Se avecinan nuevas normas de ciberseguridad. He aquí cómo prepararse.
Por Stuart Madnick
La ciberseguridad ha llegado a un punto de inflexión. Después de décadas de que las organizaciones del sector privado tuvieran que ocuparse más o menos de los ciberincidentes por su cuenta, la escala y el impacto de los ciberataques significa que las consecuencias de estos incidentes pueden extenderse a través de las sociedades y las fronteras.
Ahora, los gobiernos sienten la necesidad de «hacer algo» y muchos se están planteando nuevas leyes y reglamentos. Sin embargo, los legisladores a menudo tienen dificultades para regular la tecnología, responden a la urgencia política y la mayoría no tiene un conocimiento firme de la tecnología que pretenden controlar. Las consecuencias, los impactos y las incertidumbres en las empresas a menudo no se dan cuenta hasta después.
En los Estados Unidos, se avecina todo un conjunto de nuevas normas y medidas de aplicación: la Comisión Federal de Comercio, la Administración de Alimentos y Medicamentos, el Departamento de Transporte, el Departamento de Energía y la Agencia de Ciberseguridad y Seguridad de las Infraestructuras están trabajando en nuevas normas. Además, solo en 2021, 36 estados promulgaron una nueva legislación de ciberseguridad. A nivel mundial, hay muchas iniciativas, como los requisitos de localización de datos de China y Rusia, los requisitos de notificación de incidentes Cert-in de la India y el GDPR de la UE y su notificación de incidentes.
Sin embargo, las empresas no tienen que quedarse de brazos cruzados y esperar a que se redacten las normas y, a continuación, se apliquen. Más bien, tienen que trabajar ahora para comprender el tipo de regulaciones que se están considerando actualmente, determinar las incertidumbres y los posibles impactos y prepararse para actuar.
Lo que no sabemos sobre los ciberataques
Hasta la fecha, las regulaciones relacionadas con la ciberseguridad de la mayoría de los países se han centrado en la privacidad más que en la ciberseguridad, por lo que la mayoría de los ataques a la ciberseguridad no están obligados a denunciarse. Si se roba información privada, como nombres y números de tarjetas de crédito, debe informarse a la autoridad correspondiente. Pero, por ejemplo, cuando Colonial Pipeline sufrió un ataque de ransomware eso provocó el cierre del gasoducto que suministraba combustible a casi el 50% de la costa este de EE. UU., No estaba obligado a denunciarlo porque no se robó información personal. (Por supuesto, es difícil mantener las cosas en secreto cuando miles de gasolineras no pueden conseguir combustible).
Como resultado, es casi imposible saber cuántos ciberataques hay realmente y qué forma adoptan. Algunos han sugerido que solo Se informa del 25% de los incidentes de ciberseguridad, otros dicen solo alrededor del 18%, otros dicen eso Se informa un 10% o menos.
La verdad es que no sabemos lo que no sabemos. Es una situación terrible. Como dijo la famosa frase del gurú de la gestión Peter Drucker: «Si no puede medirlo, no puede gestionarlo».
¿Qué debe informarse, quién y cuándo?
Los gobiernos han decidido que este enfoque es insostenible. En los Estados Unidos, por ejemplo, el Casa Blanca, Congreso, la Comisión de Bolsa y Valores (SEC), y muchas otras agencias y gobiernos locales están considerando, persiguiendo o empezando a aplicar nuevas normas que obligarían a las empresas a informar sobre los ciberincidentes, especialmente industrias de infraestructura crítica, como energía, atención médica, comunicaciones y servicios financieros. Según estas nuevas reglas, Colonial Pipeline tendría que informar de un ataque de ransomware.
Hasta cierto punto, estos requisitos se han inspirado en los informes recomendados para «cuasi accidentes» o «cierre de llamadas» para aviones: Cuando un avión se acerca a estrellarse, se les exige que presenten un informe para que los fallos que provocan estos eventos puedan identificarse y evitarse en el futuro.
A primera vista, un requisito similar de ciberseguridad parece muy razonable. El problema es que lo que debería considerarse un «incidente» de ciberseguridad es mucho menos claro que el «cuasi accidente» de que dos aviones estén más cerca de lo permitido. Un «incidente» cibernético es algo que podría haber llevado a una infracción cibernética, pero no necesita haberse convertido en una infracción cibernética real: Por una definición oficial, solo requiere una acción que «ponga en peligro inminente» un sistema o presente una «amenaza inminente» de infringir una ley.
Sin embargo, esto deja a las empresas navegando por muchas zonas grises. Por ejemplo, si alguien intenta iniciar sesión en su sistema pero se le deniega porque la contraseña es incorrecta. ¿Es una «amenaza inminente»? ¿Qué hay de un correo electrónico de phishing? O alguien que busque una vulnerabilidad común y conocida, como la vulnerabilidad log4j, ¿en su sistema? ¿Y si un atacante realmente entrara en su sistema, pero fuera descubierto y expulsado antes de que se produjera ningún daño?
Esta ambigüedad exige que las empresas y los reguladores logren un equilibrio. Todas las empresas están más seguras cuando hay más información sobre lo que intentan hacer los atacantes, pero eso requiere que las empresas informen de los incidentes significativos de manera oportuna. Por ejemplo, basándonos en los datos recopilados de los informes de incidentes actuales, nos enteramos de que solo 288 fuera de casi 200 000 vulnerabilidades conocidas de la Base Nacional de Datos de Vulnerabilidades (NVD) se están explotando activamente en ataques de ransomware. Saber esto permite a las empresas priorizar abordar estas vulnerabilidades.
Por otro lado, el uso de una definición demasiado amplia podría significar que una empresa grande normal podría verse obligada a informar de miles de incidentes al día, incluso si la mayoría eran correos electrónicos no deseados que se ignoraban o rechazaban. Producir estos informes sería una carga enorme tanto para la empresa como para la agencia que tendría que procesar y dar sentido a tal avalancha de informes.
Las empresas internacionales también tendrán que navegar por los diferentes estándares de presentación de informes de la Unión Europea, Australia y en otros lugares, incluida la rapidez con la que se debe presentar una denuncia, ya sea seis horas en la India, 72 horas en la UE según el RGPD, o cuatro días hábiles en los Estados Unidos y, a menudo, muchas variaciones en cada país, ya que hay una avalancha de regulaciones que provienen de diversas agencias.
Qué pueden hacer las empresas ahora
Asegúrese de que sus procedimientos están a la altura.
Las empresas sujetas a la normativa de la SEC, que incluye a la mayoría de las grandes empresas de los Estados Unidos, deben definir rápidamente la «materialidad» y revisar sus políticas y procedimientos actuales para determinar si se aplica «materialidad», a la luz de la nueva normativa. Es probable que tengan que revisarlos para agilizar su funcionamiento, especialmente si estas decisiones deben tomarse con frecuencia y rapidez.
Mantenga actualizadas las políticas de ransomware.
También se están formulando reglamentos en áreas como la notificación de ataques de ransomware e incluso por lo que es un delito pagar un rescate. Es necesario revisar las políticas de la empresa relativas al pago con ransomware, junto con los posibles cambios en las políticas de ciberseguro.
Prepárese para la «lista de materiales de software» requerida para examinar mejor su cadena de suministro digital.
Muchas empresas no sabían que tenían la vulnerabilidad log4j en sus sistemas porque ese software a menudo se incluía con otro software que venía incluido con otro software. Se están proponiendo reglamentos para exigir a las empresas que mantengan una información detallada y actualizada Lista de materiales de software (LDM) para que puedan conocer de forma rápida y precisa todas las diferentes piezas de software integradas en sus complejos sistemas informáticos.
Aunque una LDM de servicio también es útil para otros fines, puede que requiera cambios significativos en la forma en que se desarrolla y adquiere el software en su empresa. La dirección debe revisar el impacto de estos cambios.
¿Qué más debe hacer?
Alguien, o probablemente un grupo de su empresa, debería revisar estas normas nuevas o propuestas y evaluar el impacto que tendrán en su organización. Rara vez se trata solo de detalles técnicos que se dejan a su equipo de tecnología de la información o de ciberseguridad, tienen implicaciones para toda la empresa y posibles cambios en muchas políticas y procedimientos de toda la organización. En la medida en que la mayoría de estas nuevas normas sigan siendo maleables, es posible que su organización quiera influir activamente en qué dirección toman estas normas y cómo se aplican y se hacen cumplir.
Agradecimiento: Esta investigación contó con el apoyo, en parte, de fondos de los miembros del consorcio Cybersecurity at MIT Sloan (CAMS).
