Technology and analytics

Llegan nuevas normas de ciberseguridad. He aquí cómo prepararse.

Astraed

6 min read

Se avecina todo un conjunto de nuevas normas y normas de ciberseguridad, tanto a nivel estatal como federal en los EE. UU. y en todo el mundo. Sin embargo, las empresas no tienen que quedarse de brazos cruzados y esperar a que se redacten las reglas y luego se implementen. Más bien, tienen que trabajar ahora para entender los tipos de reglamentos que se están considerando actualmente, determinar las incertidumbres y los posibles impactos y prepararse para actuar.

••• La ciberseguridad ha llegado a un punto de inflexión. Tras décadas en las que se deja que las organizaciones del sector privado se ocupen más o menos por sí mismas de los ciberincidentes, la magnitud y el impacto de los ciberataques hacen que las consecuencias de estos incidentes puedan extenderse a todas las sociedades y las fronteras. Ahora, los gobiernos sienten la necesidad de «hacer algo» y muchos están considerando la posibilidad de promulgar nuevas leyes y reglamentos. Sin embargo, los legisladores a menudo se esfuerzan por regular la tecnología; responden a la urgencia política y la mayoría no tiene un conocimiento firme de la tecnología que pretenden controlar. Las consecuencias, los impactos y las incertidumbres en las empresas a menudo no se dan cuenta hasta después. En los Estados Unidos, se avecina toda una serie de nuevas normas y su aplicación: la Comisión Federal de Comercio, la Administración de Alimentos y Medicamentos, el Departamento de Transporte, el Departamento de Energía y la Agencia de Ciberseguridad y Seguridad de la Infraestructura están trabajando en nuevas normas. Además, solo en 2021, 36 estados promulgaron nuevas leyes de ciberseguridad. A nivel mundial, hay muchas iniciativas, como los requisitos de localización de datos de China y Rusia, los requisitos de notificación de incidentes certificados de la India y el RGPD de la UE y su notificación de incidentes. Sin embargo, las empresas no tienen que quedarse de brazos cruzados y esperar a que se redacten las reglas y luego se implementen. Más bien, tienen que trabajar ahora para entender los tipos de reglamentos que se están considerando actualmente, determinar las incertidumbres y los posibles impactos y prepararse para actuar. ## **Lo que no sabemos sobre los ciberataques** Hasta la fecha, las normas de la mayoría de los países relacionadas con la ciberseguridad se han centrado en la privacidad más que en la ciberseguridad, por lo que no es necesario denunciar la mayoría de los ataques de ciberseguridad. Si roban información privada, como nombres y números de tarjetas de crédito, debe denunciarse a la autoridad correspondiente. Pero, por ejemplo, cuando[Colonial Pipeline sufrió un ataque de ransomware](https://www.techtarget.com/whatis/feature/Colonial-Pipeline-hack-explained-Everything-you-need-to-know) eso provocó el cierre del oleoducto que suministraba combustible a casi el 50% de la costa este de los EE. UU., no estaba obligado a denunciarlo porque no se robó ningún dato personal. (Por supuesto, es difícil mantener las cosas en secreto cuando miles de gasolineras no pueden conseguir combustible.) Como resultado, es casi imposible saber cuántos ciberataques hay realmente y qué forma adoptan. Algunos han sugerido que solo[Se denuncian el 25% de los incidentes de ciberseguridad](https://www.rpc.senate.gov/policy-papers/new-cybersecurity-incident-reporting-law), otros dicen [solo alrededor del 18%](https://www.aximglobal.com/if-so-much-cybercrime-is-undetected-and-unreported-whats-the-answer), otros dicen que [Se declara un 10% o menos](https://www.wsj.com/articles/why-some-of-the-worst-cyberattacks-in-health-care-go-unreported-1497814241). La verdad es que no sabemos lo que no sabemos. Es una situación terrible. Como dijo el famoso gurú de la gestión Peter Drucker: «Si no puede medirlo, no puede gestionarlo». ## **¿Qué debe denunciarse, quién y cuándo?** Los gobiernos han decidido que este enfoque es insostenible. En los Estados Unidos, por ejemplo, el[Casa Blanca](https://www.jdsupra.com/legalnews/the-cyber-incident-reporting-for-6977192/#:~:text=%3E-,The%20Cyber%20Incident%20Reporting%20for%20Critical%20Infrastructure%20Act%20of%202022,72%20hours%20of%20the%20companies), [Congreso](https://www.congress.gov/bill/117th-congress/senate-bill/3600/text), el [Comisión de Bolsa y Valores (SEC)](https://www.hklaw.com/en/insights/publications/2022/03/sec-proposes-cybersecurity-incident-and-governance-disclosure) y muchos otros organismos y gobiernos locales están considerando, aplicando o empezando a hacer cumplir nuevas normas que obligarían a las empresas a denunciar los ciberincidentes, especialmente[industrias de infraestructuras críticas](https://www.cisa.gov/critical-infrastructure-sectors), como la energía, la atención médica, las comunicaciones y los servicios financieros. Según estas nuevas normas, Colonial Pipeline tendría que denunciar un ataque de ransomware. Hasta cierto punto, estos requisitos se han inspirado en los informes recomendados para[«cuasiaccidentes» o «escalas cerradas» para aviones](https://www.researchgate.net/publication/320543786_Categorization_of_Near-Collision_Close_Calls_Reported_to_the_Aviation_Safety_Reporting_System): Cuando las aeronaves están a punto de estrellarse, tienen que presentar un informe para poder identificar y evitar las averías que provocan este tipo de eventos en el futuro. A primera vista, un requisito similar de ciberseguridad parece muy razonable. El problema es que lo que debería considerarse un «incidente» de ciberseguridad está mucho menos claro que el «cuasiaccidente» de dos aviones que están más cerca de lo permitido. Un «incidente» cibernético es algo que podría haber provocado una ciberviolación, pero no tiene por qué convertirse en una ciberviolación real: por[una definición oficial](https://www.govinfo.gov/content/pkg/USCODE-2015-title44/html/USCODE-2015-title44-chap35-subchapII-sec3552.htm), solo requiere una acción que «ponga en peligro inminente» un sistema o represente una «amenaza inminente» de infringir una ley. Sin embargo, esto deja a las empresas navegando por una gran zona gris. Por ejemplo, si alguien intenta iniciar sesión en su sistema pero se le niega porque la contraseña es incorrecta. ¿Es una «amenaza inminente»? ¿Qué hay de un correo electrónico de suplantación de identidad? O alguien que busca una vulnerabilidad conocida y común, como[la vulnerabilidad log4j](https://theconversation.com/what-is-log4j-a-cybersecurity-expert-explains-the-latest-internet-vulnerability-how-bad-it-is-and-whats-at-stake-173896), ¿en su sistema? ¿Y si un atacante entrara realmente en su sistema, pero lo descubrieran y lo expulsaran antes de que se produjera ningún daño? Esta ambigüedad exige que las empresas y los reguladores logren un equilibrio. Todas las empresas están más seguras cuando hay más información sobre lo que los atacantes intentan hacer, pero eso exige que las empresas denuncien los incidentes importantes de manera oportuna. Por ejemplo, basándonos en los datos recopilados de los informes de incidentes actuales, nos enteramos de que[solo 288](https://www.hipaajournal.com/unpatched-vulnerabilities-are-the-most-common-attack-vector-exploited-by-ransomware-actors/) fuera del casi[200 000 vulnerabilidades conocidas](https://nvd.nist.gov/general/nvd-dashboard) en la Base de Datos Nacional de Vulnerabilidades (NVD) están siendo explotados activamente en ataques de ransomware. Saber esto permite a las empresas priorizar la solución de estas vulnerabilidades. Por otro lado, utilizar una definición demasiado amplia podría significar que una gran empresa normal tendría que denunciar miles de incidentes al día, incluso si la mayoría fueran correos de spam que se ignoraban o rechazaban. Elaborar estos informes representaría una enorme carga tanto para la empresa como para la agencia, que tendría que procesar y dar sentido a semejante avalancha de informes. Las empresas internacionales también tendrán que navegar por las diferentes normas de información del[Unión Europea](https://www.enisa.europa.eu/topics/incident-reporting), [Australia](https://www.cyber.gov.au/acsc/view-all-content/advice/guidelines-cyber-security-incidents) y en otros lugares, incluida la rapidez con la que se debe presentar una denuncia, ya sea[seis horas en la India](https://www.bleepingcomputer.com/news/security/india-to-require-cybersecurity-incident-reporting-within-six-hours/), [72 horas en la UE según el RGPD](https://www.siteimprove.com/glossary/gdpr-data-breaches/#:~:text=Reporting%20Data%20Breaches&text=Article%2033%20of%20the%20GDPR,of%20becoming%20aware%20of%20it), o [cuatro días hábiles en los Estados Unidos](https://www.hklaw.com/en/insights/publications/2022/03/sec-proposes-cybersecurity-incident-and-governance-disclosure) y, a menudo, muchas variaciones en cada país, ya que hay una avalancha de reglamentos que provienen de diversas agencias. ## **Lo que las empresas pueden hacer ahora** ### **Asegúrese de que sus procedimientos están a la altura de las circunstancias.** Las empresas sujetas a la normativa de la SEC, que incluye a la mayoría de las grandes empresas de los Estados Unidos, tienen que definir rápidamente la «materialidad» y revisar sus políticas y procedimientos actuales para determinar si se aplica la «materialidad», a la luz de estas nuevas normas. Es probable que tengan que revisarlas para agilizar sus operaciones, especialmente si esas decisiones se deben tomar con frecuencia y rapidez. ### **Mantenga actualizadas las políticas de ransomware.** También se están formulando reglamentos en áreas como la denuncia de ataques de ransomware e incluso[tipificar como delito pagar un rescate](https://www.natlawreview.com/article/not-my-backyard-nc-becomes-first-state-to-prohibit-public-entities-paying-ransoms). Es necesario revisar las políticas de la empresa en relación con el pago del ransomware, junto con los posibles cambios en las pólizas de ciberseguro. ### **Prepárese para la «lista de materiales de software» requerida para analizar mejor su cadena de suministro digital**. Muchas empresas no sabían que tenían la vulnerabilidad log4j en sus sistemas porque ese software solía ir incluido con otro software que venía incluido con otro software. Se están proponiendo reglamentos que obligan a las empresas a mantener un detallado y actualizado[Lista de materiales del software (SBOM)](https://www.cisa.gov/sbom) para que puedan conocer de forma rápida y precisa los diferentes programas integrados en sus complejos sistemas informáticos. Aunque una SBOM también es útil para otros fines, puede que requiera cambios significativos en la forma en que se desarrolla y adquiere el software en su empresa. La dirección debe revisar el impacto de estos cambios. ## **¿Qué más debe hacer?** Alguien, o probablemente un grupo de su empresa, debería revisar estos reglamentos nuevos o propuestos y evaluar el impacto que tendrán en su organización. Rara vez se trata solo de detalles técnicos que se dejan en manos de su equipo de tecnología de la información o ciberseguridad; tienen implicaciones en toda la empresa y es probable que cambien muchas políticas y procedimientos de la organización. En la medida en que la mayoría de estos nuevos reglamentos sigan siendo maleables, tal vez su organización quiera influir activamente en las direcciones que toman estos reglamentos y en la forma en que se implementan y hacen cumplir. _Reconocimiento: Esta investigación se financió, en parte, con fondos de los miembros del consorcio Cybersecurity at MIT Sloan (CAMS)._

Read more