Será necesaria la colaboración internacional entre múltiples sectores. Asimismo, las organizaciones empresariales deben mantenerse resilientes y preparadas para afrontar nuevas amenazas y desafíos en el próximo año. Las siguientes tres predicciones para 2025 ofrecen una visión de lo que está por venir:
La inteligencia artificial, el «Q-Day» y los retos de cumplimiento normativo
Las prioridades clave de los CISO para 2025 incluirán la integración de nuevas tecnologías y la adaptación a las nuevas tendencias, al tiempo que fortalecen la postura de seguridad de su organización. Los actores maliciosos buscan continuamente vulnerabilidades o códigos obsoletos en las cadenas de suministro de software, las redes y los puntos finales, buscando formas de explotar estas debilidades. Mientras tanto, la proliferación de la IA está preparada para acelerar las estafas de phishing, el uso de deepfakes para la ingeniería social y automatizar ataques de malware más devastadores:
- Los actores maliciosos aprovecharán los datos personales y la IA para lanzar ataques más efectivos: las violaciones de datos públicos nacionales y MC2 que tuvieron lugar en 2024 permitirán a los ciberdelincuentes aprovechar muchos más datos personales, combinados con » deepfakes » generados por IA, para lanzar campañas de phishing y spear phishing más realistas y efectivas en 2025.Dado que el elemento humano sigue siendo el más vulnerable a los ataques, es probable que estos provoquen aún más violaciones de datos y/o el compromiso de los sistemas de control. Cuando tienen éxito, los ataques de phishing selectivo pueden tener consecuencias devastadoras, dado el acceso privilegiado que los empleados suelen tener a datos confidenciales, transacciones financieras y sistemas de control físico.
Mientras tanto, hay otros desafíos emergentes que los CISO deben considerar, incluida la posibilidad de que el cifrado ya no brinde la capa de protección que ofrece ahora una vez que avance la computación cuántica:
- Con la llegada del “Q Day”, es hora de que las organizaciones comiencen a prepararse: con la publicación en agosto de los estándares del NIST para la criptografía poscuántica, es hora de que las organizaciones que aún no han comenzado a trabajar en la implementación del nuevo estándar se pongan manos a la obra. La implementación completa llevará tiempo y, con algunas estimaciones de que el “Q Day” (la capacidad de las computadoras cuánticas para romper los estándares de cifrado actuales) llegará dentro de la próxima década, las organizaciones deberán prepararse para evitar ser tomadas por sorpresa.Además, las empresas y los particulares tendrán que anticiparse a las amenazas a los datos basadas en las estrategias de “recoger ahora, descifrar después” de algunos adversarios y estados nacionales hostiles. Todavía no conocemos el impacto total de este escenario, pero podría dar lugar a un aumento de los ataques de ransomware, extorsión, phishing selectivo y otros. El hecho de que la información confidencial de un incidente anterior no se haya hecho pública no significa que no pueda volver a ocurrir en el futuro. La preparación para el día Q en 2025 debería ser una prioridad máxima para los CISO por esta misma razón.
Finalmente, en 2025 los CISO seguirán teniendo dificultades para cumplir con las normas debido a las leyes de privacidad y protección de datos cada vez más complejas e inconsistentes, que varían de un país a otro y, en los EE. UU., de un estado a otro:
- El creciente mosaico de leyes de privacidad de datos en Estados Unidos creará nuevas cargas de cumplimiento: El creciente mosaico de regulaciones de privacidad de datos en Estados Unidos, muchas de las cuales son similares y se superponen, seguirá aumentando las cargas de cumplimiento para las organizaciones que crean, procesan, almacenan y transmiten datos confidenciales en 2025.Desde que California aprobó la Ley de Protección del Consumidor de California, posteriormente sustituida por la Ley de Derechos de Privacidad de California , más de 20 estados han aprobado leyes integrales de privacidad. Muchas de ellas ya se han convertido en leyes, pero entrarán en vigor de forma continua hasta 2026 y más allá.Para superar la parálisis por incumplimiento, las organizaciones deberán estar muy organizadas y ser eficientes. Una gobernanza madura (desde la junta directiva hacia abajo), procesos repetibles y herramientas (incluidas plataformas de gobernanza, riesgo y cumplimiento) serán fundamentales para minimizar los riesgos relacionados con el cumplimiento.
Preparándose para el futuro, con la mirada puesta en el pasado
El plan estratégico de ciberseguridad de las organizaciones para 2025 debe abordar tanto las amenazas impulsadas por la IA como las tradicionales mediante la integración de la gestión proactiva de riesgos, la detección avanzada de amenazas y los mecanismos de respuesta adaptativos. A medida que las organizaciones del sector público y empresarial se preparan para ciberataques y violaciones de datos más sofisticados y dañinos, deben adoptar las herramientas más sólidas posibles aprovechando la IA y las herramientas de aprendizaje automático para monitorear el comportamiento anómalo.
Las organizaciones deben priorizar la promoción de una cultura de concienciación sobre la ciberseguridad, asegurándose de que los empleados comprendan su papel en la protección de los activos. Los CISO también deben seguir recurriendo a expertos externos para garantizar que su organización cumpla con las leyes y regulaciones de privacidad de datos pertinentes, al tiempo que crean un marco de respuesta a incidentes que sigue siendo esencial para una estrategia de ciberseguridad integral y resistente al futuro.
Fuente y redacción: helpnetsecurity.com