La Comisión de Bolsa y Valores de los Estados Unidos (SEC, por sus siglas en inglés) ha aprobado nuevas regulaciones que exigen que las empresas que cotizan en bolsa informen violaciones significativas de ciberseguridad en un plazo de cuatro días hábiles. Se ha afirmado que las nuevas regulaciones estrictas, aunque sin duda han sido creado con las mejores intenciones, es probable que haga que algunas empresas se sientan como si estuvieran siendo “microgestionadas” e incluso pueden ser de ayuda para aquellos que cometen un ataque.
Las empresas que cotizan en bolsa estarán obligadas a proporcionar información específica sobre ciberataques “materiales” a partir de diciembre de 2023. Esta información debe incluir “la naturaleza, el alcance y el momento del incidente , así como su impacto material o un impacto material razonablemente probable en el registrante”. ¿Qué significa exactamente el término “impacto material”? Según la Comisión de Bolsa y Valores (SEC), esto incluye “daño a la reputación de una empresa, a las relaciones con los clientes o proveedores, oa la competitividad”, así como el potencial de litigio o acción regulatoria.
No sé mucho sobre ti, pero a mí me parece un término bastante amplio.
Lo que sí sabemos es que en los primeros días de un ataque cibernético, con frecuencia es difícil para una empresa objetivo determinar el tipo de datos y la amplitud de los datos que pueden haber sido comprometidos por piratas informáticos malévolos. Esto es algo de lo que somos conscientes. El robo de datos no es comparable al robo de una cosa física debido a la naturaleza misma de los datos. Si alguien irrumpiera en el museo y robara una pintura, sería bastante evidente lo que se había robado, ya que habría un agujero en la pared donde se exhibió la pintura antes de que fuera retirada.
Sin embargo, es posible que se roben datos de una organización copiándolos y transfiriéndolos a un sitio diferente; los datos en su forma original seguirán siendo accesibles. En pocas palabras, no hay espacio entre la pared y el techo. A veces, las empresas tardan mucho más de cuatro días en poder decir con precisión qué datos pueden haber obtenido los ciberdelincuentes y a qué datos no han accedido.
Y si una empresa no puede hacer ese difícil juicio con precisión, corre el riesgo de revelar información incorrecta o incompleta a las autoridades pertinentes, así como a los socios, trabajadores y consumidores afectados. Ha habido muchas empresas que han sido pirateada en el pasado, y muchas de esas empresas han probado la agonía de revelar una violación de datos, solo para luego tener que hacer una nueva declaración afirmando que se tomaron muchos más datos de lo que se suponía anteriormente, lo que hace más daño a su marca y lazos comerciales.
Además, si una corporación da a conocer ampliamente que una violación de datos fue mucho más grave de lo que realmente fue, a menudo le resultará difícil reparar el daño causado por la primera revelación de la violación. Además, una empresa que es apresurarse para cumplir con una fecha límite puede sentirse obligado a revelar que ha sido víctima de una vulnerabilidad de día cero no informada anteriormente antes de que haya tenido la oportunidad de informar adecuadamente el problema a un proveedor y antes de que una solución se haga públicamente accesible. Esto puede suceder incluso si la empresa ha tenido suficiente tiempo para informar el problema y antes de que haya un parche disponible. Una exposición pública de fallas puede dar lugar a que otros ciberdelincuentes busquen explotar la misma vulnerabilidad en otros ataques contra otras empresas. Este puede ser el caso si las vulnerabilidades son lo suficientemente graves.
Como resultado, puedo empatizar con las empresas a las que les preocupa que las autoridades puedan presionarlas para que informen un ciberataque antes de que hayan recopilado todos los datos relevantes y, por lo tanto, antes de que estén completamente preparadas para hacerlo.
Por otro lado, es muy claro que algunas empresas en el pasado han ocultado intencionalmente información sobre un ataque cibernético, han minimizado la verdadera gravedad del ataque o solo han publicado detalles de una infracción en el momento en que es probable que cause el menor daño a su reputación (tal vez un viernes por la tarde, o justo antes del feriado de Acción de Gracias). Todas estas acciones han sido tomadas en el pasado.
Al final, las corporaciones se ven obligadas a tomar medidas defensivas, no solo frente a los ciberataques sino también frente a la pérdida de clientes.
En palabras del jefe de la SEC, Gary Gensler, revelar las infracciones de una “manera más consistente, comparable y útil para la toma de decisiones” parece beneficioso y debería aumentar la apertura.
Aunque no hay duda de que esto podría ofrecer algunas ventajas al público en general, y en general será apreciado, también causará problemas para las empresas inmediatamente después de un ataque, cuando pueden sentir que deberían poner sus recursos para más vale apagar el fuego que está delante de ellos.
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.