Un aumento en los incidentes de ransomware y la adopción de inteligencia artificial se consideran riesgos de datos potenciales que enfrentan las organizaciones de infraestructura crítica de Australia, según un nuevo informe. Esta noticia llega cuando las nuevas reglas de seguridad cibernética bajo la Ley de Seguridad de Infraestructura Crítica de 2018 entran en vigencia en agosto de 2024. La Edición de Infraestructura Crítica del Informe de Amenazas de Datos de 2024, de la organización tecnológica Thales, encontró que los incidentes de ransomware en organizaciones de infraestructura crítica están aumentando a nivel mundial, incluso mientras estas organizaciones exploran las aplicaciones y los riesgos de datos de la IA. En una conversación con TechRepublic, el Director de Seguridad de Datos de Thales ANZ, Erick Reyes, dijo que los atacantes de ransomware tienen más probabilidades de apuntar a organizaciones de infraestructura crítica que poseen datos críticos. Recomienda adoptar un enfoque de múltiples capas para la seguridad, convirtiéndolo en una parte fundamental del desarrollo tecnológico. Organizaciones de infraestructura crítica que hacen malabarismos con ransomware e IA El informe de Thales encontró que el 42% de las organizaciones de infraestructura crítica en todos los mercados globales encuestados sufrieron una vulneración en algún momento en el pasado, un 7% menos que todas las industrias. En los últimos 12 meses, solo el 15% había sido vulnerado, frente al 22% cuando se realizó la encuesta en 2021. El ransomware está aumentando, pero la preparación es deficiente El veinticuatro por ciento de las organizaciones de infraestructura crítica global informaron que habían experimentado un ataque de ransomware en el pasado, un 4% más que en 2022. A nivel mundial, solo el 15% de las organizaciones encuestadas tenían un plan de respuesta formal para un ataque de ransomware, un 5% menos que en todas las industrias. VER: Cómo mejorar los conceptos básicos de ciberseguridad industrial podría ayudar en APAC Violaciones de datos: a menudo resultado de errores humanos El error humano provocó el 34% de las violaciones de datos basadas en la nube en infraestructura crítica, un 4% más que el promedio de todas las industrias. La falta de aplicación de la autenticación multifactor a las cuentas privilegiadas también fue un problema importante, que causó el 20% de las violaciones, un 6% más que otras industrias juntas. La adopción de IA está sucediendo a pesar de las preocupaciones por el riesgo El veintiséis por ciento de las organizaciones de infraestructura crítica planean integrar IA en sus productos principales el próximo año. Thales dijo que la adopción de IA está ocurriendo a pesar de que la infraestructura crítica es la más preocupada (69%) por gestionar los rápidos riesgos ambientales y operativos de la tecnología emergente. El ransomware se ha convertido en un problema global Reyes dijo que las organizaciones australianas de infraestructura crítica encuestadas en el Informe de Amenazas de Datos de 2024, junto con otras en el mercado, informaron comentarios similares a sus contrapartes globales. Este fue particularmente el caso cuando se trató de la amenaza del ransomware. El valor de los datos que tienen estas organizaciones fue el impulsor esencial de los ciberdelincuentes, dijo. «Para las organizaciones de infraestructura crítica en Australia, una vez que también se trata de datos muy críticos, es cuando se convierte en el objetivo principal de los ciberdelincuentes», explicó. ¿Qué es lo que «mantiene a la mayoría de la gente despierta por la noche»? La adopción de IA también se está produciendo entre las organizaciones de infraestructura crítica en Australia. Reyes dijo que la mayoría de las organizaciones de infraestructura crítica, desde los proveedores de telecomunicaciones hasta los del sector del transporte y la logística, habían estado invirtiendo en tecnologías de IA en los últimos años. Buscaban hacer sus operaciones más eficientes, impulsar el ahorro de costos e innovar, dijo. El impulso a la innovación está impulsando a las organizaciones a adoptar rápidamente la IA. Reyes dijo: «Lo que mantiene a la mayoría de las personas despiertas por la noche es si los equipos de ciberseguridad están preparados o no para enfrentar lo que viene». Más cobertura de Australia La Ley SOCI podría ayudar a que la infraestructura crítica australiana sea segura Una regulación mejorada podría impulsar a las organizaciones de infraestructura crítica australianas a ser más seguras. Australia introdujo la nueva Ley SOCI en 2018 La Ley de Seguridad de la Infraestructura Crítica de 2018, que rige los riesgos de la infraestructura crítica en Australia, se modificó en 2020 para ampliar la definición de infraestructura crítica a una gama más amplia de industrias, incluidos los servicios financieros, la salud, la educación superior y el almacenamiento y procesamiento de datos. La ciberseguridad es un foco de atención para las organizaciones bajo la Ley SOCI. Las nuevas reglas introducidas en agosto de 2024 requieren que las entidades de infraestructura crítica hayan establecido y mantengan un marco de ciberseguridad para su nivel de madurez para proteger los datos como parte de un programa de gestión de riesgos más amplio. VER: ¿Deberían los profesionales australianos de ciberseguridad preocuparse por los ataques patrocinados por el estado? El aumento del nivel de cumplimiento dificulta las infracciones El informe de Thales mostró una fuerte correlación entre los logros de cumplimiento y la reducción de las infracciones: entre los encuestados de infraestructura crítica que dijeron que habían fallado una auditoría de cumplimiento en los últimos 12 meses, el 84% informó haber experimentado alguna infracción en su historial. En contraste, entre las organizaciones de infraestructura crítica que no fallaron una auditoría de cumplimiento, solo el 17% tiene un historial de infracciones y solo el 2% sufrió infracciones en los últimos 12 meses. Se pueden implementar más mejoras en la seguridad La Ley SOCI podría significar resultados de seguridad más positivos para la infraestructura crítica. Reyes dijo que algunas industrias menos dependientes de la tecnología operativa, como los servicios financieros, están liderando el camino para la protección de datos, mientras que las industrias más tradicionales con tecnología operativa aún se están poniendo al día. Agregó que la OT se está convirtiendo en un objetivo cada vez mayor para los cibercriminales a medida que la tecnología operativa se fusiona más con la TI. Si bien las organizaciones de infraestructura crítica tradicionales están en el camino hacia una mejor seguridad a través de un mayor conocimiento y conciencia, Reyes advirtió que «aún no hemos llegado allí». Dónde deben enfocarse las organizaciones australianas Las organizaciones de infraestructura crítica australianas deben enfocarse en la seguridad, dijo Reyes. «Saben que esto es importante; saben lo que necesitan hacer; “Saben cómo es un buen modelado cibernético”, dijo. “Ahora se trata más de cómo se vuelven proactivos y se preguntan cómo pueden llevar eso un paso más allá donde, si algo sucede, saben que los activos críticos que tienen pueden protegerse”. Integrar la seguridad como parte del diseño futuro DevSecOps ofrece un marco valioso para que las organizaciones lo consideren al abordar los aspectos de TI y OT de la infraestructura crítica. Reyes enfatizó que no se debe subestimar el requisito de buenas prácticas de seguridad durante todo el proceso. Un enfoque de múltiples capas para la seguridad de CI Si bien la seguridad en el borde a través de la gestión de identidades es importante, Reyes dijo que las organizaciones de infraestructura crítica necesitarán cada vez más pensar de manera multidimensional sobre cómo proteger los activos críticos. Esto comienza con conocer los activos que tienen que proteger, por qué deben protegerlos y luego controlar esos riesgos. Reyes mencionó que los riesgos de las cadenas de suministro, así como las tecnologías emergentes como la IA o la computación cuántica, áreas en las que el NIST ha publicado recientemente nuevos estándares, son todos factores que los proveedores de infraestructura crítica deben considerar como parte de un enfoque de múltiples capas. Convertir el conocimiento en proactividad El Informe sobre amenazas a los datos de 2024 concluyó que las empresas de infraestructura crítica deben tomar medidas proactivas que puedan controlar. Eso puede implicar la implementación de respuestas formales al ransomware para cumplir con éxito con la auditoría. “Las nuevas tecnologías como 5G, la nube, IAM y GenAI prometen nuevas eficiencias cuando se programan en operaciones de CI”, afirma el informe. “Las mayores expectativas y los mayores compromisos en torno a la resiliencia y la confiabilidad operativas llevarán a las empresas a una posición de mayor seguridad y menor susceptibilidad”.