«Para subrayar por qué el cumplimiento es esencial, Eset analiza algunos incidentes importantes que podrían haberse mitigado significativamente si las partes afectadas hubieran actuado de acuerdo con los marcos básicos.

El Intercontinental Exchange

En 2024, el Intercontinental Exchange (ICE), una institución financiera más conocida por sus filiales como la Bolsa de Nueva York (NYSE), fue multada con 10 millones de dólares por no informar a tiempo a la Comisión del Mercado de Valores de Estados Unidos (SEC) de una ciberintrusión, violando así el Reglamento SCI.

El incidente tenía que ver con una vulnerabilidad desconocida en el dispositivo de red privada virtual (VPN) de ICE, que permitía a agentes malintencionados acceder a redes corporativas internas. La SEC descubrió que, a pesar de conocer la intrusión, los funcionarios del ICE no la notificaron a los responsables jurídicos y de cumplimiento normativo de sus filiales durante varios días. De este modo, el ICE infringió sus propios procedimientos internos de notificación de ciberincidentes, dejando que las filiales evaluaran indebidamente la intrusión, lo que en última instancia condujo al incumplimiento por parte de la organización de sus obligaciones de divulgación reglamentaria independiente.

SolarWinds

SolarWinds es una empresa estadounidense que desarrolla software para gestionar la infraestructura informática de las empresas. En 2020, se informó de que varias agencias gubernamentales y grandes empresas habían sufrido una brecha a través del software Orion de SolarWinds. El incidente «SUNBURST» se ha convertido en uno de los ataques más notorios a la cadena de suministro con un impacto global: la letanía de víctimas incluía grandes corporaciones y gobiernos, incluidos los Departamentos de Salud, Tesoro y Estado de EE. UU. La denuncia de la Comisión del Mercado de Valores de Estados Unidos (SEC) alega que la empresa de software había engañado a los inversores sobre sus prácticas de ciberseguridad y los riesgos conocidos.

Para ser claros, antes de que la SEC introdujera sus normas sobre gestión de riesgos de ciberseguridad para incidentes «materiales» en 2023, la notificación oportuna y precisa no había sido una consideración estratégica importante para muchas organizaciones en Estados Unidos. A no ser que hablemos de los informes periódicos de evaluación de riesgos que deben realizarse como parte de una estrategia de ciberseguridad sólida (o con fines de cumplimiento de normas específicas). Depende en gran medida de las empresas cómo diseñen su jerarquía de informes de seguridad, con distintos grados de competencia y responsabilidad (que SolarWinds incumplía según la SEC).

Las consecuencias financieras y de reputación de la brecha fueron asombrosas. Con más de 18.000 víctimas y costes que pueden ascender a millones de dólares por empresa afectada, este caso subraya que descuidar la seguridad y el cumplimiento no es una estrategia de ahorro de costes, sino una responsabilidad.

Yahoo

En otra historia con moraleja, Yahoo fue objeto de críticas por no revelar una filtración de 2014, lo que costó a la empresa 35 millones de dólares en una multa de la SEC. Sin embargo, la historia no termina ahí, ya que la posterior demanda colectiva añadió 117,5 millones de dólares a la cuenta de Yahoo, cubriendo los costes de liquidación pagados a las víctimas. Esto se produjo tras el descubrimiento de credenciales filtradas pertenecientes a 500 millones de usuarios de Yahoo. Peor aún, la empresa ocultó la filtración, engañando a los inversores y retrasando su divulgación durante dos años.

Para complicar aún más las cosas, Yahoo sufrió una segunda brecha un año antes que afectó a otros 3.000 millones de cuentas de usuario. Una vez más, la empresa no reveló el segundo incidente hasta 2016, antes de revisar la divulgación en 2017 para reflejar toda la magnitud del incidente.

La divulgación transparente y oportuna de las violaciones puede ayudar a mitigar los daños y prevenir incidentes similares en el futuro. Las víctimas pueden, por ejemplo, cambiar sus credenciales de inicio de sesión a tiempo para impedir que cualquier posible malhechor entre en sus cuentas.

5 pasos hacia el cumplimiento

Eset te brinda 5 medidas sencillas que puede adoptar cualquier empresa que desee cumplir la normativa. Considérelo una línea de base de actuación, con mejoras adicionales basadas en las normativas y requisitos específicos que deben establecerse en función de las preguntas concretas.

  • Comprenda su negocio: Como ya se ha mencionado, las empresas se enfrentan a requisitos de cumplimiento diferentes, en función de su sector vertical, los clientes/socios con los que trabajan, los datos que manejan y las ubicaciones en las que operan. Todos ellos pueden tener requisitos diferentes, así que preste atención a los detalles.
  • Investigue y establezca prioridades: Determina qué normas tiene que cumplir tu empresa, averigua las lagunas que hay que cubrir y define las medidas para cerrarlas, basándote en las regulaciones y normas más importantes que la empresa tiene que cumplir para evitar infracciones o multas.
  • Crear un sistema de informes: Desarrolle un sólido sistema de información que defina las funciones y responsabilidades de todos los implicados, desde los altos ejecutivos hasta los empleados encargados de la comunicación, pasando por el personal de seguridad que gestiona y supervisa sus medidas de protección. Asegúrese también de que existe un proceso claro para notificar los incidentes de seguridad y de que la información puede fluir sin problemas a las partes interesadas pertinentes, incluidos los reguladores o las aseguradoras si es necesario.
  • Supervise: El cumplimiento no es un esfuerzo puntual, sino un proceso continuo. Como parte de la información continua, supervise regularmente las medidas de cumplimiento y aborde las áreas que requieran atención. Esto incluye la comprobación de las vulnerabilidades de los sistemas, la realización periódica de evaluaciones de riesgos y la revisión de los protocolos de seguridad para que su empresa cumpla las normas reglamentarias en constante evolución.
  • Manténgase transparente: si se descubre una brecha, evalúe inmediatamente los daños e informe a la autoridad competente: el proveedor de seguros, el regulador y, por supuesto, las víctimas. Como se ha demostrado anteriormente, la divulgación oportuna puede ayudar a mitigar los daños, reducir el riesgo de nuevas violaciones y demostrar su compromiso con el cumplimiento, lo que en última instancia le ayudará a mantener la confianza de sus clientes, socios y partes interesadas».

welivesecurity