Principales iniciativas de ciberseguridad para el 2024.
Share
Christian Cuenca, CISO de Kushki Pagos.
En la «Encuesta Estado Actual de la Ciberseguridad», realizada por IT ahora en colaboración con Deloitte durante 2022 y 2023, las empresas ecuatorianas se han concentrado principalmente en tres áreas: la concienciación en ciberseguridad, la definición de la estrategia de ciberseguridad, y la evaluación de ciber-riesgos. Se espera que estas tendencias persistan en 2024.
| Cuáles son las principales iniciativas de ciberseguridad | ||
| 2022 | 2023 | |
| Concienciación en ciberseguridad | 74% | 68% |
| Definición de la estrategia de ciberseguridad | 55% | 55% |
| Evaluación de ciberriesgos | 53% | 62% |
A nivel regional, se proyecta un crecimiento en los procesos de seguridad basados en riesgos y en la inteligencia de ciberamenazas para 2024 y 2025. Christian Cuenca, CISO de Kushki, subraya que la seguridad basada en riesgos se convertirá en una estrategia central para las empresas, impulsando a cada área a evaluar sus procesos críticos y alinearlos a la estrategia de seguridad con el riesgo integral de la organización.
La inteligencia de amenazas también experimentará un crecimiento debido a la evolución tecnológica continua. La capacidad para detectar, evaluar y mitigar adecuadamente una amenaza será un foco principal, muchas empresas emergentes están estableciendo áreas dedicadas a la ciber-inteligencia enfocadas en la inteligencia de amenazas.
Para implementar una adecuada estrategia de seguridad dentro de una organización es que esta estrategia de seguridad sea customizada al modelo de negocio debido a que cada organización tiene necesidades y estructuras únicas.
La estrategia de gestión de riesgos y la de seguridad debe estar siempre alineada con el modelo de negocio y, en principio por procesos. Los riesgos identificados en áreas como operaciones, finanzas o tecnología de la información pueden variar y requieren enfoques diferenciados para su manejo.
Gestión de vulnerabilidades: Una tarea cotidiana
La gestión de vulnerabilidades sigue siendo una constante, ya que es una actividad diaria donde las empresas abordan y resuelven vulnerabilidades aplicando parches y otras medidas correctivas.
Estrategia de ciberseguridad impulsada por el cumplimiento normativo
En cuanto a la estrategia de ciberseguridad, que ha mantenido un nivel constante de adopción del 55% (2022-2023), la motivación principal detrás de esta tendencia en Ecuador ha sido la cumplimentación de normativas legales, especialmente en el sector bancario. Las estrategias se han diseñado más por cumplimiento normativo que por un análisis de riesgos integral o estrategias de negocio proactivas.
A las instituciones financieras (bancos, SFPS), principalmente les obligaron a implementar seguridad de la información, no tanto por buena práctica, sino por cumplimiento normativo, de manera que se crea la estrategia para dar cumplimiento a lo que dispone la normativa, más no por una estrategia desde un análisis de riesgos o una estrategia de negocio.
Seguridad en la nube y capacitación
Para el 2024, las empresas deben priorizar la seguridad en la nube, considerando la tendencia hacia la migración a plataformas e infraestructuras como servicio. Esas iniciativas se deben plantear a nivel normativo, trabajar en temas relacionados con la imposibilidad de que la data transaccional salga del territorio ecuatoriano.
Además, fomentar el desarrollo de recursos humanos capacitados en IT, DevSecOps, en función de la alta disponibilidad, continuidad de negocio, nuevos ataques y el riesgo en relación a la nube.
Concientización en usuarios internos y externos
La concientización en seguridad, tanto para clientes externos como para empleados internos, seguirá siendo un aspecto necesario en 2024.
Para clientes externos, es importante incorporar un componente de relación contractual en el plan anual de capacitación y concientización. Esto debe incluir calificaciones y cursos realizados de manera individual o impartidos a terceros. Cada actividad de formación debe estar documentada y considerada dentro de un plan general.
Para los empleados internos, es importante reconocer que el eslabón más débil en seguridad a menudo es el usuario final. Por lo tanto, requiere una actualización y capacitación constante. La estrategia debe ser “vendida” a los propietarios de fondos de inversión, gerentes y miembros del directorio, ya que la concientización debe originarse en la alta gerencia para que sea asumida efectivamente por los niveles inferiores.
