Hace unos seis meses, el CISO Steve Cobb notó algunas adiciones notables al lenguaje contractual propuesto por las empresas que cotizan en bolsa.
En caso de una violación de datos, las empresas que cotizan en bolsa quieren tener más control sobre cómo los proveedores externos responden a los incidentes y, en algunos casos, dijo Cobb, quien administra la firma de inteligencia de riesgos de ciberseguridad SecurityScorecard puede ofrecerse a hacerse cargo del proceso de respuesta a incidentes. o exigir a terceros proveedores que determinen en cuestión de horas si la infracción es significativa. La empresa ha tenido un lenguaje contractual similar propuesto por sus propios clientes, dijo.
¿Cuál es la fuerza impulsora detrás de estos cambios? La decisión de la Comisión de Bolsa y Valores sobre la gestión de riesgos de ciberseguridad y la divulgación de incidentes, que entró en vigor en diciembre pasado, está cambiando la forma en que las empresas responden a incidentes con proveedores externos, dijo.
“[P]”Las empresas que cotizan en bolsa tienen acuerdos vigentes que les otorgan efectivamente el derecho de hacerse cargo del proceso de respuesta a incidentes si uno de sus proveedores incumple”, dijo Cobb. “Para una organización comercial, esto da miedo”. [and] Es una pendiente realmente peligrosa de bajar. “
El impacto en los proveedores privados externos es sólo una de las formas en que las empresas están cambiando sus operaciones para cumplir con las órdenes de la SEC. Los directores de seguridad de la información ya están preocupados por tener que rendir cuentas por errores al determinar la gravedad de una infracción, y el procesamiento del CISO de SolarWinds es emblemático de los riesgos personales del puesto. No notificar a la SEC sobre una infracción material puede resultar en una multa de millones de dólares para una empresa.
Según una encuesta publicada el 16 de mayo por la empresa de seguridad en la nube VikingCloud, el 68% de los equipos de ciberseguridad no creen que su organización podrá cumplir con la regla de divulgación de cuatro días.
Las grandes empresas públicas ya tienen las herramientas
Las grandes empresas que cotizan en bolsa ya cuentan con comités de divulgación para determinar si es probable que eventos que van desde condiciones climáticas severas hasta fluctuaciones económicas e inestabilidad geopolítica tengan un impacto material. Para llevar los incidentes de ciberseguridad al ámbito del comité será necesario reunir a una variedad de grupos, incluidos los de TI, ciberseguridad, legales y comerciales, para presentar la información necesaria para tomar decisiones, dice Naji Adib, la consultora de riesgos cibernéticos y estratégicos de Deloitte. director a cargo.
“El nivel de esfuerzo requerido es reunir estas piezas y crear coordinación entre las diferentes partes de la organización”, dice. “Organización” [need] Lo que es importante para mí acerca de estas áreas de riesgo y factores de riesgo es decir: “
Los CISO pueden utilizar ejercicios teóricos para ayudar a las empresas a crear los procesos adecuados para las determinaciones de materialidad y recopilar la evidencia necesaria para aprobar las divulgaciones en un plazo de cuatro días.
Si una empresa no puede determinar de manera confiable el impacto de un incidente, puede terminar divulgando una infracción de manera proactiva para satisfacer posibles requisitos de notificación. Estas preocupaciones llevaron al gigante de servicios financieros Prudential a presentar de manera proactiva una declaración de divulgación ante la SEC en febrero, a pesar de que la investigación apenas había comenzado y no había indicios de que la infracción tuviera un impacto material.
Las respuestas varían según la empresa.
Mientras que las grandes empresas se han centrado en el tema durante más de un año, incluso antes de que se finalizaran las reglas, las empresas más pequeñas han tenido un camino más difícil, dijo el director del Instituto para la Innovación en Privacidad Cibernética de la consultora PricewaterhouseCoopers, Matt Gorham. de Las empresas deben centrarse en crear un proceso documentado y preservar evidencia contemporánea mientras ejecutan ese proceso para cada incidente.
“Existen enormes diferencias entre empresas y casos”, afirma. “Inicialmente, [the breach] Aunque puede que no sea significativo en ese momento, debes continuar evaluando el daño para ver si ha alcanzado un nivel crítico. “
Hasta ahora, el número de solicitudes no ha sido elevado y no hay datos suficientes para ver tendencias, afirmó.
No informar
Es probable que las pequeñas empresas y los proveedores externos estén menos preparados, lo que preocupa a los clientes de las empresas públicas.
En empresas con pequeños equipos de ciberseguridad, donde los analistas también establecen controles de seguridad, el elemento humano puede generar conflictos regulatorios. Por ejemplo, una encuesta de VikingCloud realizada a equipos de seguridad encontró que 4 de cada 10 profesionales de ciberseguridad no informan incidentes por miedo a perder su trabajo.
La razón detrás de ese temor es que los trabajadores que clasifican el incidente probablemente sean los mismos que establecieron los controles de seguridad, dice John Marler, evangelista de ciberseguridad de VikingCloud.
“Sus equipos son realmente pequeños, y son tan pequeños que no hay separación de funciones”, dice. “Creo que gran parte de la manera de resolver este problema culturalmente es contar con una estructura donde las personas que descubren problemas no sean despedidas por descubrirlos. Castigar a las personas que tienen éxito no es deseable”.
CISO: “Punta de lanza”
Por supuesto, los analistas de seguridad no son los únicos que sienten la presión. Cobb de SecurityScorecard siente que tiene el apoyo que necesita para crear procesos sólidos de ciberseguridad que satisfagan las necesidades de divulgación de sus clientes, pero también se considera parte de una minoría. En la mayoría de los casos, afirma, se pide a los CISO que sean responsables de determinar la materialidad sin tener la autoridad para hacer recomendaciones o el presupuesto para implementarlas.
Los CISO son la “punta de lanza” y están en primera línea enfrentando las consecuencias legales de responder a una infracción, afirma.
“Los CISO se han vuelto algo desechables”, afirma. “Despides a una persona, contratas a otra y luego empiezas todo de nuevo. [next] Las infracciones ocurren. Para la industria de la ciberseguridad, esta es una muy mala señal de hacia dónde nos dirigimos. “
Fuente: https://www.darkreading.com/cybersecurity-operations/cisos-and-their-companies-struggle-to-comply-with-sec-disclosure-rules
