Durante el 2022, se anunció al menos un hackeo cada semana. Robo de datos personales, contraseñas, credenciales, etc. Es por esto que las empresas prestarán mucha más atención a la seguridad en este 2023.
En este artículo, exploraremos cómo las empresas pueden beneficiarse de la implemetación de sistemas y tecnologías centradas en la seguridad y la sostenibilidad: Medidas de seguridad más exhaustivas, adopción del Zero Trust para aumentar la seguridad de sus datos, iniciativas de sostenibilidad sistémica, hiperautomatización y comercio eficaz de créditos de carbono.
Estate atento al resto de la serie Tendencias Tecnológicas 2023: Web3, Empresa, Datos, Desarrollo e Infraestructura, y algunos otros temas que vale la pena seguir.
Mayores medidas reales de seguridad
En 2023, el panorama de la seguridad es muy diferente al de años anteriores. Las iniciativas de seguridad sistémica están en primera línea, y tanto las empresas como los gobiernos reconocen la importancia de incluir la seguridad como una parte integral de cualquier sistema o red, para proteger la confidencialidad, integridad y disponibilidad de los datos.
Un enfoque integral en la seguridad
En 2023, el panorama de la seguridad demanda que las empresas identifiquen su nivel de tolerancia al riesgo, basándose en la normativa, estándares y políticas aplicables para garantizar la privacidad de los datos de clientes y empleados. Para hacerlo de manera efectiva, deben evaluar los distintos riesgos de seguridad que pueden surgir de sus productos, servicios o redes.
Las organizaciones deben diseñar una estrategia de seguridad integral que pueda proteger eficazmente sus activos y abordar sus riesgos empresariales específicos y los requisitos de cumplimiento relativos a la ciberseguridad. Esta estrategia debe incluir lo siguiente:
-
El desarrollo de OKR’s.
-
Creación de políticas y programas que midan la eficacia de los controles de seguridad implantados.
-
Racionalización y automatización siempre que sea posible.
-
Controles administrativos como formación de usuarios y desarrolladores, revisión periódica de accesos y permisos, gestión continua de riesgos, etc.
En 2023 esperamos un enfoque más sistémico e integrado de la seguridad. En lugar de delegar las responsabilidades de seguridad en un solo grupo (al equipo de seguridad), todas las partes interesadas deben participar desde el principio para ofrecer un producto seguro a los usuarios finales. Todas las partes interesadas deben entender qué es la seguridad: ser conscientes de los riesgos, saber si estos son aceptables o no, conocer sus implicaciones y el marco normativo de seguridad de la empresa. La seguridad debe incluirse en el alcance y el presupuesto de todo desarrollo de aplicaciones como una alta prioridad en lugar de quedar relegada al final del proyecto.
Las empresas comprenden ahora que trasladar la culpa a terceros o proveedores no les eximirá de sus responsabilidades para con sus clientes. Así que se está pasando de preguntar "¿quién tiene la culpa?" a preguntar cómo ha ocurrido y cómo solucionarlo. Y lo que es más importante, las empresas deben evaluar qué hay que hacer para evitar para que no se reproduzcan incidentes similares. Como tal, esperamos un mayor escrutinio a la hora de elegir vendedores, proveedores de servicios y aplicaciones SaaS y de validar los servicios prestados.
Por ejemplo, una buena práctica sería definir primero el marco de seguridad (incluidas las herramientas y el nivel de riesgo aceptable) de su empresa y a continuación, asegurarse de que el código o servicio proporcionado cumpla estas normas. Ejemplo de ello son el análisis estático del código o la comprobación de vulnerabilidades del software de código abierto.
Mejorar la seguridad con la formación de herramientas adecuadas
Los tiempos en que los firewalls eran la primera línea de defensa en seguridad han quedado atrás. Ahora, considerando que el 80% de las infracciones se dan a nivel de las aplicaciones, es esencial establecer una relación coordinada, casi simbiótica, entre los equipos de diseño, desarrollo, arquitectura, infraestructura y soporte.
Es fundamental que las herramientas se desplieguen y se utilicen de manera correcta para respaldar estos procesos. Uno de los principales problemas que hemos observado con el software de seguridad es tener una docena de herramientas de seguridad que no se usan o se mantienen adecuadamente. Para remediarlo, se debe reducir su número y asegurar que los usuarios finales las adopten completamente. Afortunadamente, con el apoyo de la IA, estas herramientas están cada vez más automatizadas y son mas fáciles de usar. No obstante, se debe garantizar una formación adecuada con los equipos para un uso efectivo..
Para lograr la madurez en las prácticas DevSecOps, se necesitan pruebas de seguridad automatizadas, como SCA (dependencias), SAST (código) y DAST (tiempo de ejecución). Además de las pruebas y alertas automáticas de vulnerabilidades, la hiperautomatización de las correcciones de seguridad representa el siguiente nivel de madurez y un enfoque novedoso en seguridad. Con un conjunto de reglas y la ayuda de la IA, estas pruebas pueden proponer soluciones a problemas conocidos y corregir el código o el árbol de dependencias por sí solas..
Uno de los ejemplos de aplicación de los resultados del Análisis de Composición de Software es el Dependabot de GitHub, que descubre vulnerabilidades en las dependencias de un proyecto y genera automáticamente pull requests que contienen las correcciones recomendadas. Para la resolución asistida de los hallazgos de SAST (calidad de la seguridad del código), existen múltiples opciones a elegir entre Sonar, Synopsys y varios otros líderes de AppSec.
Las correcciones aún deben ser revisadas por los desarrolladores y probarse para asegurar su funcionalidad, pero la hiperautomatización de las correcciones de seguridad puede acelerar significativamente este proceso. También pueden ayudar a solucionar el problema de la fatiga por las alertas de vulnerabilidad, que puede retrasar a los equipos de desarrollo o dejar algunas vulnerabilidades sin atender. Dado que más del 80% del código fuente de los proyectos se basa en código abierto, la automatización de la seguridad agrega un gran valor al permitir que los equipos de desarrollo mantengan una alta velocidad. .
Mitigar los riesgos del Shadow IT en 2023
Otro ámbito en el que se han producido infracciones es el de las TI en la sombra, es decir, el uso de software y SaaS que no están aprobados ni prohibidos y que no se rastrean ni investigan correctamente. Este tipo de prácticas se observan a menudo como una reacción a la lentitud de la transformación digital, en la que las unidades de negocio buscan formas de crear valor eludiendo los controles tradicionales de TI. Algunas empresas han restringido estrictamente esto mediante políticas de seguridad rígidas, especialmente las que están sujetas al cumplimiento de la norma ISO/IEC 27001 y/o a auditorías SOC-2. Por otro lado, las empresas que dan libertad a las unidades de negocio para experimentar deben tener cuidado y gestionar adecuadamente los riesgos de seguridad asociados. .
Para abordar la problemática de la TI en la sombra, una política de tratamiento de datos puede ser una herramienta efectiva. Esta estrategia implica identificar a los propietarios de los datos (generalmente altos cargos de las unidades de negocio) responsables de clasificar sus datos según un marco interno de clasificación, que suele contar con cuatro niveles que van desde datos públicos hasta confidenciales. Además, se recomienda que cada unidad de negocio designe a un Custodio de Datos que entienda los riesgos asociados y maneje adecuadamente la TI en la sombra.
Los servicios de almacenamiento y colaboración (almacenamiento en la nube, sistemas de control de versiones en línea, herramientas de colaboración de pizarra y otros servicios SaaS) fueron responsables de algunas de las infracciones del año pasado, cuando se utilizaron datos confidenciales o internos para abusar de sistemas internos o realizar campañas avanzadas de spear-phishing. Es probable que en 2023 sea necesario elaborar un inventario, una investigación y unas guías de uso claras. .
Finalmente, implementar todo lo mencionado anteriormente tomará tiempo, y si tu empresa es como la mayoría, es probable que hayas notado que tus equipos de seguridad están cansados, sobrecargados, preocupados y luchando por mantenerse al día con todas las novedades en esta área. Por lo tanto, es importante que los apoyes asegurándote de que tus equipos de desarrollo y de negocio no minimicen sus preocupaciones y advertencias. Después de todo, los equipos de seguridad están ahí para proteger a su empresa y a sus usuarios. .
Mayor adopción de la seguridad Zero Trust
¿Sabías que en 2024 se cumplirán 30 años desde que se creo el término Zero trust? Fue en 1994 cuando Paul Marsh lo mencionó en su tesis doctoral ¿Pero en qué punto nos encontramos ahora en cuanto a este concepto?
¿Qué es la seguridad Zero Trust y por qué es importante?
Zero Trust es un enfoque de ciberseguridad que cada año se vuelve más relevante, especialmente a medida que las empresas adoptan más soluciones en la nube y SaaS. A diferencia de los enfoques perimetrales de seguridad, Zero Trust se enfoca en la protección centrada en los datos y se basa en una mentalidad de "nunca confíes; siempre verifica; menos privilegios; asume la violación". Se espera que su adopción continúe creciendo en 2023 y las empresas de todos los tamaños deben considerar hacerlo su enfoque predeterminado para proteger sus activos digitales. .
El enfoque de Zero Trust exige comprobaciones de autenticación, autorización y cifrado para todas las solicitudes entre sistemas y aplicaciones antes de obtener acceso, lo que reduce drásticamente el riesgo de que un atacante pueda desplazarse lateralmente si se vulnera un sistema o una aplicación. Además, Zero Trust es esencial para desarrollar una malla de servicios o datos en toda la empresa..
Más allá de los controles preventivos, Zero Trust también destaca el papel crucial de los controles de detección, como el análisis del contexto de cada transacción. Esto puede requerir cambios significativos en los diseños e implementaciones de aplicaciones y servicios para alcanzar el nivel necesario de seguridad y observabilidad como uno de los objetivos Zero Trust. En resumen, Zero Trust es un enfoque de ciberseguridad muy importante que las empresas deben considerar adoptar para proteger sus activos digitales y garantizar su seguridad en línea.
Mejorar la seguridad de los datos
Las organizaciones que aumenten su nivel de seguridad Zero Trust se beneficiarán de una mayor seguridad de los datos, reduciendo drásticamente el riesgo de filtraciones de datos y mejorando el cumplimiento de las normas de ciberseguridad. El modelo de madurez de Zero Trust de Microsoft ofrece una hoja de ruta y recomendaciones para las empresas que aspiran a iniciar o evaluar su progreso en el viaje hacia Zero Trust.
Sin embargo, apostar por la confianza cero es una empresa compleja. Requiere un enfoque por etapas y un buen conocimiento de los activos digitales y las plataformas que los almacenan y procesan. Dado que este enfoque se basa en situar la protección de datos en el centro de la estrategia de ciberseguridad, un buen punto de partida sería la evaluación completa de los datos y la identificación de los propietarios de los datos, los custodios de los datos y las plataformas que proporcionan acceso a estos datos. Zero Trust, como cualquier otro enfoque de seguridad, requiere controles para mitigar los riesgos de seguridad. Se basa en una línea de base de seguridad para analizar si se han implantado suficientes controles y su eficacia.
En 2023, cabe preguntarse: "¿Quién tiene acceso a mis datos?". A medida que dependemos cada vez más del acceso programático entre sistemas (API), asegurarse de tener una visión completa de sus sistemas y sus controles internos para proteger los datos manejados debería ser una prioridad empresarial número uno. Hoy en día, los líderes empresariales entienden que el riesgo cada vez mayor de la ciberseguridad es un problema empresarial, y la Confianza Cero podría ser la solución adecuada.
Tres pasos hacia el perfeccionamiento del Zero Trust
No existen soluciones listas para usar que permitan adquirir el Zero Trust. Sin embargo, hay tres niveles claros de madurez que las organizaciones pueden seguir para reducir el riesgo de violación de datos a niveles aceptables.
- En primer lugar, introduzca estos tres elementos: gestión de identidades consolidada y centralizada (idealmente con autenticación multifactor (AMF) e inicio de sesión único siempre que sea posible), visibilidad de los inicios de sesión y las acciones (registros de auditoría), y segmentación.
- El segundo nivel es más avanzado y requeriría que analizara cómo su organización lleva a cabo el análisis de riesgos en tiempo real (SIEM), la autenticación/autorización de solicitudes API entre sistemas basada en los principios de Confianza Cero, la correlación de eventos y la detección de anomalías, el análisis de vulnerabilidades y la mitigación.
- El tercer nivel de madurez de seguridad, el más óptimo y elevado, se alcanza cuando se aplican dinámicamente políticas de seguridad en todos los sistemas y aplicaciones. Su entorno está protegido con detección y respuesta automatizadas a las amenazas.
En 2023, esperamos que más organizaciones se centren en actividades relacionadas con el impulso de su madurez de seguridad de Zero. Con la reducción de las actividades humanas en la web (encontrará que el número de actividades no humanas en la web oscila entre el 40 y el 65 %) y con una proporción cada vez mayor de bots malos (aproximadamente el doble del número de bots buenos), es evidente que cada vez hay más trabajo para mantener los datos seguros..
A medida que la adopción de Zero Trust sigue creciendo en 2023, las empresas deben estar preparadas para el cambio de la seguridad perimetral hacia los servicios en la nube y la seguridad de las aplicaciones. Para garantizar la seguridad de sus datos frente a las amenazas emergentes, las empresas deben considerar la Confianza Cero como parte de su estrategia de ciberseguridad. Sin embargo, aunque Zero Trust aporta muchas ventajas, puede ser cada vez más difícil de implementar sin cambios bien planificados en la arquitectura y el diseño de los sistemas existentes que no fueron construidos para soportar los principios de Zero Trust.
Para diseñar una estrategia de Confianza Cero y sus OKR, los líderes empresariales y tecnológicos podrían considerar la posibilidad de obtener ayuda de asesores externos (consultorías profesionales de desarrollo de software y prácticas de soluciones en la nube) para establecer una visión holística de sus riesgos empresariales que puedan mitigarse mediante la adopción de la Confianza Cero. Un punto de vista externo le ayudará a descubrir las interconexiones entre los sistemas existentes, incluidas las aplicaciones de línea de negocio. Esto le ayudará a preparar un plan independiente y exhaustivo para implantar los controles necesarios para ejecutar con éxito una estrategia de Confianza Cero. De este modo, las organizaciones se mantendrán a la vanguardia de las amenazas a la ciberseguridad en 2023 y sentarán las bases para los retos de seguridad y privacidad que puedan surgir en 2024-2025..
Sostenibilidad sistémica
La última década ha sido una época de cambios y crecimiento significativos en materia de sostenibilidad. Las empresas han puesto en marcha políticas, procedimientos y estrategias diseñadas para reducir su impacto ambiental, pero a menudo estas iniciativas se aplican de forma aleatoria sin tomar en cuenta cómo interactuarán entre sí o cómo afectarán a la organización en su conjunto
Aprovechar el pensamiento sistémico y los datos para la sostenibilidad
Es evidente que las empresas necesitan adoptar un enfoque integral para abordar la sostenibilidad. Ya no es suficiente enfocarse únicamente en un área de la empresa, sino que se debe tener una visión sistémica que comprenda la interconexión entre distintos departamentos, proveedores y software de terceros. Asimismo, es fundamental considerar de forma objetiva y honesta los esfuerzos de sostenibilidad, basándose en datos actualizados y pruebas sólidas para comprender el impacto ambiental y tomar decisiones significativas.
Para ello, es necesario involucrar a científicos e ingenieros de datos para recuperar y evaluar periódicamente datos precisos y exhaustivos, más allá de las consideraciones actuales de los organismos reguladores. El pensamiento sistémico puede ayudar a las empresas a integrar la sostenibilidad en todas sus actividades, evitando que una ganancia en una parte de la empresa signifique una pérdida en otra. .
Huella ESG: Más allá de las emisiones de carbono
Hiperautomatización a todos los niveles
Si aún no has oído hablar de la hiperautomatización, es importante que te actualices. En resumen, la hiperautomatización es la combinación de humanos y máquinas para tomar decisiones más rápidas, reducir el trabajo y mejorar la eficiencia. ¿Te suena un poco distópico? No te preocupes, aún no hay planes de implantar componentes cibernéticos tipo Borg en tu cerebro. La idea principal es automatizar las tareas manuales y utilizar la tecnología para procesos repetitivos y el procesamiento de grandes cantidades de datos, y dejar a los humanos para lo que son buenos: tomar decisiones y ser creativos.
La revolución de la hiperutomatización
La Hiperautomatización es una tecnología importante que se espera que tenga un gran impacto en 2023. Se trata de una combinación de humanos y máquinas para tomar decisiones más rápidamente y mejorar la eficiencia. Esta tecnología se apoya en la inteligencia artificial (IA), especialmente en el procesamiento del lenguaje natural y en el Generative Pre-trained Transformer (GPT).
Las plataformas de código cero o bajo son una parte importante de la Hiperautomatización. Son herramientas que permiten a personas no tecnológicas crear software sin preocuparse demasiado por la seguridad y el acceso a los datos, ya que esto se gestiona a nivel de plataforma. Esto significa que las empresas pueden crear aplicaciones y flujos de trabajo y automatizar procesos sin necesidad de un equipo de TI dedicado, lo que facilita su adopción.
Sin embargo, es importante que los usuarios reciban formación sobre estas plataformas y las mejores prácticas que deben aplicar antes de obtener pleno acceso a ellas. Se mantienen las mejores prácticas de desarrollo de software, como el versionado y las pruebas en un entorno de pruebas.
En resumen, la Hiperautomatización es una tecnología emocionante que está llegando. Está lista para revolucionar el lugar de trabajo de 2023 y las plataformas de código cero o bajo son una parte clave de esta revolución.
Comercio de créditos de carbono
El mercado de créditos de carbono será cada vez más relevante en 2023. Esto se debe a que, en la actualidad, existe una mayor presión para reducir las emisiones de carbono. Los créditos de carbono permiten a las empresas comerciar con las emisiones de carbono y, así, alcanzar sus objetivos. Esta práctica es muy popular debido a que no solo proporciona incentivos financieros para reducir las emisiones, sino que también facilita la gestión y validación de créditos de carbono.
Por otro lado, la compra de créditos de carbono puede financiar proyectos que marcan la diferencia. No solo permiten la captura de carbono, sino que también generan empleos en comunidades locales en países en desarrollo, donde se desarrollan, auditan y administran los proyectos
En el mercado de créditos de carbono, es importante prestar atención a la calidad y los valores de los proyectos. No todos los proyectos son iguales, algunos son excelentes y otros de menor calidad. Aunque existen algunos proyectos de baja calidad, no se debe desechar todo el sector de los créditos de carbono. Sería similar a desechar todo el sistema bancario por culpa de unos pocos usureros. Es importante hacer mejores auditorías para proyectos de mayor calidad y tener requisitos de cumplimiento para las compensaciones legales de carbono.
Mayor atención a la calidad y los valores de los proyectos
En los próximos años, se espera una mayor claridad y una alineación más profunda de los objetivos con los valores de la empresa. En lugar de limitarse a comprar la compensación de carbono más barata, las empresas tendrán opciones para comparar los proyectos en función de su efecto colateral positivo. Se espera que la selección de los proyectos dependa no solo del precio, sino también de la ubicación y de los aspectos ESG.
También serán necesarios futuros y opciones sobre créditos de carbono, lo que proporcionará financiación para futuros desarrollos. El comercio de créditos de carbono requiere herramientas y conocimientos específicos y diferentes. Habrá que modificar las plataformas y actividades comerciales existentes para incluir los créditos de carbono y los activos relacionados con el carbono.
Es esencial definir una política de créditos de carbono para toda la empresa. Asegurarse de que los proyectos financiados están en consonancia con su visión y sus valores. Implicarse más en la selección de los créditos que se obtienen también tendrá el efecto positivo de alejar a los "tiburones del carbono" y sus proyectos dudosos.
En resumen, el comercio de créditos de carbono está cobrando cada vez más importancia, y es esencial que las empresas estén preparadas para sacar el máximo partido de los créditos de carbono y de los activos relacionados con el carbono. El mercado de créditos de carbono de 2023 se presenta complicado y apasionante, lleno de oportunidades para quienes dispongan de los conocimientos y recursos adecuados.
No te pierdas la tercera parte de nuestra serie de Tendencias Tecnológicas 2023, donde hablaremos sobre la importancia de los datos. Si este artículo te ha hecho reflexionar sobre la ciberseguridad de tu empresa o sobre cómo reducir tu huella ESG, ¡contáctanos nosotros sabremos ayudarte!
Colaboradorxs: Leo Arkhipov, Kevin Aubry, Michael Biallas, Ian Carter, Dominic Eales, Leonardo Diaz Deramond, Kevin Lawrence, Faisal Ramay, Yudesh Soobrayan, Dan Wheaton
