En IDC Research España, estimamos que, para 2019, el 70% de las grandes empresas con sede en EE.UU. y Europa serán objeto de ataques de ciberseguridad. Este es un dato representativo de lo que constituye el actual contexto europeo de ciberseguridad, y consideramos que son tres los principales factores que ayudan a explicarlo:
1) El actual contexto de amenazas
El número de actores del crimen cibernético se está expandiendo y la sofisticación de los ataques que son capaces de lanzar está creciendo. Hoy, con frecuencia, asistimos a casos de Ransomware, y nos damos cuenta de la impresionante profesionalización de los hackers, siendo un ejemplo claro la existencia de marketplaces donde el hacking-as-a-service es un concepto ampliamente practicado que pone en evidencia el desarrollo y la madurez de las organizaciones criminales, que cada vez más comparten y evolucionan amenazas de forma colaborativa, como lo hacen las comunidades Open Source. Agravando esta situación, está el hecho de que esto es un fenómeno global, disperso geográficamente, con lo que se vuelve todavía más difícil de combatir.
Esto tiene un efecto claro: el número de amenazas lanzadas sobre empresas e individuos está creciendo exponencialmente. Tomemos conciencia de que hoy son lanzados más de un millón de tipos de malware por día. WannaCry fue solo uno entre un millón de otros tantos virus. Esto significa que los enfoques tradicionales de seguridad ya no son efectivos para lidiar con esta escala de amenazas, siendo necesario cambiarlos. Será, por tanto, fundamental cambiar la mentalidad de las empresas y pasar de la reacción a la proactividad, asumiendo un papel importante el análisis del comportamiento y del contexto, así como adoptar una mentalidad de gestión del riesgo.
Además, la tecnología cobra aquí un papel fundamental, debiendo las organizaciones apostar por soluciones que les proporcionen capacidades de Automatización de procesos de seguridad, tanto los de prevención, como los de detección y de remediación; Integración: ser capaz de gestionar de forma integrada los distintos entornos de tecnológicos; Visibilidad: ser capaz de conocer el estado de seguridad del entorno tecnológico y ser capaz de identificar los impactos en procesos, servicios y activos de negocio.
2) La Transformación Digital de las empresas:
Sabemos que la Transformación Digital es hoy una clave de la estrategia del 92% de empresas en España. En IDC Research España la definimos como el proceso continuo a través del cual las empresas se adaptan a o generan cambios disruptivos en sus clientes y mercados mediante el aprovechamiento de competencias digitales para innovar en nuevos modelos de negocio, productos, y servicios que combinan las experiencias física y digital de sus clientes, mientras mejoran la eficiencia operacional y el desempeño organizacional.
Es importante entender que este momento de transformación digital es motivado por el aparecimiento de empresas nativas digitales, que sabemos sobejamente quien son, y que están provocando una auténtica revolución en los modelos de negocio de las empresas tradicionales a través del uso de tecnología de la Tercera Plataforma. Por ello, para las empresas que se están transformando, entender y explorar la Tercera Plataformas es fundamental. Constituida sobre los pilares de Cloud, Big Data, Movilidad y Social, la Tercera Plataforma es donde hoy el gasto mundial de TI (y el español, por supuesto) está creciendo, lo que evidencia el uso que están haciendo las empresas.
Sin embargo, tenemos que reconocer que cada uno de los pilares de la Tercera Plataforma representa un factor de exposición al riesgo. Esto nos lo confirman todos los estudios y encuestas que hacemos en IDC Research España: la seguridad es la principal preocupación de las empresas en su viaje de Transformación Digital. ¿Significa esto, entonces, que las empresas están bloqueadas? No. Hemos identificado dos grandes grupos de empresas: las pragmáticas, que ven que en la nube y en otros pilares de la Tercera Plataforma hay formas de seguridad que están alineadas con algunos de sus objetivos de negocio (o bien financieramente, o bien por el aporte de funcionalidades, agilidad y flexibilidad, o por otro beneficio); y las escépticas, que no confían en la nube. Pero, vemos que el escepticismo está cediendo posición al pragmatismo. Con el tiempo, la seguridad dejará de ser una preocupación tan grande como es hoy. No obstante, cabe a los proveedores de soluciones de seguridad proporcionar esa tranquilidad, garantizando, por un lado, la clareza de sus mensajes y demostrando cabalmente, por otro, las capacidades de sus soluciones.
3) GDPR:
Dentro del contexto regulatorio europeo, aunque cada sector posea su regulación específica, GDPR es el reglamento más importante e impactante para las organizaciones. Desde luego, por su urgencia. En 25 de mayo de 2018, el periodo actual de transición acabará y el reglamento será de carácter obligatorio. Sin embargo, en las conversaciones que mantenemos con las empresas, constatamos que hay un desconocimiento significativo sobre lo que representa e implica esta normativa.
En primer lugar, no es una directiva, sino un reglamento. Una directiva es un acto legislativo global que reserva a cada país miembro la jurisprudencia para definir cómo implementarla. Un reglamento es un acto legislativo vinculante – todos los países tendrán que implementarla de acuerdo con las mismas reglas. En segundo lugar, reemplaza una directiva europea obsoleta, implementada en 1995, anterior a las empresas nativas digitales que han impulsado la creación de la actual economía digital.
Este reglamento destinase a la protección de datos personales (todos los que permitan identificar una persona) de los ciudadanos de la Unión Europea y codifica los derechos que a partir de hoy todas las entidades que procesen datos de ciudadanos de la UE están obligadas a respectar. A título de ejemplo, preconiza para el ciudadano el derecho a acceder a los datos que una entidad posee sobre uno mismo, el derecho al olvido, y el derecho al consentimiento explícito. Representa, por tanto, un aumento de los derechos de los ciudadanos europeos. Además, conlleva para las empresas un conjunto de nuevas obligaciones, como, por ejemplo, la comunicación obligatoria de las brechas de seguridad en 72 horas.
Las consecuencias para las empresas que no estén en conformidad con el reglamento GDPR son severas: podrán ser objeto de multas hasta el 4% de sus ingresos o € 20M, lo que sea más elevado. Podrán también ser prohibidas de procesas datos personales, lo que puede ser sinónimo de prohibición de facturar. Esto significa que la gestión del riesgo en las empresas va a cambiar definitivamente. Podemos, efectivamente, decir que habrá un antes y un después de la GDPR.
Ante este escenario polifacético y complejo, importa referir que el modelo de seguridad empresarial del futuro debe acomodar estos tres factores, esperándose que las empresas apuesten por racionalizar la tecnología y simplificar el propio entorno de seguridad, para que puedan ser más ágiles y efectivas las empresas a la hora de afrontar las amenazas, y por implementar el liderazgo y los modelos organizativos necesarios. En este sentido, la figura del director de seguridad de la información (CISO) se asume como fundamental, pues debe aunar tanto el conocimiento de la seguridad y de la regulación como del negocio, de tal forma que pueda entender los riesgos asociados a las nuevas oportunidades, influyendo en las decisiones que desde la alta dirección se lleven a cabo.
Únete a la X Edición Ciberseguridad 2018 de IDC Research España el 20 de Febrero en Madrid.
Más información: idcspain.com/formularios/patrocinio-eventos-info