Seguridad empresarial La divulgación adecuada de un incidente cibernético puede ayudar a proteger su empresa de mayores daños financieros y de reputación, y las aseguradoras cibernéticas pueden intervenir para ayudar 18 de septiembre de 2024 • , 4 min. de lectura ‘Busque asesoramiento legal’, esta tiene que ser mi principal recomendación si ha sufrido un incidente cibernético que podría considerarse material, involucra información de identificación personal o si su empresa está clasificada como infraestructura crítica. Los equipos de ciberseguridad de todo el mundo están en la primera línea de defensa contra ciberataques y protección de los activos de la empresa. Al mismo tiempo, también están en la primera línea de trato con los reguladores y evitando multas. Por ejemplo, en el Reino Unido, es posible que sea necesario informar de una violación de seguridad a la Oficina del Comisionado de Información (ICO), donde informar de un incidente tiene varias opciones: Violación de datos personales del RGPD del Reino Unido (DPA 2018) Violación del proveedor de servicios de confianza (eIDAS), Violación de seguridad de los servicios de comunicaciones (PECR) Informe de incidentes del proveedor de servicios digitales (NIS) Si es una organización financiera, es posible que también deba informar del incidente a la Autoridad de Conducta Financiera (FCA). Para la infraestructura y los servicios críticos existen otras obligaciones; por ejemplo, los operadores de servicios de transporte esenciales deben informar de los incidentes al Departamento de Transporte. Luego, por supuesto, deberá ponerse en contacto con su aseguradora cibernética e informarle del incidente, sin olvidarse de la junta directiva, los inversores, el banco, los socios comerciales, potencialmente sus clientes y su familia para hacerles saber que es probable que sea un día largo. Todas las regulaciones de divulgación obligatoria anteriores se requieren dentro del primer día o días de que se identifique un incidente, mientras el incidente aún está bajo investigación y la recuperación es la prioridad comercial. Los ejemplos anteriores son regulaciones del Reino Unido, y los requisitos de divulgación obligatoria en la mayoría de los países son igualmente estrictos. En algunos países, incluso puede ser necesario divulgar el incidente públicamente, como presentar la notificación de un incidente cibernético a una bolsa de valores, que luego publica los detalles para informar a los inversores. Si tiene una póliza de seguro contra riesgos cibernéticos, los servicios proporcionados bajo la póliza pueden incluir servicios legales y presentaciones reglamentarias. Este es un servicio que debe aprovecharse, ya que los abogados especializados en hacer estas divulgaciones obligatorias comprenderán qué información se necesita y el proceso para presentar la notificación. La presentación oportuna con la información correcta puede ayudar a evitar sanciones regulatorias. Si no tiene una póliza de seguro, recomiendo tener un abogado especializado en incidentes cibernéticos a su disposición. Este blog es el sexto de una serie que analiza el seguro cibernético y su relevancia en esta era cada vez más digital; consulte también las partes 1, 2, 3, 4 y 5. Obtenga más información sobre cómo las organizaciones pueden mejorar su asegurabilidad en nuestro último informe técnico, Prevenir, proteger. Asegurar. Comprender las obligaciones regulatorias debería ser una parte vital de la planificación de incidentes cibernéticos, que en sí misma se incluye en un plan de ciberresiliencia más amplio. Una tarea recomendada y, en mi opinión, obligatoria, debería ser un ejercicio de simulación de incidentes cibernéticos. Esto ayuda a identificar quién debe participar y afina el proceso de tratamiento de un incidente en caso de que ocurra. Esta preparación debe ser exhaustiva y no solo debe tratarse como una tarea del marco de ciberseguridad. Este resultado y análisis posterior son esenciales para prepararse para un incidente cibernético. A diferencia de otros profesionales de la ciberseguridad, no creo que un incidente no sea un «si» sino un «cuándo». Con una buena postura, procesos, soluciones y equipo adecuados, puede seguir siendo un «si». Otro punto de notificación debe ser la policía. Si bien esto no es obligatorio, puede ayudar de maneras que no son obvias. La policía puede tener acceso a información sobre el grupo de ciberdelincuentes y tener experiencia que puede ayudar en la recuperación: incluso pueden saber si hay un descifrador disponible sin pagar la demanda. (Si un proveedor de ciberseguridad u otra parte tiene un descifrador, a menudo lo mantienen en secreto para evitar que los ciberdelincuentes cambien sus tácticas). La notificación de incidentes también informa a la policía sobre el alcance y el volumen del incidente, y permite asignar el nivel adecuado de recursos. Tenga en cuenta que el adversario puede comprender los requisitos de notificación. A finales de 2023, un grupo de ransomware denunció a una empresa que cotiza en bolsa que se negó a pagar una demanda de extorsión y no había realizado una divulgación obligatoria de una infracción a la SEC de EE. UU. Este uso de una divulgación obligatoria como arma es otro punto de presión más que ejerce el malhechor para conseguir que una empresa pague la demanda. Para concluir, revelar cualquier incidente cibernético es lo mejor para la organización afectada, ya sea evitando multas y sanciones o obteniendo apoyo adicional a través de los organismos legales y reguladores notificados. Las aseguradoras cibernéticas son extremadamente valiosas en este caso, no solo económicamente, sino también por otros medios, como asegurarse de que se notifique a las personas adecuadas para garantizar el cumplimiento y reducir el daño general. ¿Qué se necesita para un modelo de seguro cibernético exitoso en el entorno de riesgo dinámico? Escuche a Peter Warren analizar las ideas de: Prof. Leslie Wilcox, profesor de la London School of Economics Lord Francis Maude, ex Ministro de Estado de Comercio e Inversión Prof. Keith Martin, Director del Centro EPSRC para la Capacitación de Doctorado en Seguridad Cibernética para la Cotidiana Prof. Neil Barrett, ex asesor de delitos cibernéticos del entonces Ministro de Interior del Trabajo, Jack Straw; Martin Borrett, Director Técnico de IBM Security en el Reino Unido David Chavez, Gerente de Producto de Seguros Cibernéticos Tushar Nandwana, Gerente del Segmento de Tecnología de Control de Riesgos en Intact Insurance Specialty Solutions, y la Dra. Constance Dierickx, Fundadora y Presidenta de CD Consulting Group Obtenga más información sobre cómo el seguro contra riesgos cibernéticos, combinado con soluciones avanzadas de ciberseguridad, puede mejorar sus posibilidades de supervivencia si, o cuando, ocurre un ciberataque. Descargue nuestro informe técnico gratuito: Prevenir. Proteger, Asegurar, aquí.