Cumplimiento normativo: principales preguntas del consejo de administración para los CISO
Este documento —el cuarto y último de la serie— ofrece orientación sobre estrategias de comunicación proactivas para los directores de seguridad de la información (también conocidos como «CISO», por sus siglas en inglés). En él se explica cómo traducir la información más importante y exponer las medidas que se deben adoptar de una forma que entiendan los directivos, para que pueda centrarse en lo que realmente importa: responder a los incidentes, eventos de seguridad y amenazas, y mitigar las consecuencias para la organización.
Hasta ahora hemos hablado de cómo comunicar al consejo de administración la exposición al ciberriesgo, los planes de mitigación del ciberriesgo y las evaluaciones de seguridad en caso de producirse un incidente. El siguiente gran tema para el que debe prepararse por si necesita rendir cuentas es el del cumplimiento normativo en el ámbito de la ciberseguridad.
Como ya sabemos, nuestras empresas se rigen por una serie de normas establecidas por el propio sector y por las administraciones públicas. Cuando se produce un incidente —o se sospecha de una amenaza—, le plantearán un aluvión de preguntas en distintos frentes en torno a las posibles consecuencias que podría tener para la seguridad e integridad de los datos y las operaciones de la empresa. Debe prepararse para responderlas con rigor y eficacia. Veamos“ cómo responder a las preguntas sobre cumplimiento normativo y reglamentario
Preguntas que cabe plantearse:
- ¿Alguno de los posibles sistemas afectados procesa, almacena o transmite datos regulados?
- Si es así, ¿a quién hay que avisar? ¿Ya lo hemos hecho?
- ¿Qué precauciones debemos tomar?
- ¿Cómo hacemos el seguimiento de las medidas correctoras?
Cumplimiento normativo en el ámbito de la ciberseguridad: qué hay que decir y cuándo
A partir del momento en que se descubra una vulnerabilidad, los reguladores querrán saber qué ha hecho usted para evaluar y mitigar la exposición de la superficie de ataque. Querrán conocer también detalles del inventario de activos, las comunicaciones realizadas, qué áreas del entorno son vulnerables, si alguna de esas áreas resultó afectada (y, de ser así, si se notificó a la autoridad reguladora competente con prontitud), las mitigaciones y medidas que se adoptaron, las conclusiones extraídas, etc.
En definitiva, los reguladores desearán saber qué procesos tenía usted preparados y qué medidas tomó para minimizar los daños de los activos vulnerables. Normalmente, si se involucra el regulador significa que también están involucrados los clientes (por ejemplo, en caso de robo de información de identificación personal) o que existe un posible riesgo generalizado para el sector (por ejemplo, un ataque dirigido a la red eléctrica). No debe temer ni rehuir las preguntas que le puedan formular, sino responderlas de forma reflexiva y transparente, porque de ese modo contribuye a paliar otros posibles daños (en la reputación de la marca, por ejemplo). Cuando un exploit pone en riesgo a su organización (y a los clientes), si usted explica la forma en que ha abordado el problema, las medidas que ha tomado y las conclusiones que ha extraído, la organización quedará mucho mejor parada que si trata de ocultarlo.
Incidentes de ciberseguridad: a quién notificarlos
Algunos reglamentos contemplan cuándo una organización regulada debe notificar una brecha de seguridad a los clientes y a determinados colaboradores externos. En ocasiones, los contratos con terceros incluyen cláusulas sobre la obligatoriedad de notificar (usted a ellos, o ellos a usted) una exposición al riesgo. En cualquier caso, también debe informar a su equipo de gestión de crisis, al proveedor de respuesta a incidentes y a la consultoría externa para que tomen medidas.
Una práctica cada vez más habitual es la de contratar un servicio de respuesta a incidentes (IRR, por sus siglas en inglés), con el que le será más fácil demostrar que ha tomado medidas razonables para proteger los datos regulados tras el incidente. Ante la sospecha de un exploit o vulnerabilidad, además de notificarlo a la consultoría externa, es muy útil tener contratado un servicio de este tipo con una empresa de investigación forense y de respuesta a incidentes.
Es crucial tener protocolos de comunicación perfectamente definidos con todos los interlocutores, internos y externos. Tenga en cuenta que el regulador no espera que usted pueda corregir o mitigar los incidentes al instante. Lo que espera es que haya tomado todas las precauciones razonables en su momento, para que el incidente no le coja completamente desarmado. Quieren cerciorarse de que usted detectó el ataque y sus consecuencias a su debido tiempo, y que colaboró con todas las partes implicadas para comunicarlo y neutralizarlo.
El secreto de la respuesta a incidentes: forjar relaciones sólidas
En plena gestión de un incidente, uno siempre se siente más arropado si trata con consultores externos que ya conoce y con un proveedor de respuesta a incidentes de su confianza. Hoy es un buen día para empezar a forjar esas relaciones. Averigüe qué procesos siguen para clasificar los problemas y consiga sus números de móvil. Y hágalo con antelación, porque cuando esté lidiando con el incidente, en uno de los peores días que recuerde, esas sólidas relaciones serán su salvavidas.
Tal vez le interese compartir su plan de respuesta a incidentes con su proveedor de respuesta a incidentes para conocer su opinión. Embárquelos en su mismo barco, para que cuando esos expertos vengan un día a realizar una investigación completa, usted sepa lo que hacen y tenga la garantía de que podrán averiguar lo sucedido.
Conozca los detalles del servicio de respuesta a incidentes contratado; asegúrese de que incluya aquellas actividades que puedan resultar necesarias para cumplir con sus obligaciones legales y de cumplimiento normativo. Hable con antelación con su equipo jurídico para conocer sus obligaciones de cumplimiento normativo en las distintas jurisdicciones, especialmente si trabaja en una multinacional.
De igual forma, considere la posibilidad de forjar una buena relación con los organismos reguladores. A veces son los que mejor conocen las amenazas, lo cual podría ayudarle a prepararse para lo que pueda ocurrir. No dé por sentado que, si no se robaron datos, los reguladores se desinteresarán. Siempre están pendientes de encontrar nuevas amenazas y exploits. Seguramente querrán saber cómo actuó usted con respecto a cierto atacante que pudo tener acceso a los datos de su organización, aunque no existan pruebas de que tales datos acabaran saliendo de la empresa.
Esto también le da la oportunidad de explicar cómo ha gestionado la amenaza (por ejemplo, «a partir de ese momento empezamos a analizar todo lo sucedido antes y después en la cadena de ataque para saber lo que podría haber sucedido y lo que sucedió realmente»). Esto hará que los reguladores se hagan una idea más clara del rigor de sus procesos y programas, lo que podría propiciar unas relaciones más fluidas en el futuro.
Descubra en el siguiente vídeo cómo rendir cuentas del cumplimiento normativo en el ámbito de la ciberseguridad ante el consejo de administración de su empresa:
Contacte con nosotros
Si necesitaservicios de respuesta a incidentes , pregunte por Unit 42 y facilite los datos de su compañía aseguradora de ciberseguridad.
Si cree que su empresa está afectada por la vulnerabilidad de Log4j o ha sufrido algún otro ataque importante, contacte con Unit 42para hablar con un experto. El equipo de respuesta a incidentes de Unit 42 está disponible 24 horas al día, todos los días del año. También puede tomar medidas preventivas solicitando una evaluación proactiva.