sobre el pasado año hemos visto al ex director de seguridad de Uber condenado en un tribunal federal por manejar mal una violación de datos, un regulador federal acusó al jefe de seguridad de SolarWinds de supuestamente engañar a los inversores antes de su propio ataque cibernético y nuevas regulaciones que obligan a las empresas a revelar públicamente datos materialmente impactantes. incumplimientos dentro de los cuatro días hábiles.
Podría parecer que nunca ha sido un momento más arriesgado para trabajar en ciberseguridad.
Pero una conclusión de un panel en la conferencia de hackers ShmooCon en Washington DC el domingo es que aquellos en ciberseguridad no deben alejarse de los desafíos.
Ahora en su penúltimo año, ShmooCon reúne a piratas informáticos, investigadores, funcionarios gubernamentales y ejecutivos de ciberseguridad para discutir algunos de los problemas más apremiantes que enfrenta la comunidad de seguridad. Un tema común escuchado entre los asistentes este año es la naturaleza cada vez más riesgosa de trabajar en la propia industria de la ciberseguridad. La comunidad de seguridad de la información no es ajena a los riesgos legales, tal vez un subproducto inherente del trabajo en el campo, pero se está volviendo más consciente de la creciente supervisión legal y las consecuencias que conlleva el trabajo.
Liderando la discusión, la abogada de startups Elizabeth Wharton, la exfiscal de la SEC Danette Edwards y la inversionista en tecnología Cyndi Gula compartieron sus perspectivas y predicciones en un panel que exploró cómo están cambiando los riesgos de ciberresponsabilidad desde los puestos de nivel básico junior hasta los ejecutivos. suite.
El año pasado se introdujeron las nuevas reglas de informes cibernéticos de la SEC que ahora requieren que las empresas revelen incidentes de seguridad “materiales” en archivos públicos 8-K dentro de cuatro días hábiles. Las reglas entraron en vigor en diciembre y ya han dado lugar a una avalancha de empresas que presentan nuevas divulgaciones de violaciones de datos ante la SEC a medida que las empresas descubren lo que significa un impacto “material”. También vio el primer caso de una banda de ransomware que utilizó las reglas para denunciar a la misma empresa que pirateó por no presentar informes ante los reguladores.
“Vamos a ver muchos informes iniciales de 8-K, y luego probablemente múltiples informes que informen sobre los mismos ataques cibernéticos”, dijo Edwards, ahora abogado defensor y socio del bufete de abogados Katten, hablando en ShmooCon.
Wharton, fundador de Silver Key Strategies y quien anteriormente formó parte del equipo de respuesta a incidentes de ransomware de Atlanta, dijo que los incidentes cibernéticos pueden cambiar cada hora y pueden requerir divulgaciones posteriores.
“Cuando estás lidiando con un incidente y todavía estás inmerso en la respuesta después de cuatro días, has identificado, ‘¡Oh, caray, nuestro contenedor de basura está en llamas!’ pero ni siquiera se ha descubierto qué materiales necesariamente hay en el contenedor de basura mientras se está quemando, y hay que empezar a informar”, dijo Wharton. “Sabiendo que a medida que las cosas fluyen y refluyen, las empresas públicas van a tener que actualizar [those disclosures].”
La otra cara de la transparencia junto con el trabajo remoto es que se escriben, registran o guardan y documentan más cosas que nunca. Esto puede ser una bendición para los investigadores y un dolor de cabeza para las empresas.
“Supongo que cada correo electrónico será leído por tu madre o en una declaración, o… en una queja ante la SEC, y eso está cambiando esa charla más fría”, dijo Wharton. “Dado que no estamos necesariamente en oficinas, hay que asegurarse de que no necesariamente lo escribas y el contexto se pierde en el meme que envías a tus colegas porque te pareció gracioso”.
“Y los reguladores no siempre tienen un gran sentido del humor”, dijo Edwards.
“La cultura es parte integral de una organización, específicamente en lo que hacemos, porque tenemos mucha confianza”, dijo Gula, socio director de Gula Tech Adventures. “Las empresas van a tener dificultades para incorporar esa cultura, sabiendo que todo lo que hagan estará bajo escrutinio”.
Las nuevas reglas de informes de ciberseguridad no solo están poniendo a las empresas y sus incidentes de datos bajo la atención pública, sino que las recientes acciones federales de aplicación de la ley muestran que los ejecutivos de ciberseguridad también están asumiendo parte de la responsabilidad.
En octubre, la SEC presentó cargos contra el CISO de SolarWinds, Timothy Brown, por supuestamente engañar a los inversores sobre la seguridad de la empresa antes de un ciberataque lanzado contra la empresa por espías rusos en 2019. Gran parte de las acusaciones de la SEC provienen de comentarios que Brown supuestamente compartió internamente.
“También hemos escuchado que mucha gente no quiere [to be CISO] debido a esta supervisión y a todas estas trampas que ni siquiera sabes que están adelantadas”, dijo Gula, quien se desempeña como miembro de la junta directiva de múltiples empresas emergentes. “Por favor, no abandones esa posición. Por favor, da un paso al frente y hazlo”.
Siguiendo ese consejo, Gula dijo que la documentación también puede ayudar. Cuando los ejecutivos tengan que realizar cambios, corregir fallas o mejorar la capacitación en ciberseguridad pero se les nieguen los planes o el presupuesto, pregunte: “¿Puedo obtenerlo por escrito?” Añadiendo: “Todo lo que puedas hacer para quitarte ese Ojo de Sauron, para que puedas continuar arrojando el anillo al fuego para apagar lo que necesites hacer, eso es importante”.
Zack Whittaker informando desde ShmooCon en Washington DC.