por Michael Daniel
Los nuevos requisitos pueden beneficiar a todos, si se diseñan de manera óptima.
• • •
Durante los últimos años, muchos países, incluido el Estados Unidos, Australia, y India, han impuesto requisitos obligatorios de notificación de ciberincidentes. El Unión Europea amplió recientemente sus requisitos de presentación de informes obligatorios a través de su Directiva de seguridad de redes e información 2.0. Si bien los requisitos generales están en vigor en EE. UU. y la UE, aún se están desarrollando los reglamentos y las directrices específicos para poner en práctica estas leyes. En EE. UU., la Agencia de Seguridad de Ciberseguridad e Infraestructuras del Departamento de Seguridad Nacional está redactando el reglamento necesario para la entrada en vigor de la ley; ese proceso se prolongará hasta mediados de 2025. Según el proceso directivo de la UE, cada estado miembro tiene que adoptar leyes para aplicarlo y, en este caso, tiene hasta octubre de 2024 para hacerlo. Otros países están considerando leyes similares.
Si bien los detalles varían, estos requisitos tienen por objeto aumentar la visibilidad del gobierno en relación con el alcance, la escala y la intensidad de la ciberactividad malintencionada en sus países. Desde la perspectiva del gobierno, los argumentos comerciales a favor de esta denuncia son claros: ningún gobierno tiene actualmente la información sobre los incidentes que necesita para proteger su seguridad nacional, su prosperidad económica o la salud y la seguridad públicas en el ciberespacio. Sin embargo, lo que las empresas obtienen de estos regímenes no suele estar claro. De hecho, muchas empresas están preocupadas por la posible carga u otras desventajas que podrían derivarse de denunciar un ciberincidente.
Estas preocupaciones tienen fundamento. Las preguntas sobre la responsabilidad o las sanciones reglamentarias ocupan un lugar preponderante en las discusiones sobre la denuncia de ciberincidentes. La mayoría de las empresas se muestran escépticas por naturaleza ante los mandatos gubernamentales, especialmente en cuanto a la forma en que se aplicarán cuando una organización se encuentre en una mala situación. Sin embargo, al igual que ocurre con los delitos físicos, aumentar las denuncias de ciberincidentes también puede ayudar a las empresas.
Las ventajas de la notificación obligatoria de incidentes para las empresas
La ventaja más obvia de un régimen de denuncias es la asistencia directa a la hora de responder a los incidentes. Los gobiernos no pueden ayudar a las empresas si no saben de un incidente. A pesar de la percepción popular, incluso el gobierno de los Estados Unidos tiene poca información sobre los incidentes que afectan a la mayoría de las empresas del sector privado. Por lo tanto, los regímenes de presentación de informes crearán oportunidades para que los gobiernos ayuden directamente a las empresas, como el apoyo técnico y económico que reforzaría la respuesta de la empresa ante un ciberincidente. No todas las empresas necesitarán o querrán la ayuda del gobierno, pero muchas empresas agradecerían la ayuda técnica o financiera durante una crisis.
Dado que los regímenes de notificación obligatorios aumentarán tanto el volumen como la puntualidad de la notificación de incidentes, los gobiernos tendrán una mayor capacidad de advertir a las empresas sobre las amenazas emergentes o los posibles problemas antes de que se produzcan. Las agencias de inteligencia utilizan el término «indicaciones y advertencias» para esta actividad y permite a los destinatarios tomar medidas preparatorias antes de que pase algo malo. Advertir a entidades en situaciones similares sobre amenazas específicas que podrían afectarlas de forma razonablemente inminente podría ayudar a esas empresas a detener la amenaza antes de que se convierta en un incidente. Podría proporcionar la justificación necesaria para que una empresa invierta recursos en corregir puntos débiles de larga data o priorizar las mejoras. Además, las advertencias más específicas y oportunas tendrán mayor credibilidad y prominencia entre los líderes de la empresa.
En la actualidad, entender el impacto y el daño de la ciberactividad malintencionada es difícil debido a que los datos están incompletos e irregulares. Los regímenes de denuncia pedirán a las empresas que denuncien los daños y perjuicios que han sufrido a causa del ciberincidente, incluida la pérdida de ingresos, el pago de rescates, el robo de propiedad intelectual o la información de identificación personal comprometida. Al agregar este tipo de datos a lo largo del tiempo, los gobiernos podrán cuantificar mejor el impacto de la ciberactividad malintencionada. Estos datos servirán de base para una amplia variedad de evaluaciones, desde el análisis de costes y beneficios a nivel de empresa individual hasta las decisiones de riesgo y beneficio a nivel nacional. Puede ayudar a informar al mercado de seguros y a refinar los esfuerzos de priorización para obtener mejores resultados.
Los gobiernos también podrían utilizar los datos notificados para comprender mejor la amenaza y detectar tendencias o cambios en el medio ambiente. En la actualidad, carecemos de una buena tasa de referencia de ciberincidentes en todo el ecosistema. Por ejemplo, si el número de incidentes de ransomware aumentó o disminuyó en 2022 en comparación con 2021 depende de la entidad que redacte el informe. A diferencia de muchas otras estadísticas delictivas o económicas, no tenemos ninguna fuente de verdad básica. La notificación obligatoria de incidentes generará información sobre tendencias estadísticamente significativa que podrá informar mejor las decisiones políticas. Los datos resultantes ayudarán a medir si las políticas están teniendo el efecto deseado o a iluminar la evolución de las tendencias de la ciberactividad malintencionada. Las empresas también pueden utilizar estos datos para tomar decisiones o inversiones a largo plazo basadas en el riesgo, del mismo modo que utilizan otras fuentes de datos gubernamentales.
El coste de la notificación obligatoria de incidentes para las empresas
Las tasas de presentación de informes en los regímenes voluntarios existentes suelen ser muy bajas. Por ejemplo, la Oficina Federal. Investigaciones de los Estados Unidos estima que menos del 20% una de las víctimas de la banda de ransomware Hive denunció el ataque al gobierno de los Estados Unidos. Está claro que las empresas ven múltiples desventajas en denunciar incidentes, o lo harían con más frecuencia. Estas preocupaciones suelen girar en torno a posibles acciones reglamentarias o legales, daños a la marca o la reputación o a litigios, así como a la falta de beneficios percibidos de denunciar.
Por supuesto, los requisitos obligatorios hacen que muchas preocupaciones sean discutibles, porque las empresas no tendrán otra opción. Sin embargo, curiosamente, muchas leyes de presentación de informes tratan de mitigar algunos de estos problemas. Por ejemplo, en los EE. UU., la Ley de notificación de ciberincidentes para infraestructuras críticas (CIRCIA) prohíbe específicamente a las agencias reguladoras utilizar la información notificada en virtud de la ley como base para tomar medidas reglamentarias. Si bien el regulador aún podría iniciar una investigación bajo sus propios auspicios, el hecho de denunciar en virtud de la CIRCIA no puede desencadenar tal acción. Los estatutos también suelen abordar las preocupaciones sobre los efectos en la marca y la reputación de un ciberincidente al exigir a la agencia receptora que proteja la información denunciada de su divulgación. Por lo tanto, estos regímenes no exigen la divulgación pública, como las notificaciones de incumplimiento; la divulgación es solo para determinadas agencias gubernamentales. Si bien es posible que un incidente siga haciéndose público debido a un impacto en las operaciones comerciales de la empresa, dicha divulgación no se debe a que se denuncie en virtud de estas leyes. (En EE. UU., la Comisión de Bolsa y Valores también ha propuesto una norma que exigiría a las empresas que cotizan en bolsa divulgar públicamente los ciberincidentes, pero esa norma propuesta ha recibido un importante rechazo. Ese tipo de divulgación tendría un propósito diferente al de los regímenes de presentación de informes analizados en este artículo.)
A pesar de estas mitigaciones, los regímenes de presentación de informes impondrán costes reales a las empresas. Denunciar los incidentes requiere esfuerzo. Alguien de la empresa tiene que tomarse el tiempo de redactar el informe y decidir a quién enviárselo. La empresa debe entonces resolver cualquier duda que tenga la agencia receptora. Si la organización está en medio de un ciberincidente que cumple con los criterios de denuncia, entonces, por definición, la organización está en estado extremo. Tomarse un tiempo para informar inevitablemente le quita tiempo a la respuesta a la crisis.
Las organizaciones también podrían enfrentarse a múltiples requisitos de presentación de informes por parte de diferentes agencias gubernamentales o estar sujetas a regímenes de presentación de informes en diferentes países. La falta de armonización podría dificultar enormemente el cumplimiento de manera eficiente y oportuna; de hecho, en algunos casos, un conflicto de leyes puede hacer imposible que una empresa cumpla con ambas. Si los gobiernos no armonizan sus requisitos de presentación de informes entre las agencias o entre las jurisdicciones, podrían acabar imponiendo costes importantes a las empresas y, en los casos más extremos, generar más perjuicios que beneficios.
Diseñar el marco adecuado para la notificación obligatoria de ciberincidentes
En resumen, si bien las empresas tienen preocupaciones legítimas sobre la notificación obligatoria de incidentes, las ventajas pueden superar las desventajas. La oportunidad de recibir asistencia directa y advertencias específicas, junto con la capacidad de tomar decisiones mejor informadas a nivel individual, organizacional y social, pueden hacer que los costes adicionales que imponen los regímenes de presentación de informes obligatorios valgan la pena, si esos regímenes se diseñan correctamente.
Por lo tanto, la comunidad empresarial debe colaborar con los gobiernos a medida que desarrollan estos regímenes de presentación de informes para garantizar que cumplen los objetivos previstos. Las empresas pueden participar en el proceso de elaboración de normas para dar su opinión. Pueden trabajar con grupos de defensa para dar a conocer sus puntos de vista e inquietudes. La comunidad empresarial debería exigir que los gobiernos trabajen juntos para armonizar los requisitos de presentación de informes en todas las jurisdicciones. Debería pedir a los gobiernos que respeten ciertos principios a la hora de desarrollar estos regímenes, como hacer que los sistemas de notificación sean lo más fáciles de usar posible o permitir informes actualizados una vez que se comprenda mejor el incidente. Para proporcionar un punto de partida para estos debates, la Cyber Threat Alliance, el Instituto de Seguridad y Tecnología y otras seis organizaciones publicaron recientemente un marco para desarrollar dichos marcos de forma eficaz. Puede encontrar la versión global del marco de notificación de ciberincidentes aquí.
Los regímenes de presentación de informes obligatorios llegarán a la mayoría de las jurisdicciones en los próximos años, independientemente de que las empresas apoyen la idea o no. Si esos regímenes se establecen correctamente, las empresas podrían obtener beneficios evidentes. Lograr este estado no es una conclusión inevitable, por supuesto; en teoría, los gobiernos podrían implementar requisitos de presentación de informes que causen más daño que bien, o crear tantos regímenes de presentación de informes conflictivos que las empresas no puedan cumplirlos todos físicamente. Por lo tanto, la comunidad empresarial debe aprovechar esta oportunidad para convertir estos regímenes de presentación de informes en una estructura que no solo beneficie a los gobiernos y a la sociedad, sino también a las empresas individuales al mismo tiempo.
_