Lo que necesitas saber
- Las violaciones de ciberseguridad parecen ser más comunes con las recientes violaciones de alto perfil de MGM, Ardent Hospital, Xfinity e Insomniac.
- Los ciberdelincuentes tienen un incentivo para seguir atacando a estas empresas; las empresas necesitan más incentivos para mejorar la protección en lugar de planificar la recuperación de una infracción.
- El 15 de diciembre entraron en vigor nuevas normas de la SEC que obligan a cualquier empresa pública a revelar un incidente cibernético en un plazo de cuatro días.
- Otras regulaciones gubernamentales también están obligando a las empresas a cumplir con un estándar básico de cumplimiento de ciberseguridad con la esperanza de proteger a nuestro país y a nuestros aliados.
Parece que no puede pasar una semana sin escuchar sobre una violación masiva de ciberseguridad de alto perfil. La comidilla de la ciudad en el mundo de los juegos en este momento es la reciente violación de ransomware de Insomniac por parte del grupo de ransomware Rhysida. Sin embargo, algunas infracciones más importantes que han tenido lugar en los últimos 30 días serían la infracción del Ardent Hospital que afectó a 30 hospitales en 4 estados. Xfinity confirmó una infracción la semana pasada y reveló que la información de 36 millones de clientes fue afectada o robada.
Algo tiene que cambiar, y recientemente incluso Satya Nadella, director ejecutivo de Microsoft, pidió una mayor regulación de la ciberseguridad. Echemos un vistazo a algunos de los cambios recientes en la regulación de la ciberseguridad en los EE. UU. y si pueden ayudar a proteger a las empresas de los ciberataques.
¿Por qué el gobierno de Estados Unidos está imponiendo más regulaciones para la ciberseguridad?
Como también se mencionó anteriormente, recientemente se han producido tantas violaciones de ciberseguridad inmensas que es difícil nombrarlas todas. También se ha hablado mucho de supuestos reporteros o medios periodísticos que no desean discutir las filtraciones que provienen de una violación de datos, específicamente en el caso de los próximos juegos filtrados de Insomniac. Algunos de los argumentos que dieron estos medios fueron que debemos pensar en el elemento humano, como profesional de ciberseguridad, esto me molesta porque no están pensando en el elemento humano en el departamento de ciberseguridad.
La mayoría de las personas que han trabajado en una gran empresa saben que los departamentos con menor financiación suelen ser los departamentos de Tecnología de la Información y Ciberseguridad. Desafortunadamente, las empresas no parecen querer invertir en ciberseguridad adecuada hasta que han sufrido una infracción.
Empresas de ciberseguridad tiene muchas estadísticas e investigaciones excelentes sobre el panorama global de la ciberseguridad. El equipo de Cybersecurity Ventures publicó un vídeo en el que se analiza el coste estimado de los daños causados por la ciberdelincuencia en 2023.
Dado que la mayoría de las empresas han decidido, correctamente, no pagar rescates, los únicos efectos restantes que podrían sentir por tener una ciberseguridad laxa sería una pérdida financiera debido a la filtración de sus planes. No creo que se deba permitir que los ciberdelincuentes ataquen a estas empresas y se salgan con la suya, pero también creo que las empresas deberían tener más miedo a que sus datos sean vulnerados y, basándose en ese miedo, invertir en contratar y financiar más personal de ciberseguridad. para proteger su empresa. Si las empresas pueden ser negligentes en la protección de sus datos, sufrir una violación de datos y luego tener un impacto negativo relativamente pequeño en los resultados de la empresa, entonces estas empresas seguirán infrafinanciando sus departamentos de ciberseguridad.
Sin embargo, es de esperar que algunas de estas regulaciones impidan que eso suceda. Al obligar a las empresas públicas a revelar incidentes de ciberseguridad en un plazo de cuatro días e imponer mínimos obligatorios de ciberseguridad para casi todos los sectores de la economía, debería haber menos posibilidades de que una empresa sufra una infracción por negligencia, que es el mejor de los casos tanto para las empresas como para los industria profesional de ciberseguridad.
Actualmente, muchas empresas públicas ofrecen información sobre ciberseguridad a los inversores. Sin embargo, creo que tanto las empresas como los inversores se beneficiarían si esta divulgación se hiciera de una manera más coherente, comparable y útil para tomar decisiones. Al ayudar a garantizar que las empresas divulguen información importante sobre ciberseguridad, las normas actuales beneficiarán a los inversores, las empresas y los mercados que los conectan”.
Presidente de la SEC, Gary Gensler
¿Qué regulaciones ha implementado el Gobierno estadounidense para mejorar la ciberseguridad?
El 26 de julio de 2023, la SEC publicó un presione soltar que entrarían en vigor nuevas reglas que obligarían a todas las empresas que cotizan en bolsa a revelar incidentes de ciberseguridad dentro de los cuatro días posteriores a que la empresa se diera cuenta del incidente. El 15 de diciembre de 2023, estas nuevas reglas entraron en vigor, pero con poca fanfarria.
El 26 de julio de 2023, la SEC publicó un ts en el que el público se entera de una violación de datos por parte de un grupo de ransomware, pero en cambio se entera de la propia empresa. Las empresas tienen un gran incentivo para ignorar el problema y no informar al respecto, ya que puede afectar negativamente a los precios de las acciones. Sin embargo, con esta nueva regulación en vigor, las empresas tendrán que reforzar sus equipos de respuesta a incidentes para que puedan reaccionar eficazmente ante los incidentes de ciberseguridad, remediarlos, realizar descubrimientos para encontrar qué datos se vieron afectados y escribir todo eso en un nuevo documento. Artículo 1.05 del Formulario 8-K dentro de solo cuatro días del descubrimiento del incidente.
Las nuevas reglas requerirán que los registrantes revelen en el nuevo Artículo 1.05 del Formulario 8-K cualquier incidente de seguridad cibernética que determinen como material y describan los aspectos materiales de la naturaleza, el alcance y el momento del incidente, así como su impacto material o razonablemente. probable impacto material en el solicitante de registro. Por lo general, el Formulario 8-K del Artículo 1.05 deberá presentarse cuatro días hábiles después de que un registrante determine que un incidente de ciberseguridad es importante. La divulgación puede retrasarse si el Fiscal General de los Estados Unidos determina que la divulgación inmediata representaría un riesgo sustancial para la seguridad nacional o pública y notifica a la Comisión dicha determinación por escrito.
SEC de EE. UU.
Esta nueva regla llega después de una Orden Ejecutiva de mayo de 2021 lo que aumentó considerablemente la supervisión gubernamental de la ciberseguridad. Varias agencias han impuesto sus propias regulaciones, como la Nuevos requisitos de la Administración de Seguridad del Transporte (TSA)el Reglamento de adquisiciones del Departamento de Seguridad Nacional (DHS)el Ley de notificación de incidentes cibernéticos para infraestructuras críticas de 2022 (CIRCIA)y el Agencia de Protección Ambiental Ciberseguridad para el Sector Agua.
La Agencia de Seguridad de Infraestructura y Ciberseguridad ha tomado nota 16 sectores de infraestructura crítica que deben seguir la Directiva de Política Presidencial 21 (PPD-21): Seguridad y Resiliencia de Infraestructuras Críticas que «promueve una política nacional para fortalecer y mantener una infraestructura crítica segura, funcional y resiliente».
Para mejorar la presentación de informes y el cumplimiento, el gobierno ha implementado protecciones para los denunciantes.
«Si trabaja en cualquiera de estos sectores de infraestructura crítica y cree que ha sufrido represalias por plantear inquietudes a su empleador o a los reguladores sobre la infraestructura crítica, puede comunicarse con la Administración de Salud y Seguridad Ocupacional (OSHA) del Departamento de Trabajo de EE. UU. El Programa de Protección de Denunciantes aplica más de 20 estatutos contra represalias que pueden proteger su denuncia».
CISA.gov
Estas protecciones a los denunciantes también se están volviendo más relevantes para sectores no críticos. Por JDSupra.com «En octubre de 2022, Penn State fue demandada por un ex director de información (CIO) por supuestamente no salvaguardar a CUI como se exige contractualmente y por presentar, a sabiendas, informes falsos de cumplimiento de seguridad».
Este es el tipo de actividad que debe cesar. Las empresas financiarán insuficientemente sus departamentos de ciberseguridad, lo que provocará agotamiento y expectativas imposibles en los pocos analistas de ciberseguridad que han contratado, y cuando la empresa no cumple con un estándar mínimo, simplemente falsifican los informes de cumplimiento y afirman que están cumpliendo con los estándares.
Hoy anunciamos adjudicaciones de más de $28 millones combinados a siete denunciantes cuya información y asistencia condujeron a una acción de cumplimiento exitosa de la SEC.https://t.co/5yUT09r3yX22 de diciembre de 2023
¿Por qué son importantes las regulaciones de ciberseguridad y cómo ayudan a la profesión de ciberseguridad?
Si el concepto aquí es un poco difícil de entender, considérelo como un equipo de fútbol americano de la NFL.
- El propietario del equipo de la NFL es el alto directivo de una empresa.
- El entrenador en jefe es el director de seguridad de la información y su personal son los demás miembros de ciberseguridad del departamento.
- A veces, un entrenador en jefe tiene todos los fondos, el talento y las instalaciones que el propietario puede brindarle y aún así pierde el juego.
- Pero por lo general, el entrenador en jefe está luchando con los dueños sobre qué selecciones de draft elegir, qué talento intercambiar y no recibe el apoyo que necesitan.
- En este caso, si el entrenador en jefe tiene una temporada perdedora, generalmente se le responsabiliza y se le despide junto con la mayor parte de su cuerpo técnico.
Lo mismo ocurre en Ciberseguridad. La mayoría de las personas en la industria saben que si se produce una infracción en una empresa, generalmente son el CISO y la alta dirección de ciberseguridad los que se verán obligados a recurrir a sus espadas; sin embargo, la alta dirección normalmente es inmune a cualquier repercusión.
Con suerte, con mejores regulaciones y supervisión, las empresas determinarán que el riesgo y el costo de una financiación insuficiente y un apoyo insuficiente al departamento de ciberseguridad es mayor que el de crear un departamento de ciberseguridad eficiente y bien mantenido que sea ágil, esté debidamente capacitado y preparado para manejar los cambios constantes. ataques de enemigos de Estados Unidos y sus aliados.
El gobierno ha llegado tan lejos recientemente para realmente demandar a personas y empresas negligentes que condujeron a una infracción masiva que permitió a actores maliciosos acceder a agencias del gobierno de EE. UU. y afectó directamente la seguridad nacional.
La SEC dice que SolarWinds y su entonces vicepresidente de seguridad, Tim Brown, defraudaron a inversores y clientes «mediante declaraciones erróneas, omisiones y esquemas» que ocultaban tanto las «malas prácticas de ciberseguridad» de la empresa como sus mayores (y crecientes) riesgos de ciberseguridad.
Frank Bajak a través de la fortuna
Esta es una acción sin precedentes por parte del gobierno y ha puesto sobre aviso a las empresas de todo el país. Normalmente no soy partidario de la regulación gubernamental, pero en lo que respecta a la ciberseguridad, parece ser casi tan importante como las leyes que regulan la necesidad de un seguro de automóvil. Si no existiera una ley que exigiera un seguro de automóvil, muchas personas renunciarían a él pensando que simplemente conducirían con cuidado y no sufrirían un accidente.
Lo mismo parece ser cierto para los ejecutivos de alto nivel que dirigen estas corporaciones masivas, en el sentido de que piensan que pueden simplemente unir con cinta adhesiva un departamento de ciberseguridad, dejarlos sin los recursos adecuados y podrán esquivar los ataques de ciberseguridad, o si sufren una infracción, simplemente se ocuparán de las consecuencias y la recuperación. Es triste que el mundo se haya vuelto muy insensible a las filtraciones de datos. Ha llegado el momento en que a la mayoría de las personas les han robado su información privada, incluido el nombre, la fecha de nacimiento y el número de seguro social, tantas veces que todos hemos recibido monitoreo de crédito gratuito durante años (cada vez que le roban sus datos, usted reciba monitoreo de crédito gratis).
Siendo todo esto así, me alegro de que el gobierno se esté tomando en serio la ciberseguridad. No se equivoquen, la guerra se puede librar a través de los 1 y 0 que impulsan toda nuestra tecnología, y todo está conectado. Las empresas necesitan protegerse a sí mismas, a sus empleados y a sus clientes. Claro, tal vez la pérdida de 63 millones de registros de clientes de Xfinity en una infracción no afecte la seguridad nacional directamente, pero ¿qué pasa si uno de esos clientes de Xfinity es un analista de la NSA y, debido a la práctica común de reutilización de contraseñas, los atacantes pueden acceder a las cuentas del analista para otros? sistemas? Este tipo de hipótesis no están fuera de lo posible, especialmente si participan actores del Estado-nación.
¿Quiere adentrarse en la ciberseguridad? Echa un vistazo a nuestro Cómo empezar en la guía de ciberseguridad.
¿Qué opinas de que el gobierno trabaje para aumentar las regulaciones sobre las empresas para mejorar la ciberseguridad general? ¿Cree que puede ayudar a reducir la cantidad de infracciones que escuchamos en las noticias? Háganos saber en los comentarios.