de los organismos encargados de hacer cumplir la ley para rastrear ataques, por ejemplo, a través de billeteras de bitcoin.
- El 'riesgo interno' amenaza a las empresas, que subestiman su vulnerabilidad, mientras que los grandes ataques pasan completamente desapercibidos.
Las empresas no invirtieron lo suficiente en estrategias proactivas para mitigar los riesgos internos en 2017 y este fenómeno se repetirá en 2018. Según el Informe de Aon, la falta de formación en el ámbito de la seguridad y los controles técnicos, unida a las nuevas tendencias laborales (smart working, consultores externos, freelancers), hará que el alcance real de los ataques y ciberproblemas provocados por los trabajadores no se reduzca ser de dominio público. Muchas empresas seguirán respondiendo de forma reactiva a los incidentes "a puertas cerradas" y seguirán sin conocer el coste real y el impacto del riesgo interno en su organización.
Jason J. Hogg, director ejecutivo de Aon Cyber Solutions dijo: “En 2017, los atacantes cibernéticos crearon un daño significativo usando diferentes palancas, desde suplantación de identidad que influyeron en las campañas electorales, hasta los 'criptogusanos ransomware' que se infiltraron en los sistemas a escala global. En 2018, las empresas estarán cada vez más expuestas al riesgo cibernético, dado el mayor uso de tecnologías y el valor creciente de los activos intangibles. Será necesario, por tanto, adoptar un enfoque integrado de la ciberseguridad, tanto dentro de la cultura corporativa como de las políticas de gestión de riesgos, que permita evaluar y mitigar el riesgo en todas las funciones de la empresa”.
Enrico Vanin, director general de Aon SpA y Aon Hewitt Risk&Consulting comentó: “En Italia, la mayoría de las empresas son conscientes del impacto de los ataques cibernéticos en los negocios, pero todavía hay algunas virtuosas que ya han adoptado estrategias adecuadas para la evaluación de riesgos y la transferencia al mercado de seguros. El RGPD, que entrará en vigor en mayo, con sus implicaciones en materia de responsabilidad en materia de protección de datos, será la herramienta que en cierta medida exigirá a las empresas la evaluación de su vulnerabilidad y la definición de la adopción de una política compartida de gestión del ciberriesgo. Por otro lado, el mercado asegurador está llamado a dar respuesta a nuevas necesidades desarrollando nuevos productos y soluciones”.
