El nuevo año nos enfrenta a un panorama caracterizado por la incertidumbre política, la fragmentación social, la escalada de tensiones geopolíticas y un contexto macroeconómico turbulento, lo que hace crucial que los líderes de seguridad se preparen estratégicamente para los desafíos venideros.
Exploremos los tres principales desafíos de seguridad que enfrentarán las empresas en 2024:
1. Datos
Las empresas modernas generan y gestionan grandes volúmenes de datos a diario. Dado que los datos son fundamentales para la toma de decisiones y la ventaja competitiva, su interrupción repentina o su falta de disponibilidad pueden tener graves repercusiones para el negocio.
Algunas de las preguntas esenciales que los equipos de seguridad deberían hacerse incluyen: ¿Cómo gestionamos y salvaguardamos aspectos como la confidencialidad, la integridad y la disponibilidad de los datos? ¿Qué estrategias podemos emplear para proteger nuestros datos contra amenazas cibernéticas y uso indebido? ¿Cómo abordamos los desafíos de seguridad que surgen con la expansión de los repositorios de datos? ¿Cómo diferenciamos entre datos valiosos e información redundante?
Además, a menudo hay una desalineación entre la forma en que se estructuran los datos y el marco empresarial. En consecuencia, es posible que los equipos de seguridad necesiten entablar conversaciones con las unidades de negocio para aclarar cuestiones como la forma en que aplicamos nuestros datos. ¿Con quién se comparten estos datos? ¿Quién tiene la responsabilidad por ello? ¿Quién es responsable de tomar decisiones sobre la seguridad de los datos? ¿Es el equipo de seguridad de la información, el director ejecutivo, la junta directiva o es un esfuerzo combinado?
2. Inteligencia artificial
Aunque las tecnologías de IA no son nuevas, la reciente adopción generalizada de la IA ha introducido una gran cantidad de desafíos comerciales y de seguridad para las organizaciones. Las preguntas clave a considerar incluyen: ¿Cómo monitoreamos el uso de la IA dentro de la organización? ¿Cómo regulamos los datos que los empleados comparten con los sistemas de IA? ¿Cómo garantizamos el cumplimiento continuo de las normas éticas y los requisitos legales?
Los datos son la piedra angular de la IA. ¿Cómo proporcionamos datos suficientes para los sistemas de IA y al mismo tiempo garantizamos que estos datos sean seguros, éticos y transparentes? ¿Cómo salvaguardamos los datos y algoritmos de IA de la manipulación por parte de actores de amenazas? Los equipos de seguridad deben estar atentos a todos los riesgos relacionados con la IA, incluidas las preocupaciones éticas. A pesar de estos desafíos, la IA ofrece importantes oportunidades para las empresas que buscan evolucionar y mejorar sus modelos de negocio.
En 2024, las juntas corporativas probablemente asumirán un papel central en la supervisión del despliegue seguro de la IA en toda la organización. Este escenario presenta una excelente oportunidad para que los equipos de seguridad se alineen estrechamente con los objetivos comerciales, estén a la vanguardia de la revolución de la IA y participen activamente en decisiones comerciales clave junto con los equipos de gestión.
3. Reglamentos
La seguridad está evolucionando rápidamente, al igual que las regulaciones que la rigen. Durante los próximos 12 meses, se introducirán, actualizarán o revisarán varias regulaciones. Por ejemplo, el RGPD puede dar lugar a refuerzos estrictos en 2024; la Ley de Resiliencia Operacional Digital ( DORA ) se aplicará a las entidades financieras de toda la UE en enero de 2025; se podrá votar la Ley de IA de la UE .
Teniendo en cuenta estos desarrollos, las organizaciones deben desarrollar una comprensión integral de las regulaciones en las jurisdicciones donde operan. Este conocimiento es crucial para construir los procesos y marcos necesarios de manera proactiva, ya que una vez que estas regulaciones se apliquen, adaptarse a ellas retroactivamente será un desafío. Por lo tanto, es imperativo adelantarse a estas regulaciones en 2024, ya que su incumplimiento podría tener graves consecuencias legales, financieras y de reputación.
¿Cómo pueden los líderes de ciberseguridad abordar estos desafíos de seguridad?
A continuación se presentan cuatro iniciativas de gestión de riesgos que los líderes de ciberseguridad pueden integrar en su planificación de ciberseguridad para 2024:
1. Comunicar problemas en términos comerciales.
Es esencial que los líderes en ciberseguridad presenten los problemas de una manera que resuene entre los líderes empresariales. Los directores ejecutivos suelen preferir evitar los tecnicismos. Su preocupación es cómo afectará la tecnología al negocio y si se alinea con los objetivos generales. ¿Cumplirá con las expectativas de las partes interesadas? ¿Cuáles son los riesgos en términos de factores financieros, operativos y económicos, más allá de los aspectos técnicos?
2. Establecer niveles claros de tolerancia al riesgo
Para los líderes de seguridad que trabajan con equipos de gestión, es crucial definir la tolerancia al riesgo de la empresa con respecto a las pérdidas cibernéticas, similar a otros tipos de riesgos. Por ejemplo, ¿cuál es la tolerancia al riesgo al emplear IA generativa? ¿Quién es responsable de tomar esta decisión? ¿Qué regulaciones son relevantes y cómo afectará esto a la información que divulgamos?
3. Implementar un plan de respuesta sólido y practicado
Los equipos ejecutivos y las salas de juntas buscan seguridad. Requieren confianza en que la organización está preparada para crisis inesperadas, garantizando que exista un conocimiento situacional integral en toda la organización y confirmación de que se está realizando un seguimiento atento de las actividades. Necesitan tener la seguridad de que se implementan medidas fundamentales de protección cibernética y de que un plan de respuesta y continuidad del negocio minuciosamente documentado y ensayado periódicamente está listo para activarse en caso de un incidente de seguridad.
4. Crear conciencia y fomentar la rendición de cuentas en la fuerza laboral y la cadena de suministro.
La naturaleza del trabajo se ha transformado significativamente en los últimos años, lo que requiere actualizaciones en las políticas y procedimientos de seguridad para reflejar estos cambios. Las organizaciones deben describir explícitamente la responsabilidad por la recopilación y el uso de datos, participar en interacciones colaborativas y transparentes con las partes interesadas y asegurarse de que todos comprendan su papel en la salvaguardia del negocio. Del mismo modo, es crucial extender los mismos principios y procedimientos de seguridad a terceros y socios de la cadena de suministro que manejan datos en nombre de la organización matriz.
En resumen, nos enfrentamos a tres áreas clave que seguirán creciendo en complejidad y desafío: datos, inteligencia artificial y regulación . Existe una expectativa cada vez mayor de un compromiso más estrecho entre los equipos de seguridad y las operaciones comerciales, junto con las crecientes preocupaciones de los directores de junta sobre su responsabilidad personal. Si los líderes de seguridad se concentran en estas iniciativas de gestión de amenazas, pueden ayudar significativamente a mitigar el riesgo y contribuir a construir una organización resiliente en el futuro.
Fuente y redacción: Steve Durbin / helpnetsecurity.com
