Tres temas que serán clave para la protección empresarial en 2023
- Actualidad
Pese a que la coyuntura económica, marcada por la inflación y la crisis energética, marca las agendas de los directivos, la seguridad informática no debe caer en el olvido. Para las empresas será fundamental garantizar la protección de las cadenas de suministro, blindar sus datos en la nube y realizar una gestión adecuada de sus activos criptográficos. Resumimos la forma de abordar estos tres temas, según Utimaco.
|
Recomendados.... » Ciberseguridad y normativa: claves de la confianza del ciudadano en los servicios públicos Acceder
|
Nils Gerhardt, director de Tecnología de la firma, ha identificado tres temas que cobrarán especial relevancia a lo largo de los próximos doce meses:
Asegurar las cadenas de suministro: físicas y digitales
Las cadenas de suministro siguen siendo uno de los temas que definen a una gran variedad de industrias y el tema también nos acompañará en el nuevo año. Por ejemplo, la Ley de Diligencia Debida en la Cadena de Suministro entró en vigor el 1 de enero. Para poder cumplir la normativa, la visibilidad y la auditabilidad a lo largo de toda la cadena de suministro desempeñarán un papel importante. Al mismo tiempo, las empresas también se preocupan por asegurar sus cadenas de suministro. Además de las cadenas de suministro físico de productos, esto también se aplica a la cadena de suministro de software.
En las cadenas de suministro de hardware, por ejemplo, es importante comprobar si los componentes conectados en red son originales. Mientras tanto, circulan por aquí grandes cantidades de mercancías falsificadas que no se pueden distinguir fácilmente de las auténticas. El firmware inseguro de estos componentes puede convertirse en una peligrosa puerta de entrada a los sistemas conectados en red. Por lo tanto, se necesitan soluciones para garantizar la autenticidad de dichas piezas. Con la llamada inyección de claves, es posible dar a las partes una identidad criptográficamente segura que se pueda comprobar fácilmente por distintas autoridades.
En el ámbito del software, se pueden utilizar las llamadas listas de materiales de software (SBOM), que muestran qué componentes (de código abierto) se han utilizado. Además, las relaciones entre los distintos componentes de la cadena de suministro de software se hacen transparentes. Esto permite identificar más rápidamente el origen de las vulnerabilidades en el software. Recientemente se ha exigido a las autoridades estadounidenses que soliciten un SBOM y la documentación del proceso a sus proveedores de software para garantizar la integridad del código. Podemos suponer que en el futuro esta información también tendrá más demanda en Europa.
Las plataformas de bajo código/sin código son cada vez más populares en las empresas de hoy en día, ya que permiten desarrollar aplicaciones de forma rápida y barata sin conocimientos de programación dedicados. Sin embargo, los usuarios no suelen saber exactamente qué componentes se están utilizando ni cuándo se actualizaron. Un reto en el futuro será proporcionar mecanismos de seguridad para estas plataformas. Otro aspecto de la seguridad de la cadena de suministro de software está relacionado con la entrega continua. Aquí debe garantizarse que terceros no consigan inyectar código malicioso en el proceso y que todos los componentes de código abierto utilizados sean seguros.
Informática confidencial
La nube es ineludible y cada vez son más las cargas de trabajo críticas que se trasladan allí. Sin embargo, esto también aumenta la necesidad de seguridad. Además, las empresas deben asegurarse de que no entren en conflicto con la normativa europea de protección de datos a través de sus relaciones comerciales con los grandes hiperescaladores. También existen requisitos de cumplimiento específicos de la industria.
En este contexto, la informática confidencial describe un enfoque para blindar el procesamiento de datos en la nube de tal forma que ni siquiera el proveedor tenga conocimiento de ello. Los datos permanecen encriptados el mayor tiempo posible y durante la ejecución se encuentran en un exclave cerrado, es decir, una máquina virtual o un contenedor. Esto, a su vez, crea la necesidad de gestionar las identidades de los usuarios para autorizar su acceso. Los proveedores criptográficos pueden ayudar con esto y con la gestión de claves para el cifrado de datos. En el futuro, cada vez más empresas confiarán en el cifrado en la nube y, por tanto, también aumentará la demanda de criptografía, gestión de claves y raíz de confianza de hardware.
Gestión de la criptografía
A menudo, las empresas actuales ni siquiera son conscientes del tipo de criptografía que utilizan realmente, de los certificados que emplean ni de cuándo caducan. Existe una gran incertidumbre y la necesidad de conocer mejor la propia infraestructura y de asegurar los distintos canales de comunicación es cada vez mayor. Por esta razón, las empresas preocupadas por la seguridad están iniciando cada vez más evaluaciones de criptografía. Otro paso es la gestión de activos con visión de futuro, por ejemplo, cuando un algoritmo está obsoleto. En el futuro, será importante encontrar soluciones y definir procesos para modernizar continuamente sus propios activos criptográficos. El objetivo es lograr la llamada criptoagilidad, de forma que los algoritmos se adapten directamente si se rompe un determinado método de encriptación, por ejemplo, mediante ordenadores cuánticos.
