Francisco Lázaro Anguís
Gerente de Ciberseguridad y Privacidad CISO | DPD de RENFE
El objetivo de la mayoría de las películas es el entretenimiento. El cine de ciencia-ficción no suelen tener la intención de hacer ciencia, sino de hacernos pasar un buen rato. Aun así, muchas películas gracias a los asesores técnicos anticiparon inventos, situaciones e incluso modos de vida, que ahora disfrutamos décadas después de su estreno o que no habiendo llegado aún, están a las puertas.
Por citar dos ejemplos de estas premoniciones para el 2019: la afamada 2001 Odisea en el Espacio (1968) predijo el turismo espacial, las videollamadas, la inteligencia artificial y los asistentes virtuales (estas dos últimas de la mano del sistema Hal 9000) y Blade Runner (1981) que nos mostraba un 2019 con vehículos voladores y la presencia de robots indistinguibles de los seres humanos.
Lo bueno para esas predicciones es que llegado realmente el año en el que se sitúa la historia, no tiene mucho interés si acertaron o fallaron, si se quedaron cortos, acertaron de pleno o se pasaron de largo. Así por ejemplo, en la citada Blade Runner, junto con esos aciertos de visión, también encontramos que las pantallas publicitarias que poblaban sus calles, se anunciaban ATARI y Pan Am , las cuales desaparecieron antes de ese año.
Hacer una previsión en materia de Ciberseguridad y Privacidad para este año 2022 es fácil; por un lado, nadie se acordará a final de año de lo que se proveyó al comienzo de este y por otro, si lo hacemos con honradez, con un poco de sentido del humor y alejados de intereses comerciales los puntos a destacar son bastante obvios:
1.-Los individuos y empresas harán un uso aun más intensivo y variopinto de la tecnología; como si no hubiera un mañana y lo harán con las prisas por ser los primeros en vender una idea (time to market, just in time, one-click,..) o en comprarla (consumidores). En este apartado tendremos el aumento de superficie de exposición al riesgo, las modificaciones de las infraestructuras y los cambios de rol, motivados por tecnologías tales como Cloud y DevOps. Como diría el humorista Leo Harlem: se nos está yendo de las manos.
2.-Los ciberdelincuentes atacarán lo que le sea más fácil y le dé más dinero. En este momento el ransomware les permite vivir con holgura.
Podría parar aquí, pues con estas dos primeras “predicciones” cubriríamos las siguientes. No obstante, vamos a particularizar en alguna otra:
3-.La conjunción de un desaforado I+D junto con el IoT sin diseño de ciberseguridad y privacidad, y con la materialización de la primera predicción de este artículo, generará por combinación premonitoria de las siglas anteriores unas nuevas siglas: IDIOT
4.-Las infraestructuras críticas serán más atacadas (claro está, en cuando así les “rente” a los cibercriminales y/o terroristas).
5.-El libre albedrío es fantástico, pero para el phishing es sencillamente «maravilloso». Uno de los principales puntos débiles en la cadena de seguridad es el usuario; el cual, requiere información, sensibilización, capacitación y seguir ciertas normas… Los ciberdelincuentes seguirán recurriendo intensivamente a la ingeniería social.
6.-La cadena de suministro será un objetivo prioritario. Más fácil que atacar al grande y encima puede ser un vector de entrada a múltiples empresas.
7.-Las empresas de productos “top” de seguridad, van a durar menos que un tik tok (actualización de la frase que yo escuchaba de pequeño y que por comparación resume maravillosamente como han cambiado los tiempos: “durará menos que un pastel a la puerta de un colegio” ). Las grandes empresas tecnológicas o las empresas de capital riesgo que quieran rentabilizar sus inversiones, comprarán las que les apetezca; pues, una empresa grande de seguridad es una pequeña para esos potenciales compradores. El soporte de esos productos empeorará proporcionalmente al aprovechamiento de la rentabilidad.
8.-La resiliencia, continuidad y la recuperación ante desastres y crisis crecerá como prioridad. Otra característica del ser humano es compatibilizar la resignación con la búsqueda de la esperanza.
9.-Los legisladores legislarán. Lo que es obvio. Cada sector que se regule o modifique su regulación se acordará de la ciberseguridad y pondrá requerimientos y obligaciones en esta materia (autoridad de control, colaboración, obligación de notificar incidentes,..).
10.-Habrá un aumento de demanda de profesionales y escasez de oferta verdaderamente cualificada. Aumentará la rotación (aunque no se trasladará a los sueldos de los profesionales) y con ella la inestabilidad en la prestación de servicios.
En resumen, para el 2022 (y sucesivos):
PREDICCIÓN NEGATIVA
Más tecnología (mayor número y tipología de dispositivos, mayor cobertura funcional, servicios distribuidos en la nube, mayor independencia del desarrollo -DevOps-,..), mayor dependencia de la tecnología, falta de cobertura de ciberseguridad y privacidad en el diseño, mayor complejidad en la cadena de suministro y responsabilidad, dependencia del ser humano, más prisas, menos tiempo para parchear y cada vez más delincuentes y mejores modelos de negocio de delincuentes.
Más incidentes y sanciones.
PREDICCIÓN POSITIVA
Empresas. Directivos, empleados y usuarios más concienciados, mayor exigencia empresarial y legal, mayores presupuestos en seguridad, crecimiento tanto en buenos profesionales, como en la cantera (será una profesión atrayente para muchos jóvenes) y mucha, mucha dedicación.
Deja tu comentario