ClickCease Otra mirada a la responsabilidad en ciberseguridad

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Otra mirada a la responsabilidad en ciberseguridad

por Joao Correia

28 de noviembre de 2023 - Evangelista técnico

  • Los incidentes de ciberseguridad son algo más que problemas de disponibilidad
  • Actores malintencionados utilizan el proceso judicial en su beneficio
  • La responsabilidad personal por mala gestión de la ciberseguridad es cada vez más común

 

Los incidentes de ciberseguridad, que antes se consideraban trastornos menores, se han convertido en amenazas significativas con consecuencias de gran alcance. Inicialmente considerados como contratiempos temporales, se subestimó su impacto en las operaciones empresariales. Con el tiempo, ha aumentado la conciencia de sus implicaciones financieras, como los pagos de rescates y las multas reglamentarias. Este cambio de percepción se intensificó aún más cuando la responsabilidad legal por fallos de ciberseguridad se extendió a las responsabilidades penales, alterando significativamente el panorama y elevando lo que está en juego para la gestión de la ciberseguridad.

 

Contexto histórico: Un "mal día en la oficina"

 

Históricamente, los incidentes de ciberseguridad se consideraban "malos días en la oficina", que perturbaban el negocio pero no provocaban daños duraderos. Esta perspectiva provocaba una desconexión entre el ámbito digital del ciberespacio y las consecuencias en el mundo real. Las organizaciones se centraban en la recuperación a corto plazo, pasando por alto a menudo la necesidad de estrategias de ciberseguridad a largo plazo. Este enfoque dio lugar a incidentes repetidos, cada uno tratado como sucesos aislados en lugar de síntomas de vulnerabilidades sistémicas.

 

Estado actual: De los riesgos operativos a las responsabilidades penales

 

El paso a considerar los fallos de ciberseguridad como posibles motivos de acusación penal queda ejemplificado por el caso de ex Director General de Vastaamo en Finlandia. Tras una filtración masiva de datos que puso en peligro datos confidenciales de pacientes, el ex Consejero Delegado fue acusado y condenado a una pena de prisión (suspendida). pena de prisión (suspendida).

 

La brecha expuso los datos personales y las notas de las sesiones de terapia de decenas de miles de pacientes, algunos de los cuales se publicaron en la dark web. El tribunal concluyó que el exdirector general no cumplió los requisitos del RGPD al no cifrar los datos de los pacientes, conocía las deficiencias de ciberseguridad desde hacía años e intentó ocultar las violaciones, lo que le hizo responsable penalmente.

 

Tácticas emergentes de los ciberdelincuentes: Explotación de los sistemas jurídicos

 

Los ciberdelincuentes son cada vez más sofisticados y aprovechan los sistemas legales para aumentar sus ataques. Una banda de ransomware, ALPHV/BlackCat, presentó una demanda ante la SEC contra MeridianLink, su propia víctimapor no informar de una importante violación de datos causada por los propios ALPHV/BlackCat. Esta táctica innovadora de utilizar los requisitos legales para la divulgación obligatoria de incidentes de ciberseguridad contra las víctimas pone de relieve una tendencia preocupante en la que los ciberdelincuentes utilizan las lagunas legales para aumentar la presión sobre sus objetivos, redefiniendo las reglas de la extorsión digital.

 

Como referencia, se trata del mismo actor de amenazas que al parecer estuvo detrás del pirateo de los casinos de Las Vegas (los incidentes de MGM y Caesars en septiembre). 

 

Aunque la SEC no actuó a raíz de la denuncia del actor de la amenaza, ello se debió en parte a que no había entrado en vigor una resolución reciente (la SEC ha aprobado un nuevo plazo para la presentación de informes, pero no entrará en vigor hasta mediados de diciembre). Esto suscita preocupación por la laguna aprovechada por el agente de la amenaza, pero también por la eficacia del regulador: parecía haber material fáctico detrás de la denuncia que debería haber llevado a la acción al regulador, en una situación que se describe mejor con una memorable cita cinematográfica: "(...)perros y gatos viviendo juntos(...)".

 

En un giro un tanto inesperado de los acontecimientos, todos estos incidentes pueden dar lugar a una reducción de la informes (obligatorios)ya que los CEO/CIO/CISO sopesan la responsabilidad legal potencial frente a los riesgos potenciales de no informar en absoluto.

 

Esto también se relaciona perfectamente con otro problema, que es el tiempo que una brecha pasa sin ser detectada después del acceso inicial (con estimaciones que sitúan esta cifra en más de 270 días, según un informe de IBM de 2022). 270 días, según un informe de IBM de 2022). Si se permite que continúe esta laguna legal, este tiempo sin detectar es más que suficiente para que se presente una denuncia sobre una violación no notificada, y será objetivamente correcta.

 

Caso práctico: SolarWinds y un mayor escrutinio legal

 

El caso SolarWinds es un buen ejemplo del aumento del escrutinio legal en materia de ciberseguridad. La SEC acusó a SolarWinds y a su CISO de ocultar prácticas y riesgos de ciberseguridad deficientes. y riesgos de ciberseguridad, lo que supone la primera vez que la SEC interpone una demanda contra un particular por ciberseguridad.

 

La demanda alegaba que, desde su salida a bolsa en 2018 hasta al menos diciembre de 2020, SolarWinds hizo declaraciones públicas engañosas sobre sus prácticas de ciberseguridad, no divulgó vulnerabilidades y brechas conocidas y no mantuvo controles adecuados para proteger sus activos críticos. Este caso pone de relieve la expectativa de una divulgación precisa de los riesgos de ciberseguridad y la responsabilidad personal de los ejecutivos y responsables de seguridad.

 

Una nueva era de responsabilidad en materia de ciberseguridad

 

La evolución de los incidentes de ciberseguridad de riesgos operativos a motivos de responsabilidad penal marca un cambio significativo en la forma en que las empresas y sus líderes deben abordar la ciberseguridad. Es un mensaje claro a las organizaciones y a sus directivos para que den prioridad a medidas de ciberseguridad sólidas, cumplan los requisitos normativos y sean transparentes en sus prácticas de ciberseguridad. No hacerlo puede acarrear graves repercusiones legales y financieras, no sólo para la organización, sino también a nivel personal para quienes están al mando. A medida que evoluciona el panorama de las amenazas a la ciberseguridad, también deben hacerlo las estrategias para combatirlas, haciendo hincapié en la prevención, la transparencia y la responsabilidad.

 

Tal vez este sea el empujón que haga que las preocupaciones en materia de ciberseguridad pasen finalmente a primer plano en todos los sectores.

Resumen
Otra mirada a la responsabilidad en ciberseguridad
Nombre del artículo
Otra mirada a la responsabilidad en ciberseguridad
Descripción
Sumérjase en nuestro último artículo para un análisis en profundidad de este cambio crítico en el panorama de la ciberseguridad. Más información aquí.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Conviértete en escritor invitado de TuxCare

Correo

¡Ayúdenos a comprender
el panorama de Linux!

Complete nuestra encuesta sobre el estado del código abierto y podrá ganar uno de varios premios, ¡el máximo valorado en 500 dólares!

Su experiencia es necesaria para dar forma al futuro de Enterprise Linux.