Con el final del año acercándose, es un momento perfecto para mirar lo que está por venir para la ciberseguridad empresarial en 2019. Dado que las violaciones de datos siguen planteando amenazas a la seguridad en todos los sectores, planificar mejoras operativas al tiempo que nos adelantamos a los últimos riesgos es más importante que nunca.
Recientemente participé en un seminario web con otros expertos en ciberseguridad organizado por la Asociación de Seguridad de Sistemas de Información (ISSA) sobre Tendencias de Ciberseguridad 2019 a observar, incluyendo:
- Informática cuántica
- IoT inseguridad
- IoT seguridad
- Cloud-first y contenerización
A continuación, te explicamos por qué debes estar alerta ante estas nuevas tendencias de ciberseguridad en 2019 y cómo puede prepararse tu empresa.
Tendencia nº 1: Computación cuántica y criptografía
Durante las dos últimas décadas, hemos considerado la computación cuántica como una amenaza del futuro que aún no se ha convertido en una preocupación a corto plazo, pero esa perspectiva está cambiando.
Aunque los plazos varían, la mayoría de los expertos en la materia predicen que la computación cuántica será viable entre 2024 y 2030. Y la escala del impacto potencial en la criptografía es inmensa: Según el NIST, mientras que algoritmos como AES y SHA-2 quedarán "heridos" -es decir, debilitados pero salvables con salidas o tamaños de clave mayores-, los algoritmos asimétricos en los que se basan, como RSA y ECC, se volverán inseguros e insalvables, incluso con tamaños de clave mayores.
Quantum aparte, todos los algoritmos criptográficos acabarán siendo ineficaces. Planificar y ejecutar con éxito es más complejo que limitarse a auditar y ajustar. Se necesita tanto una preparación metódica como una pista de aterrizaje.
¿Qué significa esto?
- La criptografía que está desplegando hoy no será segura en el futuro. Esto tiene especial repercusión en los dispositivos IoT , que pueden permanecer sobre el terreno durante periodos de tiempo más largos.
- La necesidad de una criptoagilidad integral empieza ahora.
El principio básico para tener una postura cripto-ágil es saber lo que se tiene y cómo entregar actualizaciones seguras a escala. Para empezar, ten en cuenta lo siguiente:
- Sepa lo que tiene: Reúna y mantenga su inventario de certificados. Cuando se trate de certificados, sepa cuántos tiene, dónde están, para qué se utilizan y cuándo caducan.
- Desarrolle planes de respuesta: Describa las acciones y cree los procesos que necesitará aplicar en caso de que se produzcan eventos criptográficos: caducidad de certificados, rotura de algoritmos, violaciones de la raíz pública y avances cuánticos.
Tendencia nº 2: IoT Inseguridad de los dispositivos
No hay duda de que 2018 fue un mal año para la seguridad de IoT y, por desgracia, es probable que 2019 sea peor, con más dispositivos enviando datos y permitiendo la entrada de conexiones.
IoT encierra un enorme potencial, pero impone la necesidad de una sólida ingeniería de seguridad a un grupo de arquitectos, ejecutores y profesionales que no están acostumbrados a pensar de ese modo. Además, los conocimientos de ingeniería criptográfica son escasos y caros. Y en muchos casos la economía no permite percibir el valor de la seguridad adicional: los márgenes suelen ser bajos y los clientes no quieren pagar más por la seguridad (pero esperan que exista).
Crear una base segura al principio de la fabricación tiene mucho sentido. Es durante la fase de diseño cuando se quiere incorporar la criptografía, la identidad digital vinculante, para que sea inherente al dispositivo. Cuando el firmware se diseña correctamente, se hace extensible a todos los integrantes del ecosistema del dispositivo, de modo que la comunicación bidireccional no sólo funciona, sino que mantiene la seguridad de todos los dispositivos conectados.
Los fabricantes de dispositivos deben trabajar para controlar el riesgo, y los usuarios de dispositivos deben hacer lo mismo. Aplicar políticas, extender certificados a todos los dispositivos de la empresa, mantener los datos en silos y protegidos... cuando estas prácticas se convierten en la norma, la inseguridad de las cosas se transforma en lo que se supone que debe ser IoT .
Tendencia nº 3: Nuevas normas de seguridad IoT
Aunque la seguridad de IoT se ha resentido este año, aún hay esperanzas de mejora.
Los órganos de gobierno y otras organizaciones han empezado a publicar más directrices, reglamentos y mejores prácticas en torno a la seguridad en IoT . Hay legislación y propuestas de legislación en el horizonte que ayudan a contrarrestar el problema de la "economía de la seguridad" descrito anteriormente.
Además, los sectores de la automoción y la sanidad se están tomando la seguridad más en serio, pues reconocen que la inseguridad de los dispositivos médicos o los vehículos puede provocar víctimas mortales. Ambos sectores se han visto afectados por fallos anteriores y están llevando el diseño y la seguridad de los dispositivos a la siguiente generación.
A medida que más industrias sigan el ejemplo de la automoción y la sanidad, veremos cómo la seguridad de IoT se convierte en una prioridad mayor.
Tendencia nº 4: Cloud-First y contenedorización
En 2019, podemos esperar más de un enfoque cloud-first y de contenerización para la gestión de PKI.
La seguridad digital en la nube permite agilidad y transformación. Al tratarse de un entorno colaborativo, resulta más fácil detectar y responder a las amenazas a escala global. Además, la seguridad de los datos puede ayudar a impulsar los comportamientos de los usuarios finales. Y por si estas ventajas no fueran suficientes, la gestión de PKI empresarial en la nube es el método preferido por muchas organizaciones porque permite externalizar el proceso como un servicio gestionado.
También estamos asistiendo a un aumento de la contenedorización, una alternativa ligera a la virtualización de máquinas completas que consiste en encapsular una aplicación en un contenedor con su propio entorno operativo. Los contenedores ayudan a software a ejecutarse de forma más fiable cuando se transfiere de un entorno a otro al eliminar las limitaciones de los distintos SO y la fragmentación de la infraestructura. A menudo se trata de un enfoque más rentable que permite a una empresa utilizar sus recursos en la nube de forma más densa.
Prepárate para las nuevas tendencias en ciberseguridad en 2019
En conjunto, las organizaciones tendrán más dificultades que nunca para proteger sus identidades el año que viene y los siguientes. Y aunque estas tendencias puedan incomodarnos, no es mi intención asustar a nadie. Como CTO, mi trabajo consiste en mirar al horizonte de la industria y construir soluciones para abordar las mayores necesidades.
Tanto si eres un fabricante de dispositivos de IoT como una organización que necesita proteger las identidades digitales en toda la empresa, tenemos nuevas funciones y casos de uso que compartir. Para obtener más información, visítenos en www.keyfactor.com o vea mi reciente seminario web.
