En estos momentos toca hacer balance de lo que ha sido el año 2021 y tratar de prever lo que sucederá en el 2022.
La parte positiva es que estamos dispuestos a reconfigurar y redefinir nuestras capacidades de detección, de respuesta y de resiliencia ante las amenazas, para identificar los nuevos vectores de ataque, pues no se puede proteger lo que no se puede ver.
Jugando con los años que llevamos de este Siglo XXI, hemos resumido esos nuevos vectores en 22 predicciones que nos han de encontrar preparados para atender a su abordaje y neutralización:
Se priorizará la seguridad en la cadena de suministro
Las organizaciones deberán analizar y darán prioridad a la resistencia de la cadena de suministro y al abastecimiento responsable.
Los autores de las amenazas, principalmente los ciberdelincuentes, están poniendo el foco progresivamente hacia los productores y proveedores más vulnerables o pequeños, lo que provoca que las violaciones de la cadena de suministro, o de terceros, sean casi inevitables.
Se acelerará la legislación sobre privacidad a nivel mundial
Los responsables gubernamentales deberán acelerar los cambios en la legislación y normativa sobre privacidad a nivel mundial.
Dado que la protección de datos sigue siendo uno de los componentes más importantes de la seguridad de organizaciones y ciudadanos, cabe esperar que las nuevas leyes de privacidad global cubran la información personal de un gran porcentaje de la población, tal y como se establece en el GDPR (General Data Protection Regulation europeo), la ubicación y protección de los datos seguirá siendo un componente importante.
Se aumentará la contratación de responsables de cumplimiento
Ante el desarrollo de nuevas legislaciones y normativas nacionales e internacionales, se va a producir en las organizaciones una demanda de responsables de cumplimiento que ayuden a navegar a través de los complejos y cambiantes nuevos requisitos.
Se consolidará la gestión de los sistemas y servicios de seguridad
Los sistemas de seguridad y la gestión de proveedores de productos y servicios especializados requerirán un nuevo planteamiento para su gestión y garantías.
Con el traslado de los principales procesos de las organizaciones a complejos entornos en la nube, habrá un aumento de la demanda para racionalizar la gestión de los proveedores de productos y sistemas de seguridad.
Se incrementará el gasto en detección y respuesta a las amenazas
Con la proliferación de las campañas de ataque de malware importantes, como las sufridas en 2021 (incluyendo el ransomware y el spearphishing), los responsables de ciberseguridad deberán centrarse en adelantarse a los ciberatacantes para proteger sus actividades con el consiguiente incremento de inversiones y gasto.
Se verán aumentadas las primas de los seguros y ciberseguros
Como consecuencia del aumento de los ataques, las primas de aseguramiento de la seguridad y ciberseguridad serán más caras y se dispararán, vista la gran repercusión de los recientes ciberataques. Los ciberseguros ya son mucho más caros, ya que los costes se han disparado, y lo probable es que las primas sigan subiendo.
Se incrementará la falta de competencias en ciberseguridad
A pesar de la gran cantidad de programas de formación y certificaciones existentes para demostrar la competencia como profesional especializado en ciberseguridad, la oferta se verá superada por la demanda de nuevos puestos de trabajo que habrá que cubrir.
Se actualizará la legislación y normativa de seguridad
Como consecuencia de los retrasos derivados de la pandemia, principalmente en lo relativo a actualizaciones, la legislación y normativa vigente de las diferentes materias y competencias de seguridad deberá ponerse al día para poder avanzar dentro del caos provocado desde principios de 2020 por otros compromisos obligados en el corto plazo.
Se reinventará el liderazgo de los profesionales de la seguridad
El liderazgo en seguridad es un aspecto clave para promover la nueva cultura de prevención y protección que nos exigen los nuevos retos de seguridad para todo tipo de actividades y sectores y, principalmente, para aquellas infraestructuras críticas o de funcionamiento esencial.
Es preciso implementar un nuevo modelo de dirección a seguir, motivando a las personas para trabajar de forma segura, mostrando implicación y compromiso en su cumplimiento y premiando el desempeño satisfactorio.
Se actualizarán las claves para promover la cultura preventiva
Dadas las incidencias y consecuencias derivadas del desarrollo de la pandemia en el 2021, se deberán actualizar los aspectos clave que sirvan para promover la necesaria nueva cultura de prevención y protección, tanto para personas como para organizaciones, en las distintas actividades de servicios, industriales y comerciales.
Se reforzará la implicación del personal en la seguridad
La participación e implicación de los trabajadores en la seguridad de las organizaciones es un elemento efectivo en la generación de la cultura de prevención y protección, necesaria para todos los miembros de la organización de cara a la gestión de la salud y seguridad. Esta implicación de todos los niveles de la organización en la identificación de los riesgos y las propuestas para su control y gestión, contribuye a que el personal sienta como “propios” los procedimientos implementados.
Se potenciará la formación continua y sistemática especializada
Los nuevos retos y exigencias de seguridad requerirán incrementar, con nuevos programas de formación continua y especializada, el aprendizaje sistemático y permanente, que es elemento vital para el éxito de la prevención y protección en una organización. Una cultura de formación basada en una amplia participación incrementa la capacidad de la organización para identificar y cambiar situaciones de riesgo o amenaza.
Se incrementarán los ataques de ransomware y la ciberdelincuencia
Muchos ataques complejos y sus consecuencias han sido sufridos durante el 2021, especialmente dañinos para la cadena de suministro, los sistemas sanitarios, el transporte y la logística.
Las tácticas del ransomware y la ciberdelincuencia seguirán evolucionando y aumentando durante el 2022. El modelo de "doble extorsión", en el que se bloquean los datos y el adversario amenaza simultáneamente con liberarlos, persistirá.
Se dará prioridad a la confianza e identidad en los proyectos de seguridad
Las organizaciones públicas y privadas, de todos los sectores de actividad, seguirán desarrollando e implantando la transformación digital, y la tendencia se acelerará. La investigación muestra que, en los proyectos de implementación, se dará prioridad a la constatación de la confianza e identidad de las empresas de seguridad global.
Se consolidarán y evolucionarán todos los tipos de amenazas
Las predicciones del año 2021 incluyeron una gran variedad de amenazas a la seguridad que estaban directamente relacionadas con el desarrollo de la pandemia de la COVID-19. Se prevé que, aunque la incidencia de la pandemia se reduzca lentamente, esas amenazas continuarán y se consolidarán.
Se impulsará la ciberseguridad mediante la automatización
Nuevos sistemas de control y automatización impulsarán especialmente las mejoras de la ciberseguridad. A medida que las organizaciones están trabajando para su adaptación a la “nueva normalidad”, se impulsará la eficiencia de las tecnologías de seguridad para conseguir garantizar la continuidad del funcionamiento.
Se crearán nuevas demandas de seguridad según aumenta la soberanía en la nube
En un mundo global cada vez más integrado en la nube, los enfoques tradicionales de seguridad basados en la protección del perímetro están obsoletos. Predecimos que los desafíos de ciberseguridad se establecerán aún más exigentes a medida que los servicios en la nube se vuelvan más especializados y globales.
Se dará prioridad a la estrategia/cultura de seguridad en las organizaciones
Se priorizará que las organizaciones trabajen con rigor y responsabilidad para fortalecer una cultura de seguridad y ciberseguridad -seguridad física y lógica- liderada desde las estancias superiores y en modelos de participación público-privados.
Se evolucionará hacia la seguridad integral e integrada
Como viene estableciéndose en los últimos años, se evolucionará de forma importante hacia planteamientos de seguridad global, con sistemas de prevención y protección integral e integrados.
Se priorizará sobre la innovación en los sistemas de seguridad
Ante los nuevos retos y exigencias de protección de personas, bienes y actividades o servicios, las soluciones se basarán y priorizarán en la implementación de sistemas y productos innovadores de seguridad física y ciberseguridad.
Se evolucionará hacia la identificación de riesgos de ciberseguridad
Derivado de las consecuencias del incremento de los ataques de los ciberdelincuentes en el 2021, se evolucionará hacia una necesaria y rigurosa identificación de nuevos riesgos en materia de seguridad lógica o ciberseguridad.
Se definirán nuevos paradigmas para los planes de seguridad
Los nuevos retos y exigencias de seguridad requerirán de un cambio en los paradigmas de seguridad en todo tipo de Planes de Seguridad y Contingencia, con independencia de los sectores de actividad y el tamaño de las organizaciones.
A modo de resumen
Las predicciones nos indican claramente que en el año 2022 se priorizará sobre la gestión del riesgo en materia de seguridad física y ciberseguridad y la planificación del manejo de la incertidumbre y la resiliencia.
La realidad es que el mundo y el momento en que vivimos, giran cada vez más rápido, con nuevos ataques y nuevos retos para el funcionamiento de las organizaciones que deben seguir siendo flexibles y adaptables a las nuevas situaciones.
Hay que planificar para la incertidumbre, planificar para la resiliencia y, al igual que los procedimientos para los ataques, la seguridad tiene que evolucionar de manera permanente. El 2022 será un año de cambios y concienciación hacia una nueva cultura de la gestión del riesgo y las seguridades.
Por otro lado, también tendrá una cierta incidencia la reciente aprobación de la Estrategia Nacional de Seguridad 2021 en España, que contempla la innovación tecnológica como clave para la recuperación económica, la cohesión social y la transición ecológica como vías hacia un país moderno y con visión de futuro y progreso.
En concreto, en el capítulo de riesgos y amenazas, el texto introduce las campañas de desinformación junto con las tecnologías y estrategias híbridas como elementos transversales al conjunto de riesgos para la seguridad nacional. Uno de los principales objetivos que se marca pasa por desarrollar capacidades preventivas, de detección y respuesta frente a ciberamenazas y favorecer la dimensión de seguridad de las nuevas herramientas digitales.
Asimismo, la nueva estrategia plantea la articulación de una política preventiva que tendrá como base el establecimiento de un sistema de alerta temprana, con base tecnológica, que proporcione indicadores para todos los ámbitos de la seguridad nacional.
Por último, indicar que 2022 será el año de una evolución significativa de los profesionales de la seguridad y la salud. Por fin, las organizaciones han empezado a darse cuenta de la importancia de estos trabajadores, que, en tiempos difíciles han sabido dar la talla, por encima de su cualificación y responsabilidad, siempre que ha sido necesario.