Uno de los pequeños secretos sucios de muchas, quizá aun la mayor parte, de las compañías es que más que jamás aceptan que han sido pirateadas. Otros acaban pagando ransomware, mas jamás descubrieron este profundo y obscuro secreto. Tras todo, ¿quién desea aceptar frente al planeta, y sus clientes del servicio, que fueron atrapados con los pantalones de seguridad bajados?
Bueno, las cosas están a puntito de mudar. En el proyecto de ley de financiación gubernativo de uno con cinco billones de dólares estadounidenses firmado últimamente, las nuevas leyes de ciberseguridad demandan que las compañías notifiquen velozmente sobre las infracciones de datos y los pagos de ransomware.
Hoppla!
Por supuesto, aún se suponía que debía informar sobre los delitos cibernéticos al Centro de protestas sobre delitos en Internet (IC3) del FBI, la oficina local del FBI más próxima o informarlo a Consejos del FBI. Mas, ¿cuántos de verdaderamente han hecho eso?
Según el Departamento de Justicia (DoJ), solo una de cada 7 víctimas de delitos cibernéticos acepta estar perjudicada. Me sorprende que aun tantos revelen que fueron atacados exitosamente.
A absolutamente nadie le agrada aceptar que cometió un enorme fallo. Esto es en especial cierto cuando sus clientes del servicio pueden echar una ojeada a las noticias de su fallo de seguridad y hacer negocios con su contrincante.
Otra razón es que la enorme mayoría de los ataques triunfantes no proceden de ser el propósito de un equipo de piratas informáticos de élite, sino más bien de la ignorancia y la negligencia de los empleados. Hay una razón por la que prosigo escribiendo sobre de qué forma eludir el phishing. Aún sucede todo el tiempo. Los trucos simples de phishing por correo para engañarlo a fin de que haga click en un link o abra un fichero prosiguen siendo una de las primordiales formas en que un atacante ingresa a sus sistemas.
La otra gran razón por la que las compañías son pirateadas es pues alguien en el interior, maliciosamente, o de forma estúpida, en ocasiones es bastante difícil apreciar la diferencia, abre la puerta a un atacante. De cualquier forma, absolutamente nadie en una compañía desea aceptar este género de fallos de "despídeme ahora".
Bueno, los días en los que podía hacer todo lo que es posible para corregir el fallo y fingir que jamás sucedió se acabaron.
Bien que les réglementations exactes n'aient pas encore été rédigées, à l'avenir, l'Agence de cybersécurité et de sécurité des infrastructures (CISA) du Département de la sécurité intérieure (DHS) vous demandera de les tenir informés lorsque votre sécurité tourne mal.
Para ser precisos, si su empresa se halla en uno de los dieciseis campos de infraestructura crítica, va a deber avisar a CISA cuando haya sido atacado exitosamente. Para ser precisos, la nueva ley requiere que informe los ataques en las setenta y dos horas siguientes al descubrimiento de un accidente y veinticuatro horas si efectúa un pago de ransomware.
Antes de hiperventilar, respira hondo. Es posible que sea la ley del país, mas aún no se han escrito las reglas que transforman esa ley en algo que debes obedecer. Conforme la firma de abogados internacional líder Holland & Knight, "los nuevos requisitos de informes cibernéticos no van a entrar en vigencia hasta el momento en que CISA promulgue reglas para acotar las entidades en los campos de infraestructura crítica que se van a ver perjudicados por esta ley y los modelos de incidentes cibernéticos significativos que cubre.
CISA tiene un par de años para escribir la regla, entonces dieciocho meses hasta el momento en que sea terminante. La preparación de leyes y reglamentos es un proceso largo y aburrido.
Además, no todos en el gobierno están interesados en esta nueva ley. En lo que me semeja una guerra territorial tradicional del gobierno, al Departamento de Justicia y al FBI no les importa en absoluto. El directivo del FBI, Christopher Wray, piensa que "tiene defectos graves" y que "haría que el público esté menos seguro en frente de las ciberamenazas" pues deja de lado al FBI en favor de CISA.
De cualquier forma, está en camino una suerte de insistencia legal en las compañías a fin de que notifiquen y rastreen los allanamientos y los ataques de ransomware. Estar listo.
Y, solo una idea, ¿qué le semeja cuidar mejor su seguridad hoy a fin de que no deba preocuparse por explicar por qué no notificó un accidente significativo mañana?
Copyright © XNUMX IDG Communications, Inc.