Sunteți pregătiți pentru noile provocări de securitate ce vor apărea în următorii doi ani?
5 min read
Securitatea cibernetică a reprezentat, și anul acesta, una dintre temele centrale dezbătute în cadrul Forumului economic mondial de la Davos, Elveția. Un subiect de actualitate și extrem de important pentru majoritatea participanților la eveniment, așa cum a demonstrat-o și studiul „Global Cybersecurity Outlook 2023”, care arată că 91% dintre respondenți se tem de un posibil atac cibernetic de amploare care ar putea surveni în următorii doi ani. România nu este scutită de asemenea riscuri – conform datelor Directoratului Național de Securitate Cibernetică (DNSC) anul trecut, la nivelul lunii octombrie, erau detectate zilnic între 500.000 și 800.000 de evenimente de securitate cibernetică, iar evoluția este ascendentă.
În acest context, organizațiile locale – din mediul privat sau public – au nevoie să fie avertizate de potențialele atacuri și amenințări cu care se pot confrunta, pentru a putea adopta o strategie eficientă de prevenție. Pentru a veni în sprijinul lor, am realizat o trecere în revistă a previziunilor realizate de compania de analiză Gartner, din perspectiva impactului pe care îl pot avea aceste tendințe asupra departamentelor IT și, în mod special, asupra responsabililor cu securitatea.
Iată care sunt previziunile Gartner pe zona de securitate pentru următorii doi ani:
- Până în 2025, 60% dintre organizații vor adopta o strategie de securitate de tip „Zero Trust” pentru a răspunde mai eficient noilor tipuri de riscuri cu care se confruntă, alimentate de extinderea suprafeței de atac. Experții citați estimează, însă, că aproape jumătate dintre companiile care vor adopta această nouă abordare a securității nu vor reuși să obțină toate beneficiile scontate.
- Majoritatea organizațiilor vor adopta o strategie unificată de securizare a accesului la web, servicii cloud și aplicații on-premises folosind platforme de tip Security Service Edge (SSE). Conceptul SSE, introdus de Gartner în 2021, se referă la soluțiile de securitate de tip platformă convergentă, bazată pe servicii cloud, livrată de un singur furnizor. Platformele SSE asigură accelerarea proceselor de transformare digitală ale organizațiilor, fiind o componentă esențială pentru construirea unei arhitecturi hibride de securitate, capabilă să se adapteze flexibil la o gamă extinsă de scenarii de lucru. Potrivit Gartner, SSE este livrată în principal ca o platformă cloud-based, concepută astfel încât să integreze facil și componente on-premises. Componentele și capacitățile de bază ale SSE includ: controlul accesului, protecția împotriva amenințărilor, securizarea datelor, monitorizarea nivelului de protecție și controlul utilizării aplicațiilor.
- Importanța tot mai mare acordată securității în cadrul organizațiilor este vizibilă și în schimbările de abordare survenite la nivelul top managementului. Astfel, conform estimărilor Gartner, până în 2025, 60% dintre organizații vor utiliza riscul de securitate cibernetică drept principal criteriu în efectuarea de tranzacții cu terți și în încheierea parteneriatelor de afaceri. Totodată, în următorii doi ani aproape trei sferturi (70%) dintre directorii executivi vor impune adoptarea unei culturi a rezilienței organizaționale. Iar până în 2026, 50% dintre executivii C-level vor avea cerințe de performanță legate de risc încorporate în contractele lor de muncă.
- Până în 2025, 30% dintre statele lumii vor adopta în legislațiile naționale prevederi de reglementare a plăților, negocierilor și amenzilor în cazul atacurilor ransomware. Tot sub impulsul reglementărilor, drepturile legate de confidențialitate ale consumatorilor vor deveni tot mai importante, acoperind, la nivel global, 5 miliarde de persoane și peste 70% din PIB-ul mondial.
Toate aceste evoluții vor genera schimbări importante în cadrul companiilor – atât la nivel intern, cât și extern – și care vor obliga la adoptarea unor noi abordări organzaționale și de tehnologii de securitate.
De exemplu, faptul că executivii C-level vor avea incluse elemente de risc în contractele lor de angajare va genera, inevitabil, o mai mare atenție acordată securității informatice la nivelul întregii organizații. Ceea ce nu poate fi decât benefic pentru responsabilii cu securitatea, care vor putea astfel debloca bugete mai consistente pentru inițiativele de reducere a riscurilor.
Similar va acționa și includerea componentei de reziliență în cultura organizațională. În prezent, tot mai mulți CISO (Chief Information Security Officer) pledează pentru o schimbare a culturii în domeniul securității cibernetice în sensul implicării managementului ca parte a securității globale a organizației. Adoptarea rezilienței ca principiu fundamental al culturii organizaționale poate fi instrumentul de care au nevoie CISO în demersul lor de schimbare și de obținere a suportului decizional necesar.
Schimbarea perspectivei de business prin introducerea riscului ca factor de evaluare a oportunității de a face afaceri cu terți reprezintă un răspuns direct la problemele concrete de securitate generate de lanțurile de aprovizionare și de partenerii de business – aspect abordat explicit și în noua directivă de securitate NIS 2, care va trebui adoptată până în toamna lui 2024. Din această cauză, capacitatea de a evalua și integra nivelul de securitate al partenerilor în calculul de risc al organizației va deveni rapid o cerință tot mai frecventă. Dar și o problemă reală pentru responsabilii cu securitatea informatică, mulți dintre aceștia fiind deja suprasolicitați de provocările introduse de trecerea la un nou mod de lucru, de cerințele de conformitate tot mai stricte, realizarea de audituri etc.
Problema se va complica în timp pentru că, pe zona de conformitate și raportare, noi cerințe de confidențialitate vor fi adoptate de tot mai multe țări care vor dori să asigure o protecție mai bună a vieții private a cetățenilor lor. Amploarea domeniului de aplicare și reglementările deja în vigoare, precum GDPR, obligă deja mulți CISO la o abordare proactivă la nivelul organizațiilor în care activează. Adoptarea de noi aplicații de protecție și proceduri este completată însă prin măsuri de raționalizare a volumelor de date. Măsuri care au la bază o întrebare pertinentă și care se va auzi tot mai frecvent în următorii doi ani în toate departamentele care interacționează cu clienții: „Aveți cu adevărat nevoie de aceste date?”.
În ceea ce privește reglementarea modalităților de răspuns la atacurile ransomware – care vor fi și în 2023 în topul amenințărilor informatice, atât ca frecvență, cât și ca valoare a pagubelor generate –, discuțiile sunt intense. Aspectele morale, juridice și practice ale efectuării plăților către atacatori suscită opinii diferite. Unul din punctele de vedere care începe să aibă tot mai mulți adepți este acela că reglementarea acestui aspect prin introducerea unor prevederi la nivelul legislațiilor naționale ar putea funcționa ca un factor de descurajare a atacurilor. Principalul argument în acest sens este că, dacă victima nu poate plăti, fiindu-i interzis prin lege, riscul de atac scade. Pe de altă parte, este însă foarte posibil ca atacatorii să își adapteze instrumentele și modul de lucru la noile reglementări, astfel încât să genereze atacuri cu impact extrem de puternic, mai ales la nivel operațional. Iar evoluțiile înregistrate demonstrează că acest lucru este posibil deja.
Dincolo de argumente și supoziții, cert este însă că adoptarea unei strategii de securitate dezvoltată pe principiile abordării „Zero Trust” poate reduce considerabil riscul atacurilor ransomware, precum și al altor amenințări informatice. Pentru a reuși însă să obțină nivelul de protecție dorit, responsabilii cu securitatea cibernetică trebuie să accepte faptul că „Zero Trust” nu înseamnă doar tehnologie – aceasta este o componentă esențială a strategiei –, dar și schimbări la nivel organizațional, cu precădere a modului în care este percepută și promovată securitatea în cadrul companiei.
Următorii doi ani vor aduce schimbări și provocări numeroase pe zona de securitate cibernetică, dar nu numai, pentru toate organizațiile, indiferent de domeniul lor de activitate sau dimensiune. Dacă doriți să aflați cum vă poate ajuta Cisco să nu fiți luați prin surprindere de ele, vă invităm să ne contactați la solutiicisco@cisco.com