Los incidentes de ciberseguridad y los cuatro días

IMAGE: Shakti Shekhawat - Pixabay

La Security and Exchanges Commission (SEC) de los Estados Unidos ha emitido una orden para mejorar y estandarizar las divulgación de incidentes de ciberseguridad, de obligado cumplimiento para todas las empresas cotizadas en bolsa, y que las obliga a reportar las violaciones de seguridad de las que sean objeto en un período máximo de cuatro días desde su descubrimiento, independientemente de si han sido o no contenidas o mitigadas.

A partir de ese informe obligatorio a través de un formulario estandarizado que será hecho público a través del sistema EDGAR en la página de la SEC, el fiscal general tendrá la posibilidad de solicitar por escrito una demora en la divulgación de hasta treinta días, cuando se interprete que la divulgación representa un riesgo sustancial para la seguridad nacional o la seguridad pública. En este sentido, la nueva regla supone un importante cambio en las prácticas generalmente aceptadas: habitualmente, se entiende como parte de las mejores prácticas el que los incidentes de ciberseguridad se mantengan en silencio hasta que el vector de ataque haya sido contenido y el incidente cerrado. Ahora, las compañías estarán obligadas a reportarlos en cuatro días, independientemente de su estado.

El formulario deberá recoger:

  • La fecha en que se descubrió el incidente y su estado (en curso o resuelto).
  • Una descripción concisa de la naturaleza y extensión del incidente.
  • Una enumeración de todos los datos que puedan haber sido comprometidos, alterados, accedidos o utilizados sin autorización.
  • Una evaluación del posible impacto que el incidente pueda llegar a tener sobre las operaciones de la empresa.
  • Información sobre todas las iniciativas llevadas a cabo para la posible mitigación del incidente y de otros similares que la empresa haya desarrollado.

Las compañías afectadas no estarán obligadas a divulgar detalles técnicos de sus planes de respuesta a incidentes, o sobre posibles vulnerabilidades que podrían influir en su respuesta o en las acciones que planteen para corregirlas.

La regla de la SEC otorga una nueva importancia a la ciberseguridad: los incidentes, hasta ahora, se trataban generalmente con suma discreción o incluso se ocultaban conscientemente durante largo tiempo, lo que ponía en riesgo a todos los afectados, tanto a la propia compañía como a los posibles clientes, etc. Durante mucho tiempo, la fuente más habitual que permitía saber que los sistemas de información de una compañía habían sido comprometidos era la aparición de volcados de datos que se ofrecían o aparecían en diversos repositorios y foros en la dark web, bien a la venta o publicados en abierto como represalia por no haber pagado un rescate.

Ahora, las compañías grandes tendrán que moverse más rápido tras identificar una intrusión. A las compañías más pequeñas se les otorgarán ciento ochenta días adicionales antes de que la exigencia de rellenar el correspondiente formulario o las eventuales sanciones por no hacerlo entren en vigor. La nueva norma tiene mucho sentido: a nadie se le ocurriría que, ras una intrusión o robo de datos físico en una oficina, la empresa afectada tratase de ocultarlo o de manejar el tema con discreción: en el mundo online, debemos tratar los incidentes con el mismo nivel de importancia, e informar rápidamente sobre todo su posible alcance.

Seguramente, una política que, tras la Unión Europea y ahora los Estados Unidos, otros países también tenderán a incorporar.


This article is also available in English on my Medium page, «The SEC has just taken a sensible decision about cybersecurity«

10 comentarios

  • #001
    menestro - 29 julio 2023 - 11:03

    Es exactamente la misma normativa que en Europa lleva aplicándose desde 2018 con el GDPR.

  • #002
    c3po - 29 julio 2023 - 11:34

    Si las empresas no cotizan en bolsa,… nos seguiremos enterando por los tebeos

    * El nombre de dominio de Coinbase(si cotiza) habría sido utilizado por estafadores en ataques de alto nivel (7julio)
    * Chainalysis sospecha un posible rug pull por parte de Multichain, tras un exploit de 126 millones de dólares en su bridge Fantom.(11julio)
    * Ciberseguridad: revelan cómo fue el ataque que el grupo hacker Lazarus realizó contra Atomic Wallet (29 julio)

    etc, etc

    • c3po - 29 julio 2023 - 18:51

      Que vienen los chinos

      https://www.nytimes.com/2023/07/29/us/politics/china-malware-us-military-bases-taiwan.html

  • #006
    Benji - 29 julio 2023 - 15:23

    Teniendo en cuenta el comentario de #002 Mariel Comas, las administraciones públicas también deberían tener algo similar para informar al público.

    Aquí aun no sabemos que pasó con el móvil del presidente (!!!). No necesitamos necesariamente saber qué se robó, ya que puede ser comprometido, pero sí saber cuando, quién, medidas tomadas, etc

    • Lua - 29 julio 2023 - 16:55

      Error: SI, si debemos saber que se robo. Es un asunto que afecta a la nacion y a todos sus integrantes y necesitamos saber que, cuando, quien y como, para exigir cabezas. Las que sean.

      • f3r - 30 julio 2023 - 11:34

        Los asuntos militares, de inteligencia, y de alta diplomacia, son secreto de estado (recordáis eso de los 50 años o más antes de divulgarlos?) y por tanto «no debemos saberlo» y «no se debaten/deciden».

        Personalmente, me habría gustado poder decidir no entrar en la guerra con Rusia, pero entiendo que si dejas decidir a la mayoría estulta sobre temas en los que han decidido activamente ser analfabetos, pues resultaría un desastre total.

        PD: podrías explicar qué cabezas? sobre todo para ver a quién te refieres, y por tanto para que te retrates.

        • Lua - 31 julio 2023 - 09:15

          Obviare tu “tonillo”…

          Si se hackea el móvil de un presidente, se llame como se llame, sea del partido que sea, y si me apuras, hasta del país que sea… han de rodar cabezas.

          El móvil del presidente depende de los servicios informáticos del congreso, supeditados al CNI y con Indra por medio (se me corrija esto último si estoy mal informado)… mira tú si tienes donde elegir.

          • Dedo-en-la-llaga - 2 agosto 2023 - 02:37

            Ja, ja, ja, te recuerdo, así, como quien no quiere la cosa que, entre otras muchas situaciones épicas, se llegó a grabar y luego a emitir una conversación con en aquel momento, el lunático ministro del interior en su propio despacho, y ¿recuerdas qué ocurriõ? Pues eso, no es que no lo recuerdes, es que no ocurrió nada, pero nada de nada de nada. Este es el nivel…

Dejar un Comentario

Los comentarios están cerrados