Reducción del tiempo: todo se acelera
La era digital se caracteriza por una verdad incontrovertible: el cambio. Ya se trate de los rápidos avances en inteligencia artificial, del asombroso descubrimiento de nuevas vulnerabilidades de seguridad o de la rápida publicación de parches para mitigar esas amenazas, el ritmo del cambio en TI es implacable.
Seguir el ritmo
Para quienes trabajan en este campo, es estimulante ser testigo de estos avances. Siempre que usted y su organización puedan seguir el ritmo.
Desafortunadamente, sabemos muy bien que las organizaciones están luchando con la aplicación oportuna de parches, a pesar de los requisitos de cumplimiento que exigen plazos de 30 días -y en algunos casos de 14 días- para parchear vulnerabilidades conocidas. Es una verdad alarmante que ilustra una preocupación creciente en el panorama de la ciberseguridad.
Además, cada vez está más claro que es humanamente imposible mantenerse al día con la avalancha constante de información sobre ciberseguridad y nuevos exploits. El sector está recurriendo a la automatización para hacer frente a la avalancha, pero incluso esta solución no está exenta de dificultades.
Nuevas normas en el horizonte
Están surgiendo normativas más estrictas, sobre todo por parte de la Comisión del Mercado de Valores (SEC). Ya hemos anteriormente el enfoque de la SEC para asignar responsabilidades en situaciones en las que no se han seguido las "mejores prácticas".. Ahora van un paso más allá.
A partir de finales de agosto, las organizaciones tendrán que presentar información específica sobre los incidentes de ciberseguridad de que hayan sido objeto, incluido cualquier "incidente material de ciberseguridad" que experimenten en un plazo de cuatro días. También tendrán que divulgar anualmente información agregada sobre gestión de riesgos de ciberseguridad, estrategia y gobernanza.
Si recuerdan, la divulgación obligatoria de información de ciberseguridad en torno a incidentes ha estado en el radar desde principios del año pasado, cuando la Casa Blanca anunció nuevas normas en tales situaciones. Estas últimas normas de la SEC no hacen más que reforzar esta idea.
El 26 de julio de 2023 la SEC anunció que había "adoptado normas que exigen a los registrantes revelar los incidentes materiales de ciberseguridad que experimenten y divulgar anualmente información material sobre su gestión de riesgos de ciberseguridad, estrategia y gobernanza." Esto entrará en vigor 30 días después de la fecha de publicación.
La lógica que subyace a esta decisión es un enfoque provisional de la divulgación de incidentes similar al que ya existe en situaciones como interrupciones de la producción, catástrofes naturales y otros sucesos que pueden afectar directamente a la valoración de una empresa o a su posición en el mercado.
Más vale tarde que nunca parece un tópico apropiado para estas nuevas normas. Durante años hemos sido testigos de múltiples incidentes millonarios en todos los sectores y con empresas de todos los tamaños. Hace poco, Western Digital cerró su infraestructura en la nube como consecuencia de un incidente de piratería informática que sufrió. Es obvio que estos incidentes pueden tener, y de hecho tienen, un impacto directo en la cuenta de resultados.
Sin embargo, aún queda mucho por identificar con claridad. Experimentar un incidente de ciberseguridad puede ser cualquier cosa, desde un intento de phishing hasta una brecha exitosa que pasa desapercibida durante meses, dependiendo de cómo se enfoque la seguridad. Exponer una dirección IP en Internet atrae a bots maliciosos en cuestión de minutos. Si hay que informar de todos ellos, es más que probable que esto resulte abrumador para cualquier equipo de TI. Si se eleva el listón para considerar únicamente la divulgación involuntaria de información o el robo de datos, se da cierto margen de maniobra a las empresas para eludir la normativa, simplemente alegando que no tienen conocimiento de que se haya filtrado tal información, lo que puede ser cierto hasta que se demuestre lo contrario, durante mucho más de cuatro días.
Reflexiones finales
Estas nuevas normas marcan un punto de inflexión en la forma en que las organizaciones gestionan la ciberseguridad. El cumplimiento ya no será una sugerencia, sino un requisito estricto. Las crecientes complejidades y responsabilidades que se imponen a las empresas aumentarán sin duda la carga que supone mantenerse al día en el vertiginoso mundo de las TI.
Sin embargo, el objetivo general está claro: garantizar la transparencia y la responsabilidad en un entorno en el que lo que está en juego aumenta continuamente. La reducción del plazo para responder a las vulnerabilidades, evaluar los riesgos y aplicar las mejores prácticas es a la vez un reto y una oportunidad.
Las organizaciones deben aprovechar este momento para perfeccionar sus estrategias de ciberseguridad y alinearse con estas nuevas normas. El futuro de la ciberseguridad depende de nuestra capacidad para adaptarnos, innovar y mantener los más altos niveles de integridad y vigilancia. Al final, el esfuerzo no sólo protegerá a las organizaciones individuales, sino que también fortificará el ecosistema más amplio contra las ciberamenazas en constante evolución.