Son muchas y variadas las previsiones a realizar en cuanto a cuáles son los principales retos en ciberseguridad en el 2024. Y es probable que algunos de ellos sean compartidos por los profesionales del ámbito de la ciberseguridad. Pero también pueden ser diferentes según afecten al ámbito del compliance, o bien tengan una trascendencia desde el punto de vista técnico o ético.
Desde un punto de vista técnico, referido a las medidas de seguridad que deben proteger los sistemas, destaca su trascendencia y actualidad. Esto se observa en la reciente normativa de la Unión Europea. Desde que enfoca al control de riesgo, ha ido incluido en las matrices de riesgo de las organizaciones a la ciberseguridad. Por ello, encontramos un amplio margen de avance y mejora en el ámbito de la ciberseguridad dentro del compliance y sus programas internos o en el denominado «soft law».
Normativa de ciberseguridad
La normativa aprobada en los últimos años es numerosa y tiene gran repercusión desde el punto de vista empresarial, ético y social. Este desarrollo legislativo responde al interés e importancia que la Unión Europea atribuye a la normativa en lo relativo a la ciberseguridad. Estas son algunas de las normativas a destacar: la Directiva sobre Seguridad de las Redes y los Sistemas de Información, comúnmente conocida como NIS 2; el Reglamento DORA, sobre la resiliencia operativa digital para el sector financiero; la Directiva relativa a la resiliencia de las entidades críticas (CER) y la Ley de Inteligencia Artificial.
La Directiva NIS 2 amplía la ciberseguridad a la cadena de suministro de las tecnologías de la información y la comunicación, lo que supone un reto importante en todas las organizaciones. Especialmente en lo referente a servicios relacionados con el Internet de las Cosas.
Estas normativas llevan aparejadas un estricto sistema de comunicación de incidentes de seguridad acompañado de importantes sanciones, que incluyen elevadas multas administrativas. Así se conseguirá una mayor concienciación en materia de ciberseguridad. Por consiguiente, abarca tanto las capas de dirección y de gestión como la primera línea de las organizaciones que opera en los servicios y gestiona los datos; entre otros, los de carácter personal.
Por otro lado, los programas de compliance internos deben actualizarse incluyendo el enfoque del riesgo en ciberseguridad, implantando controles efectivos: auditorías periódicas o la disponibilidad de un plan de continuidad de negocio efectivo. Estos últimos deben asegurar una correcta gestión de las crisis y contemplar la coordinación interna de la entidad y su vuelta a la normalidad en el menor tiempo posible.
En todo caso, no podemos olvidar lo que nos señala la Agencia Española de Protección de Datos. Aunque las medidas de seguridad no son un medio para proteger a las organizaciones y a las personas, su protección transciende el ámbito de las organizaciones. Y esto tiene un impacto en el individuo y en la sociedad. Todo ello tendrá una especial trascendencia cuando un ciberataque afecte a datos personales de la esfera íntima de la persona y pueda causar posibles filtraciones o un uso poco ético de los mismos.
Nuevos desafíos
En definitiva, la ciberseguridad deberá tener como objetivo la protección. Pero no solo de las entidades, sino también del individuo. Y no ser una herramienta que limite o controle los derechos y libertades de los ciudadanos. Por ejemplo, la nueva Ley de Inteligencia Artificial regula una materia que aporta múltiples posibilidades, pero que va acompañada de numerosos riesgos asociados, pudiendo convertirse en un aliado para los ciberdelincuentes.
Así se presentan nuevos desafíos, mucho más sofisticados, tanto desde el punto de vista legal como ético. A nivel ético debemos ser conscientes de que la inteligencia artificial puede llevar a la toma de decisiones automatizadas, así como de que existen algoritmos con riesgo de sesgos que generen resultados injustos o discriminatorios para el individuo y que puedan comprometer la integridad y la confianza en el proceso. Por todo ello, no podemos pasar de largo de la trascendencia ética de la ciberseguridad. El uso no controlado de las nuevas tecnologías, al carecer éstas de ética, puede generar importantes riesgos para las personas y para la sociedad.
La entrada Los principales retos de la ciberseguridad en 2024 se publicó primero en Red Seguridad.
