Uno de los problemas más difíciles en la ciberseguridad corporativa, uno con el que la Comisión de Bolsa y Valores de EE. UU. está luchando abiertamente, es ¿cuándo debe una empresa informar una violación de datos?
La parte más simple es, "¿cuánto tiempo después de que la empresa se da cuenta de la violación debe revelar?" Los diferentes regímenes de cumplimiento tienen números diferentes, pero están relativamente cerca, desde las 72 horas del RGPD hasta los primeros cuatro días de la SEC.
La parte difícil es definir cuándo una entidad corporativa realmente "sabe" que algo ha sucedido. ¿Cuándo exactamente Walmart o ExxonMobil supieron algo? (Si el lenguaje dijera "cuando el CFO de la empresa esté satisfecho de que se ha producido una violación de datos", sería mucho más simple).
Para comprender este problema de conciencia, primero debemos dividirlo en dos elementos distintos:
Comencemos con el primer elemento. Con la excepción de los ataques obvios, como un ataque de ransomware en el que se recibió un rescate con prueba de intrusión, la mayoría de los ataques se presentan gradualmente. Alguien en el SOC detecta una anomalía o algo sospechoso. ¿Es suficiente para informar? Casi seguro que no. Luego, alguien más alto en el SOC se involucra.
Si las cosas aún se ven mal, esto se informa al CISO o al CSO. Este líder podría decir: “Me traicionaste. Necesito informar esto de inmediato al CIO, al CFO y posiblemente al CEO. Si es así, todavía no ha llegado a la etapa de divulgación. Estos otros líderes deben opinar.
Sin embargo, lo más probable es que el CISO/CSO responda diciendo algo como: “Aún no lo ha descubierto todo. Siempre será una de cientos de cosas diferentes. Mire algunas copias de seguridad, haga comparaciones, consulte la web oscura para obtener alguna confirmación. Sigue investigando.
¿Ya empieza el reloj? De nuevo, probablemente no. Una empresa no puede informar todas las investigaciones de ciberseguridad. El nivel de evidencia requerido para justificar la divulgación pública es alto. Después de todo, lástima del pobre ejecutivo que denuncia una infracción que luego resulta ser nada.
Otro factor: la mayoría de los ciberladrones y ciberterroristas son excelentes para ocultar sus huellas y dejar pistas engañosas. El mono con los registros es común, lo que significa que la seguridad de TI solo puede confiar en los registros hasta ahora, al menos inicialmente. Recuerde cuántas veces el primer informe forense difiere significativamente del segundo informe forense. Solo lleva tiempo, incluso para los investigadores forenses experimentados, separar la verdad de cualquier cosa engañosa que dejen los atacantes.
En cuanto a la segunda, ¿quién decide quién debe tomar la decisión final en caso de una violación de datos? Se puede argumentar a favor del mejor experto en seguridad cibernética (presumiblemente el CISO/CSO) o las personas más responsables de la empresa (CEO o junta directiva), pero para algunas empresas el Director de Riesgos puede ser un buen candidato.
¿Cada empresa elige por sí misma? ¿Deberían decidir los reguladores? ¿O deberían los reguladores dejar que cada empresa decida por sí mismos quién será la persona de contacto e informar ese título a los reguladores?
Jim Taylor, gerente de producto del proveedor de seguridad cibernética SecurID, dice que el desencadenante debería ocurrir directamente en el SOC. “El hecho de que algo golpee tu valla no es un desencadenante. Tal vez sea el analista principal, tal vez el líder del SOC”, dijo Taylor. "Tiene que haber una culpa, una responsabilidad por estas cosas".
Pero tener que tomar una decisión demasiado pronto puede ser problemático. Reporte una violación prematuramente y estará en problemas. Informe una infracción demasiado tarde y tendrá problemas. "Estás condenado si lo haces y condenado si no lo haces", dijo Taylor.
La verdad es que esto es difícil y debería serlo. Cada infracción es diferente, cada negocio es diferente y es probable que las reglas de definición rígidas creen más problemas de los que resuelven.
“La naturaleza de cómo ocurrió la filtración es un factor importante para saber cuándo revelarla”, dijo Alex Lisle, CTO de Krytowire, otra firma de seguridad cibernética. "Si piensas en ello lo suficiente como para contratar a un equipo forense, entonces deberías considerar seriamente denunciarlo".
Había una gran línea en el viejo programa de televisión "Scrubs", donde un médico a cargo de un laboratorio de pruebas le pregunta a alguien que quiere volver a hacer la prueba: "¿Crees que me equivoqué o esperas que me haya equivocado?". Esta línea a menudo puede entrar en juego cuando varias personas intentan determinar si la empresa realmente ha sido atacada. ¿El equipo sabe de alguna manera que fueron atacados y espera que una mayor investigación refute esto? ¿O el equipo realmente no lo sabe?
Ahí es donde debe intervenir un oficial de determinación de incumplimiento designado, basado en la experiencia y, sinceramente, en una fuerte intuición. Algunas partes de la ciberseguridad son ciencia pura. Tomar una decisión muy pronto sobre si los datos realmente se han visto afectados a menudo no lo es.
© 2022 IDG Communications, Inc.