Lo que significa el veredicto de incumplimiento de Uber para los CISO en EE. UU.

Este es un momento desafiante para ser un CISO. La comunidad de seguridad ha estado siguiendo con entusiasmo múltiples historias sobre Uber en las últimas semanas. Desde el jugada a jugada de su reciente gran truco, al veredicto de culpabilidad de la semana pasada del ex jefe de seguridad de Uber, Joe Sullivan, los CISO se enfrentan a desafíos considerables.

El veredicto en el caso Sullivan lo declaró culpable de obstruir una investigación federal y ocultar un delito grave al gobierno. De acuerdo con la New York Times: “Stephanie M. Hinds, la fiscal federal del Distrito Norte de California, dijo en un comunicado: 'No toleraremos que ejecutivos corporativos oculten información importante del público más interesados en proteger su reputación y la de sus empleadores que en protegiendo a los usuarios. Cuando tal conducta viole la ley federal, será procesada'”.

El gobierno está enviando un mensaje a los CISO en los EE. UU.: divulguen y potencialmente pierdan su trabajo, o cúbranlo y vayan a la cárcel. Si divulgan información al gobierno, cumplen con las normas de cumplimiento, pero su trabajo estará en juego. Una infracción, especialmente una en la que se compromete la información de identificación personal (PII), dará lugar a una demanda y es probable que el CISO sea despedido.

Pero el castigo por el incumplimiento, la incapacidad de demostrar una divulgación completa o cualquier zona gris en el medio ahora es personal (a diferencia de otras regulaciones donde el incumplimiento resulta en multas para la empresa). Encubrir una violación, en el caso de Uber, y luego ocultar más detalles del hackeo en el contexto de una investigación federal, puede resultar en prisión.

Este caso también saca a la luz un nuevo desafío para los CISO: "¿Qué sabías?" Ocultar información es una parte importante de este caso y veredicto. Ocultar información diciendo "No sabía" no es una respuesta para un CISO con una violación de datos: refleja negligencia en el mejor de los casos y es una mentira en el peor. Los equipos de seguridad necesitan saber, y muy probablemente do conocer su postura de seguridad, a partir de las muchas herramientas de seguridad que utilizan, y lo que saben no se puede ocultar.

El caso Sullivan tiene una enorme gravedad para la industria de la seguridad. ¿Qué podemos esperar de los CISO?? ¿Son justas estas expectativas?

Gestión de las expectativas de los CISO

Según la legislación propuesta, las expectativas son las siguientes. Desde el Formulario 8-K (6-K) Divulgación sobre incidentes importantes de ciberseguridad (PDF) — se agregarán las siguientes reglas:

El nuevo elemento 1.05 del Formulario 8-K requerirá que las empresas que informan a la SEC divulguen un incidente de seguridad cibernética importante dentro de los cuatro días hábiles posteriores a la determinación de que ocurrió un incidente importante.
La empresa debe determinar la materialidad de un incidente de seguridad cibernética "tan pronto como sea razonablemente posible" después del descubrimiento del incidente.
La SEC indicó el año pasado en una acción de aplicación de la ciberseguridad que las empresas deben mantener controles y procedimientos de divulgación diseñados para garantizar que toda la información relevante disponible sobre cualquier incidente de ciberseguridad se analice para su divulgación oportuna en los informes de la SEC de la empresa.
“Incidente de seguridad cibernética” significa un evento no autorizado en o a través de los sistemas de información de la empresa que pone en peligro la confidencialidad, integridad o disponibilidad de los sistemas de información de una empresa “o cualquier información que resida en ellos”.

La pregunta es, ¿qué deben hacer los CISO? Ya están implementando múltiples soluciones de seguridad. En las instalaciones, en la nube, detección de puntos finales, firewalls, recuperación de ransomware, protección de cargas de trabajo... la lista sigue y sigue. Aún así, los piratas informáticos ingresan, como en el caso de Uber, a menudo simplemente molestar a un empleado para que haga clic en un enlace de phishing. Millones de dólares en prevención de ataques y el "usuario XYZ" derriba el sistema.

Formas de ayudar a los CISO

He estado trabajando en seguridad durante la mayor parte de mi carrera, construyendo las herramientas que mantienen alejados a los piratas informáticos. Me gustaría proponer algunos formas en que podemos ayudar a los CISO de la complicada situación en la que se encuentran.

Deshágase de las herramientas que alertan sobre cada posible ataque o mala configuración. Una generación de herramientas de seguridad basadas en alertas que alertan a los equipos de seguridad por cada pequeño detalle ha empeorado la situación. No hay forma de que un equipo de seguridad se mantenga al día con los cientos de alertas, en su mayoría alertas falsas, que brindan sus herramientas de seguridad. Necesitan poder ver un ataque entrante en tiempo real, en el contexto de sus activos específicos, uno que proporcione una secuencia de eventos que identifique el riesgo inmediato para los activos más valiosos de la empresa. Necesitamos mejorar para apoyar a los equipos de seguridad con herramientas que aportan valor, no solo alertas.
Reequipar. Los reguladores esperan que los CISO puedan detectar, analizar y comprender el impacto de los eventos de ataque reales (frente a posibles errores de configuración) rápidamente. Esto requiere reorganizar y repensar gran parte de la "pila" de software de seguridad para garantizar que nos mantenemos un paso por delante de los piratas informáticos. El uso de técnicas anticuadas es un área que a menudo genera fricciones entre las mejores prácticas de seguridad y la realidad.
Trabajar más de cerca con el gobierno sobre las importantes normas que se proponen como legislación. Para proteger a nuestros CISO de caer en territorio de delitos graves, necesitamos una legislación que proteja al público y al mismo tiempo proteja a los CISO que se presenten y denuncien violaciones de datos. Los CISO que realmente planifican cada escenario de ataque (y pueden mostrar esta planificación) pero se ven burlados por los piratas informáticos no deben ser penalizados por las empresas a las que sirven.
Alinear los objetivos de seguridad. Muchas organizaciones se están moviendo demasiado rápido para centrarse en la seguridad, y las alcanzará. Los equipos de desarrollo aprovechan cada vez más las técnicas ágiles como CI/CD (integración, entrega e implementación continuas) para ofrecer características nuevas e innovadoras rápidamente y mantener una ventaja competitiva. Y la seguridad no es parte del proceso de pensamiento diario del equipo de desarrollo ni de ningún empleado típico, pero debe serlo. Las organizaciones deben tener una estrategia de seguridad que impregne la organización para que todos (desarrolladores, marketing, recursos humanos, finanzas, la junta directiva y todos los demás) compartan la responsabilidad con el CISO y los equipos de seguridad. Todos los empleados desempeñan un papel en la protección de los activos de datos.

Inteligencia de datos generativa

Lo que significa el veredicto de incumplimiento de Uber para los CISO en los EE. UU.

Gestión de las expectativas de los CISO

Formas de ayudar a los CISO

Desbloqueo de ganancias: cómo elegir el proveedor de apuestas de Ethereum más rentable

🔴 ETF de Ethereum retrasados | Esta semana en cripto – 11 de marzo de 2024

Información más reciente

Estados Unidos sanciona al líder Lockbit en la represión del ransomware

El enorme potencial de almacenamiento de CO2 del Océano Índico para impulsar los objetivos de descarbonización de la India

¿Puede la marca Tesla realmente cambiar de marcha y convertirse en una empresa autónoma de éxito? – CleanTechnica

Los volúmenes de operaciones de los clientes de Capital.com superarán el billón de dólares en 1

MoneyLion informa sobre un trimestre récord en el primer trimestre

Spritzer EcoPark Taiping ilumina el cielo con un encantador espectáculo de luces de auroras en el Carnaval de comida, arte y música