Tendencias en ciberseguridad para este 2022.
Desde que inició la pandemia, el 90% de las personas tuvieron que digitalizar procesos críticos de sus vidas, lo que representó un gran desafío para las organizaciones, ya que se expandió significativamente la superficie de ataque, lo que se traduce en mayores riesgos a los que están expuestos.
Con la migración a la nube y la adopción de software e infraestructura como servicio, los cibercriminales vieron la oportunidad de apuntar a cuentas y sistemas mal configurados, contraseñas débiles y vulnerabilidades para llevar a cabo su actividad maliciosa.
En los últimos años, debido a la expansión del trabajo remoto y el coworking, ya no existe un perímetro de acceso físico controlado, sino que muchas personas pueden tener acceso al espacio de trabajo, a los dispositivos, la red y a los usuarios, lo que representa un gran riesgo para la seguridad de las organizaciones y para el propio usuario final.
En el 2022, “la sofisticación y la escala de los ciberataques seguirán batiendo récords y esperamos un aumento de secuestros informáticos y ataques móviles. Los usuarios deben asegurarse de que cuentan con las medidas adecuadas para prevenir los ciberataques más avanzados, ser proactivos y no dejar ningún dispositivo sin proteger o supervisar”, asegura Barry Spielman, Director de Marketing de Producto de Allot.
Iniciativas Legislativas en Ciberseguridad
Empezando por las iniciativas legislativas europeas, queremos mencionar los desarrollos que, bajo nuestro punto de vista, tienen una mayor relevancia y que es probable que acaben siendo aprobados a lo largo del 2022:
- La iniciativa sobre resiliencia operativa digital para el sector financiero de la UE (conocida como normativa DORA, por las siglas de Digital Operational Resilience Act) que fue incluida por la Comisión Europea en el listado de propuestas prioritarias pendientes para el 2022.
La iniciativa DORA incluye tanto una propuesta de Directiva como de Reglamento y resultará aplicable a todas las consideradas como entidades financieras, lo que incluye, entre otras, entidades de crédito, entidades de pago, proveedores de servicios de criptomonedas, auditores de cuentas, proveedores de servicios de crowdfunding, proveedores de servicios de comunicación de datos y proveedores de servicios de sistemas de información y comunicación tecnológicos (“TIC”).
Esta propuesta de regulación incluye aspectos como, el marco de gestión y control de riesgo que se deben adoptar, los sistemas de comunicación de incidentes o brechas relacionados con esta tipología de servicios, sistemas de comprobación de su seguridad, gestión de riesgos de terceras partes relacionadas con este sector y los acuerdos de intercambio de información entre las entidades financieras en relación con todos los potenciales riesgos de los que tengan conocimiento y estén relacionados con los sistemas TIC.
Esta normativa parece ser un indicador de lo que podría ser el futuro de la estructura de la regulación europea en materia de ciberseguridad que evoluciona hacía una subregulación sectorial mediante la aprobación de normativas específicas en materia de ciberseguridad para cada uno de los sectores que son considerados críticos.
- Proyecto de Directiva NIS II (por sus siglas en inglés Network and Information Security Directive) cuyo objetivo es mejorar la ciberresiliencia empresarial a nivel europeo, para lo que amplia su ámbito de aplicación respecto a su anterior versión y realiza una distribución de competencias y obligaciones en materia de ciberseguridad entre los Estados miembros y las autoridades competentes.
- La propuesta de Directiva sobre resiliencia de entidades críticas que fue publicada el 16 de diciembre de 2020 –como parte de la nueva estrategia de seguridad de la UE– y que, de forma parecida a la Directiva NIS II, se centra en aumentar los deberes de los Estados miembros en materia de gestión de riesgos tecnológicos y amplia el ámbito de aplicación de la anterior directiva de infraestructuras críticas a nuevos sectores.
Junto a estas iniciativas europeas, entre las novedades que se esperan a nivel nacional cabe mencionar la tramitación del Anteproyecto de Ley sobre requisitos para garantizar la seguridad de las redes y servicios de comunicaciones electrónicas de 5G.
Dicho anteproyecto fue sometido al trámite de Audiencia e información públicas cuyo plazo para presentar aportaciones finalizó el 14 de enero de 2021 y recientemente ha sido objeto de Informe por parte de la CNMC, por lo que podemos esperar que sea aprobado con carácter definitivo en los próximos meses.Cabe destacar que dicho Anteproyecto impone obligaciones no solo para los operadores de telecomunicaciones sino también para otros actores en este sector, como son los suministradores, fabricantes y usuarios corporativos.
Comentarios recientes