EY se refiere a la organización global, y puede referirse a una o más, de las firmas miembro de Ernst & Young Global Limited, cada una de las cuales es una entidad legal separada. Ernst & Young Global Limited, una compañía británica limitada por garantía, no presta servicios a los clientes.
Los Fondos Europeos puestos al servicio de la digitalización de la economía española suponen un fuerte impulso para las empresas y la economía española.
Echando la vista atrás, el año 2022 empezó siendo el año en el que el cibercrimen se convirtió en una de las mayores preocupaciones de los máximos órganos de dirección de todas las empresas. En el transcurso del año se confirmaron todos los miedos. Empresas de todo tipo de tamaños y sectores han sufrido ciberataques con afectaciones graves para su actividad. El volumen de ciberataques graves a organizaciones españolas se ha incrementado a tal extremo que se ha perdido sus efectos de concienciación. Se da por hecho que seguirán sucediendo y que cada vez más organizaciones van a ser impactadas, cuando el esfuerzo de la transformación digital está en su momento de mayor apogeo.
Este año 2023 las nuevas tecnologías como inteligencia artificial, analítica avanzada de datos, robotización, hiperconectividad de las cosas (5G/IoT), Industria 4.0, metaverso o cloud serán (si no lo son ya) una realidad en todos los ámbitos de la empresa. En este sentido, los Fondos Europeos puestos al servicio de la digitalización de la economía española están suponiendo un fuerte impulso para las empresas y la economía española. Es el momento en el que se ha puesto mayor inversión en la modernización y la digitalización de las empresas, incluso de las pequeñas y medianas y, por tanto, el alcance de ciberseguridad se deberá ampliar a prácticamente todas ellas, siendo conscientes de los retos que supone incorporar principios de ciberseguridad a este proceso de transformación empresarial, gestionado de una forma rápida y relevante.
Las ciberamenazas que se esperan aprovecharán esta intensificación de la tecnología en el tejido empresarial y tendrán una clara influencia por las situaciones geopolíticas y sociales, como la guerra (también comercial y cibernética), la pérdida de confianza, la recesión económica, la sombra de la pandemia, la crisis energética, los efectos naturales extremos, el activismo social o la falta de recursos esenciales en la cadena de suministro del progreso tecnológico.
Los ataques serán más sofisticados y numerosos
El cibercrimen seguirá siendo un negocio “rentable” y “seguro” para el crimen organizado y, no solo marcará máximos históricos, sino que se consolidará el ofrecer esta actividad ilegal como servicio. Dicho de otra manera, el crimen organizado no solo atacará a empresas y particulares, sino que también se encargará de crear, industrializar y “comercializar” los recursos y herramientas necesarias para que cualquier persona, sin un conocimiento técnico avanzado, pueda realizar un ciberataque sofisticado a cualquier empresa. Un claro ejemplo de este tipo de actividades será el ransomware como servicio (extorsión a través del cifrado de datos), donde se proporcionan los recursos necesarios, como programas maliciosos fácilmente parametrizables, información de compañías o credenciales (contraseñas) robadas que son necesarias para perpetrar el ataque donde se desee, entre otros.
Adicionalmente, las tecnologías emergentes también jugarán un papel clave en la sofisticación e industrialización de los ataques. La inteligencia artificial y la analítica avanzada de datos ya permiten la evolución automática de los ataques para ser más dañinos y efectivos a la hora de engañar a los usuarios.
Pero no todo son malas noticias. El tiempo seguirá siendo el gran aliado de los profesionales que luchan contra el cibercrimen. En general, los atacantes tardan días, semanas o meses en realizar un ataque y dejan rastros de toda su actividad. La monitorización de comportamientos sospechosos en los sistemas de información empresariales, la detección temprana de ataques a través de servicios de inteligencia y la reducción de los tiempos de respuesta serán clave para las empresas.
Es el momento de la inversión en ciberseguridad, de aprovechar también los Fondos Europeos en mejorar la actividad preventiva y proactiva de empresas, administraciones públicas y ciudadanos para estar mejor preparados.
Gestión de crisis y continuidad del negocio ante ciberataques
Una de las peores pesadillas de las empresas seguirá siendo la paralización de sus operaciones por un ciberataque. En este sentido, será fundamental la preparación de las organizaciones para minimizar los tiempos de respuesta ante un eventual incidente por parte de todos los niveles organizativos.
Este año se incrementará la realización de ciberejercicios, con especial foco en las posiciones directivas, simulando situaciones de crisis causadas por un ciberataque donde se entrene la toma de decisiones ágil y se ensayen los procedimientos de continuidad de negocio ante este tipo de contingencias. En este sentido, es importante que las organizaciones analicen cómo actuar en caso de estos incidentes e incluso prepararse para actuar ante situaciones de impacto en la operativa de los sistemas, que tardan semanas en recuperar su actividad.
Menos contraseñas y confianza cero para prevenir fugas de información
A medida que la tecnología avanza, se multiplica la coexistencia del número de contraseñas que un usuario debe manejar. Hecho que supone en sí una debilidad, dado que no se pueden recordar múltiples contraseñas diferentes. Existe una tendencia clara para minimizar, o incluso eliminar, la utilización de las contraseñas como mecanismo de autenticación que veremos materializado en este año.
Es importante destacar que esta tendencia coincide con la progresiva eliminación del perímetro de seguridad corporativo de los sistemas de información, debido en gran parte a la normalización del teletrabajo y la utilización intensiva de tecnologías como cloud o móvil. El acceso a los datos empresariales desde cualquier lugar hace ver con gran preocupación el riesgo de fugas de información. Por este motivo, este año se incrementarán los sistemas de acceso a la información basados en la confianza cero (zero trust) que no confían en el usuario o el dispositivo por demostrar que está dentro del perímetro corporativo para otorgar los accesos a la información, sino que, cambiando el paradigma, los proporciona en función de algoritmos que calculan la credibilidad de usuarios y dispositivos lícitos a partir de sus características técnicas y el historial de sus comportamientos.
Seguridad en la cadena de suministro
Durante 2022 hemos visto que varias empresas han sido atacadas a través de sus proveedores de servicios y productos. Durante este año que empezamos seguirá en el punto de mira la necesidad de gestionar y certificar la seguridad de las terceras empresas que proveen servicios o productos (supply chain), como prolongación de nuestro nivel de protección y será clave en la protección y respuesta ante ciberataques de la propia empresa.
Seguridad en el ámbito industrial
Como ya se indicó en la anterior edición, los ciberataques dirigidos al ámbito industrial y logístico (entornos OT) han seguido creciendo, causando estragos en muchas compañías. Durante este año que dejamos atrás muchas organizaciones han empezado a transformar la ciberseguridad de estos entornos. Sin embargo, seguirá siendo uno de los principales focos del cibercrimen y merecerán una estrategia de ciberseguridad, así como una dotación presupuestaria específica y significativa.
Las personas serán un cortafuegos eficaz
Las personas configuran el eslabón más débil en cualquier estrategia de ciberseguridad empresarial. Este año seguirán incrementándose los ataques de ingeniería social como el phishing o el fraude al CEO (conseguir transferencias económicas fraudulentas a través de la suplantación de responsables de la propia organización que autorizan la transacción). La tecnología que se utiliza por parte del cibercrimen para realizar estos ataques sigue evolucionando y ya están al alcance de muchos las herramientas de Deepfake (suplantación de identidad a través de la modificación de imágenes o voces utilizando técnicas de Inteligencia Artificial). Todo este contexto requiere que los departamentos de gestión de personas jueguen un papel clave para asegurar una concienciación y un entrenamiento continuo y efectivo a todos sus empleados a través de métodos innovadores.
El año 2023 será un año repleto de retos para conseguir un negocio resiliente a los ciberataques. Resiliencia que cada día es más decisiva para consolidar una verdadera transformación digital empresarial. Para conseguirlo, será clave invertir en una estrategia de ciberseguridad a corto, medio y largo plazo para anticiparse a las ciberamenazas.
Resumen
El volumen de ciberataques graves a organizaciones españolas se ha incrementado a tal extremo que se ha perdido sus efectos de concienciación. Se da por hecho que seguirán sucediendo y que cada vez más organizaciones van a ser impactadas, cuando el esfuerzo de la transformación digital está en su momento de mayor apogeo.
Artículos relacionados
El año de la consolidación de la ciberseguridad como estrategia competitiva
Las amenazas de ciberseguridad derivadas de la digitalización aumentarán en nuestra vida personal y en nuestros negocios durante 2022.