Denunciar ciberataques pronto será obligatorio. ¿Está preparada su empresa?

Los regímenes de información obligatoria llegarán a muchos países en los próximos años, tanto si las empresas apoyan la idea como si no. Si bien los detalles varían, estos requisitos tienen por objeto aumentar la visibilidad del gobierno con respecto al alcance, la escala y la intensidad de la ciberactividad maliciosa en sus países. Los argumentos comerciales a favor de este tipo de información desde la perspectiva del gobierno están claros; ningún gobierno tiene actualmente la información sobre incidentes que necesita para proteger su seguridad nacional, su prosperidad económica o la salud y la seguridad públicas en el ciberespacio. Sin embargo, para las empresas, lo que obtienen de estos regímenes no suele estar claro. Pero si los reglamentos se establecen correctamente, las empresas podrían obtener beneficios evidentes. Por lo tanto, la comunidad empresarial debe aprovechar esta oportunidad para convertir estos regímenes de presentación de informes en una estructura que no solo beneficie a los gobiernos y la sociedad, sino también a las empresas individuales al mismo tiempo.

••• En los últimos años, muchos países, incluido el[Estados Unidos](https://www.congress.gov/bill/117th-congress/house-bill/2471/text), [Australia](https://www.cyber.gov.au/report-and-recover/report/report-a-cyber-security-incident#no-back), y [India](https://www.cert-in.org.in/PDF/CERT-In_Directions_70B_28.04.2022.pdf), han impuesto requisitos obligatorios de notificación de ciberincidentes. El [Unión Europea](https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32022L2555&qid=1680727229124&from=en) amplió recientemente sus requisitos de presentación de informes obligatorios mediante su Directiva 2.0 de seguridad de las redes y la información. Si bien los requisitos generales están en vigor en los EE. UU. y la UE, los reglamentos y directrices específicos para poner en práctica estas leyes aún se están desarrollando. En los EE. UU., la Agencia de Ciberseguridad y Seguridad de las Infraestructuras del Departamento de Seguridad Nacional está redactando los reglamentos necesarios para que la ley entre en vigor; ese proceso se prolongará hasta mediados de 2025. Según el proceso de directivas de la UE, cada estado miembro tiene que adoptar leyes para aplicarlo y, en este caso, tiene hasta octubre de 2024 para hacerlo. Otros países están considerando la posibilidad de promulgar leyes similares. Si bien los detalles varían, estos requisitos tienen por objeto aumentar la visibilidad del gobierno con respecto al alcance, la escala y la intensidad de la ciberactividad maliciosa en sus países. Desde la perspectiva del gobierno, los argumentos comerciales a favor de este tipo de información son claros: ningún gobierno tiene actualmente la información sobre incidentes que necesita para proteger su seguridad nacional, su prosperidad económica o la salud y la seguridad públicas en el ciberespacio. Sin embargo, lo que las empresas obtienen de estos regímenes no suele estar claro. De hecho, a muchas empresas les preocupa la posible carga u otros inconvenientes que podría acarrear la denuncia de un ciberincidente. Estas preocupaciones tienen fundamento. Las preguntas sobre la responsabilidad o las sanciones reglamentarias ocupan un lugar destacado en los debates sobre la denuncia de ciberincidentes. La mayoría de las empresas se muestran escépticas por naturaleza ante los mandatos del gobierno, especialmente en términos de cómo se aplicarán cuando una organización se encuentre en una mala situación. Sin embargo, al igual que ocurre con los delitos físicos, aumentar la denuncia de ciberincidentes también puede ayudar a las empresas. ## **Las ventajas de la notificación obligatoria de incidentes para las empresas** La ventaja más obvia de un régimen de denuncia es la asistencia directa en la respuesta a los incidentes. Los gobiernos no pueden ayudar a las empresas si no se enteran de un incidente. A pesar de la percepción popular, incluso el gobierno de los Estados Unidos tiene poca información sobre los incidentes que afectan a la mayoría de las empresas del sector privado. Por lo tanto, los regímenes de presentación de informes crearán oportunidades para que los gobiernos ayuden directamente a las empresas, como el apoyo técnico y económico que reforzaría la respuesta de la empresa a un ciberincidente. No todas las empresas necesitarán o querrán la ayuda del gobierno, pero muchas empresas agradecerían la asistencia técnica o financiera durante una crisis. Dado que los regímenes de notificación obligatoria aumentarán tanto el volumen como la puntualidad de la notificación de incidentes, los gobiernos tendrán una mayor capacidad de advertir a las empresas sobre las amenazas emergentes o posibles problemas antes de que se produzcan. Las agencias de inteligencia utilizan el término «indicaciones y advertencias» para esta actividad y permiten a los destinatarios tomar medidas preparatorias antes de que ocurra algo malo. Advertir a entidades en situaciones similares sobre amenazas específicas que podrían afectarlas de forma razonablemente inminente podría ayudar a esas empresas a detener la amenaza antes de que se convierta en un incidente. Podría proporcionar la justificación necesaria para que una empresa invierta recursos en corregir puntos débiles de larga data o priorizar las mejoras. Además, las advertencias más específicas y oportunas tendrán más credibilidad y protagonismo entre los líderes de la empresa. En la actualidad, entender el impacto y los daños de la ciberactividad malintencionada es difícil debido a los datos incompletos e irregulares. Los regímenes de presentación de informes pedirán a las empresas que denuncien los daños y perjuicios que han sufrido a causa del ciberincidente, incluida la pérdida de ingresos, el pago de rescates, el robo de propiedad intelectual o la información de identificación personal comprometida. Al agregar este tipo de datos a lo largo del tiempo, los gobiernos podrán cuantificar mejor el impacto de la ciberactividad maliciosa. Estos datos respaldarán una amplia variedad de evaluaciones, desde el análisis de costo-beneficio a nivel de empresa individual hasta las decisiones de riesgo-beneficio a nivel nacional. Puede ayudar a informar al mercado de seguros y a refinar las iniciativas de priorización para obtener mejores resultados. Los gobiernos también podrían utilizar los datos notificados para comprender mejor la amenaza y detectar las tendencias o los cambios en el entorno. En la actualidad, carecemos de una buena tasa de referencia de ciberincidentes en todo el ecosistema. Por ejemplo, si el número de incidentes de ransomware aumentó o disminuyó en 2022 en comparación con 2021 depende de la entidad que redacte el informe. A diferencia de muchas otras estadísticas económicas o delictivas, no tenemos ninguna fuente de verdad fundamental. La notificación obligatoria de incidentes generará información sobre tendencias estadísticamente significativa que podrá informar mejor las decisiones políticas. Los datos resultantes ayudarán a medir si las políticas están teniendo el efecto deseado o a arrojar luz sobre la evolución de las tendencias de la ciberactividad malintencionada. Las empresas también pueden utilizar estos datos para tomar decisiones basadas en el riesgo o inversiones a largo plazo, del mismo modo que utilizan otras fuentes de datos gubernamentales. ## **El coste de la notificación obligatoria de incidentes para las empresas** Las tasas de presentación de informes en virtud de los regímenes voluntarios existentes suelen ser muy bajas. Por ejemplo, la Oficina Federal de Investigaciones de los Estados Unidos estima que[menos del 20%](https://www.nytimes.com/2023/01/26/us/politics/justice-department-ransomware-hive.html) de las víctimas de la banda de ransomware Hive denunciaron el ataque al gobierno de los Estados Unidos. Está claro que las empresas ven varios inconvenientes en denunciar incidentes, o lo harían con más frecuencia. Estas preocupaciones suelen girar en torno a posibles acciones reglamentarias o legales, daños a la marca o la reputación o litigios, así como a la falta de beneficio percibido de la denuncia. Por supuesto, los requisitos obligatorios hacen que muchas preocupaciones sean discutibles, porque las empresas no tendrán otra opción. Sin embargo, es interesante que muchas leyes de presentación de informes traten de mitigar algunas de estas preocupaciones. Por ejemplo, en los EE. UU., la Ley de notificación de ciberincidentes para infraestructuras críticas (CIRCIA) prohíbe específicamente a las agencias reguladoras utilizar la información notificada en virtud de la ley como base para una medida reglamentaria. Si bien el regulador aún podría iniciar una investigación bajo sus propios auspicios, el hecho de informar bajo la supervisión de CIRCIA no puede desencadenar esa acción. Los estatutos también suelen abordar las preocupaciones sobre los efectos de un ciberincidente en la marca y la reputación, al exigir que la agencia receptora proteja la información denunciada para que no se divulgue. Por lo tanto, estos regímenes no exigen la divulgación pública, como las notificaciones de incumplimiento; la divulgación es únicamente a determinadas agencias gubernamentales. Si bien es posible que un incidente siga haciéndose público debido a un impacto en las operaciones comerciales de la empresa, dicha divulgación no se deberá a la presentación de informes en virtud de estas leyes. (En los EE. UU., la Comisión de Bolsa y Valores también ha propuesto una norma que obligaría a las empresas que cotizan en bolsa a divulgar públicamente los ciberincidentes, pero la norma propuesta ha recibido un rechazo significativo. Ese tipo de divulgación tendría un propósito diferente al de los regímenes de información descritos en este artículo.) A pesar de estas mitigaciones, los regímenes de presentación de informes impondrán costes reales a las empresas. Denunciar los incidentes requiere esfuerzo. Alguien de la empresa tiene que tomarse el tiempo de escribir el informe y decidir a quién enviárselo. La empresa debe entonces responder a cualquier pregunta que tenga la agencia receptora. Si la organización se encuentra en medio de un ciberincidente que cumple con los criterios de notificación, entonces, por definición, la organización está in extremis. Tomarse un tiempo para informar inevitablemente le quita tiempo a la respuesta a la crisis. Las organizaciones también podrían enfrentarse a varios requisitos de presentación de informes por parte de diferentes agencias gubernamentales o estar sujetas a los regímenes de presentación de informes en diferentes países. La falta de armonización podría dificultar enormemente el cumplimiento de manera eficiente y puntual; de hecho, en algunos casos, un conflicto de leyes puede impedir que una empresa cumpla con ambas. Si los gobiernos no armonizan sus requisitos de presentación de informes entre las agencias o entre las jurisdicciones, podrían acabar imponiendo costes significativos a las empresas y, en los casos más extremos, generar más daños que beneficios. ## **Diseñar el marco adecuado para la notificación obligatoria de ciberincidentes** En general, si bien las empresas tienen preocupaciones legítimas sobre la obligación de denunciar los incidentes, las ventajas pueden superar las desventajas. La oportunidad de recibir asistencia directa y alertas específicas, junto con la posibilidad de tomar decisiones mejor informadas a nivel individual, organizacional y social, pueden hacer que valga la pena los costes adicionales que imponen los regímenes de presentación de informes obligatorios, si esos regímenes se diseñan correctamente. Por lo tanto, la comunidad empresarial debería colaborar con los gobiernos a medida que desarrollen estos regímenes de presentación de informes para garantizar que cumplen los objetivos previstos. Las empresas pueden participar en el proceso de elaboración de normas para dar su opinión. Pueden trabajar con grupos de defensa para dar a conocer sus puntos de vista e inquietudes. La comunidad empresarial debería exigir que los gobiernos trabajen juntos para armonizar los requisitos de presentación de informes en todas las jurisdicciones. Debería pedir a los gobiernos que cumplan ciertos principios al desarrollar estos regímenes, como hacer que los sistemas de presentación de informes sean lo más fáciles de usar posible o permitir informes actualizados una vez que se comprenda mejor el incidente. Con el fin de servir de punto de partida para estos debates, la Alianza contra las Ciberamenazas, el Instituto de Seguridad y Tecnología y otras seis organizaciones publicaron recientemente un marco para desarrollar dichos marcos de forma eficaz. Puede encontrar la versión global del marco de denuncia de ciberincidentes[aquí](https://www.cyberthreatalliance.org/cyber-incident-reporting-framework-global-edition/). Los regímenes de información obligatoria llegarán a la mayoría de las jurisdicciones en los próximos años, tanto si las empresas apoyan la idea como si no. Si esos regímenes se crean correctamente, las empresas podrían obtener beneficios evidentes. Lograr este estado no es una conclusión inevitable, por supuesto; en teoría, los gobiernos podrían implementar requisitos de presentación de informes que causen más daño que beneficio, o crear tantos regímenes de información contradictorios que las empresas no puedan cumplirlos físicamente todos. Por lo tanto, la comunidad empresarial debe aprovechar esta oportunidad para convertir estos regímenes de presentación de informes en una estructura que no solo beneficie a los gobiernos y la sociedad, sino también a las empresas individuales al mismo tiempo.