Él Ley de denuncia de incidentes cibernéticos, que se convirtió en ley el 15 de marzo, es una legislación federal destinada a reforzar la capacidad de prevenir y responder más rápidamente a los ataques de seguridad cibernética. Si bien no entrará en vigencia hasta que se determinen las reglas finales, es una de las tres partes del Fortalecimiento de la Ley de Ciberseguridad Estadounidense que tiene como objetivo reforzar la ciberseguridad de la infraestructura crítica y el gobierno federal. La necesidad de tal acto se ha intensificado por la situación en Europa del Este, ya que la guerra cibernética ha demostrado ser una táctica de ataque clave y efectiva para los estados-nación rusos.

Bajo la Ley de Informe de Incidentes Cibernéticos específicamente, los operadores de infraestructura crítica y las agencias federales deben informar los ataques cibernéticos a la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) dentro de las 72 horas, y los pagos de ransomware dentro de las 24 horas.

La Ley general de fortalecimiento de la seguridad cibernética estadounidense actualizará las leyes de seguridad cibernética del gobierno federal actual para mejorar la coordinación entre las agencias federales, garantizar que el gobierno adopte un enfoque de seguridad cibernética basado en el riesgo y exigir que todas las agencias civiles informen todos los ataques cibernéticos a CISA.

En general, la ley demuestra un mayor reconocimiento de la necesidad de mejores políticas para prevenir ataques a mayor escala y destaca el impacto que el gobierno de EE. UU. puede tener en los esfuerzos de seguridad cibernética dentro de las organizaciones.

Pero para entender verdaderamente el magnitud del impacto potencial del acto, primero debemos obtener información sobre el entorno de amenazas actual, al mismo tiempo que reconocemos los beneficios y las limitaciones de la legislación. Vamos a explorar.

Las amenazas cibernéticas no muestran signos de desaceleración
Las recientes amenazas cibernéticas contra Ucrania han señalado la necesidad de aumentar las medidas de protección, al mismo tiempo que demuestran las consecuencias a gran escala de un ataque de seguridad cibernética en todo un país. Por ejemplo, varios sitios web del gobierno y bancos de Ucrania estuvieron desconectados recientemente como resultado de un ataque masivo distribuido de denegación de servicio (DDoS).

Poco después de estos ataques, un nuevo malware «limpiador» apuntar a las organizaciones ucranianas fue descubierto en cientos de máquinas. Estos incidentes de seguridad son sospechoso de ser llevado a cabo por ciberdelincuentes rusoscreando un nuevo entorno de guerra digital que ha conquistado a las organizaciones.

Un motivo de preocupación para los países que han impuesto sanciones contra Rusia es la posibilidad de represalias por ataques cibernéticos. Además de la creciente tensión geopolítica en Europa del Este, los equipos de seguridad continúan enfrentando una abrumadora cantidad de intentos de ransomware, con actores maliciosos, no solo de Rusia, sino de todo el mundo. De hecho, aproximadamente el 37% de las organizaciones globales dijeron que eran las víctima de un ataque de ransomware en 2021 – y se espera que esa cifra aumente este año.

A través de la Ley de Fortalecimiento de la Ciberseguridad Estadounidense, se crea una nueva base para las organizaciones del sector público y privado, lo que les permite crear defensas a mayor escala contra los actores del estado-nación y, al mismo tiempo, reforzar mejor la protección contra las amenazas cibernéticas continuas a las que se enfrentan cada día.

Necesidad de compartir información y generar informes de ransomware
Al revisar la legislación integral, un aspecto que me llamó la atención fue un llamado a «la rápida agregación y difusión centralizada de datos de ataques en tiempo real». Con la aprobación de la ley, el gobierno y la comunidad de seguridad en general reconocen públicamente que la velocidad, la recopilación y el intercambio de datos de ataques en tiempo real son fundamentales para proteger adecuadamente las redes públicas y privadas, especialmente a medida que los grupos de ransomware y los métodos de ataque maduran y se vuelven más frecuente. ¿Qué es más importante que garantizar que las personas adecuadas obtengan la información correcta en el momento adecuado, especialmente cuando este tipo de intercambio de información es posiblemente la clave para prevenir el próximo ataque cibernético?

Otro aspecto digno de mención de la legislación es el proceso de notificación de ataques de ransomware. Hoy hay más de 250 familias de ransomware, y esa cifra solo sigue creciendo. Esto, junto con el aumento de ransomware más sofisticado y dirigido, expone a las organizaciones a un mayor riesgo.

Como tal, es esencial contar con las herramientas y los sistemas de informes adecuados. La Ley de Informes de Incidentes Cibernéticos, que es una ley dentro de la legislación más amplia, garantizará que todos los ataques a infraestructuras críticas se informen de manera oportuna. Tradicionalmente, este tipo de eventos no se denuncian o no se denuncian; a través de estos nuevos protocolos de informes, los equipos de seguridad pueden medir mejor el tamaño y el alcance de los ataques que potencialmente enfrentan su propia organización y la sociedad en general.

¿Demasiado bueno para ser verdad? Reconocer las trampas potenciales
Si bien la ley brinda inmensos beneficios, también es importante reconocer que existen varias limitaciones potenciales dentro de la legislación. Por ejemplo, si bien una mayor transparencia es crucial para ayudar a prevenir ataques dañinos, muchos equipos de seguridad pueden dudar en informar ataques tan abiertamente. El aumento de los informes de ataques podría causar que las empresas enfrenten litigios, lo que podría desencadenar pérdidas financieras y de reputación significativas a medida que los ataques se hacen públicos.

Para eliminar parte de esta preocupación, las organizaciones pueden considerar una mayor inversión en ciberseguros. Si bien alguna vez fue un concepto bastante nuevo, el mercado de seguros cibernéticos está creciendo exponencialmente, se prevé que se convierta en una industria de $ 20 mil millones para 2025. En la sala de juntas, los CFO deben priorizar las conversaciones sobre seguros cibernéticos durante las reuniones de planificación y presupuesto. Después de todo, si una organización no es proactiva y, en cambio, adopta un enfoque rezagado de la ciberseguridad, está dejando a sus empresas en riesgo de sufrir un ataque y perder fondos corporativos.

Además, la ley solo será efectiva si todas las partes correspondientes trabajan para garantizar que la calidad y la puntualidad de la información recopilada y los procesos de informes correspondientes se tomen en serio y se lleven a cabo de manera adecuada. Este no es un proceso de una sola vez; el intercambio de datos y la notificación de incidentes deben realizarse de forma continua. El éxito de la nueva legislación depende de la cooperación de los equipos de seguridad dentro de los sectores público y privado a los que llega. En pocas palabras, un enfoque laxo equivaldrá a un proyecto de ley ineficaz.

La aprobación de la Ley de Fortalecimiento de la Ciberseguridad Estadounidense es un verdadero reconocimiento por parte del sector público de que la frecuencia y la gravedad de los ataques cibernéticos no pueden quedar sin resolver. Tanto las organizaciones públicas como las privadas tienen la responsabilidad de defender sus principios a medida que ocurren estos incidentes, independientemente del tamaño o la escala del ataque. En general, el sector público debe continuar priorizando la legislación relacionada con la seguridad, y el sector privado debe seguir las pautas que se le proporcionen. Un esfuerzo concentrado de ambas partes es la mejor manera de proteger los activos más sensibles de la nación.

Author

Write A Comment