El nuevo reglamento obligará a las empresas a notificar las fugas de información: ¿qué consecuencias tendrá esto?

Troyanos, spyware, defacements, spam, DDoS, Phishing y escaneos en busca de vulnerabilidades en redes, sistemas y otros incidentes detectados en Administraciones Públicas y empresas de interés estratégico que en el 2015 fueron 18.232, de los 193 contabilizados en el 2009. La cifra de estos incidentes que, en su mayoría, constituyen hechos delictivos, se quedará corta en cuanto las empresas, grandes, medianas o pequeñas, se vean obligadas a notificar.

A pesar de ser hechos delictivos y de que existe obligación de denunciarlos ante la autoridad judicial, lo cierto es que muchos incidentes de este tipo ni se reportan ni se denuncian. Ignorancia, desconfianza en el sistema judicial, miedo a daños reputacionales, posibles sanciones y desconocimiento de los efectos en el mercado que tendrá el hacer público la existencia de fugas de información provocan que desconozcamos la otra cifra, “la cifra negra”, mucho más amplia. Mis compañeros holandeses que gestionan la web www.nomoreransom.org me contaron que habían recibido en un año más de un millón de peticiones para descifrar archivos secuestrados por el malware ransom. ¡Un millón! Solo en Europa.

Queda un año escaso para que cualquier empresa o entidad se enfrente a la obligación establecida por el RGPD y la Directiva para la Seguridad de la Información y de las Redes (NIS) de reportar y notificar los incidentes de seguridad en el ámbito de las tecnologías de la información y las comunicaciones (TIC). De entre todos los incidentes, será obligatorio reportar aquellos que sufran los sujetos sometidos a regulación europea y en los que peligren los derechos y libertades de los individuos. Deberán notificarlos a la autoridad de control y al interesado o persona física para la que existe ese riesgo en un plazo de 72 horas. Simplemente la distinción entre lo que se debe o no reportar ya es confuso o ¿tenemos claro que acceder a un servidor con un error en la configuración que permite el acceso sin necesidad de contraseña es un delito, una intrusión?

¿Cómo se llevarán a cabo esas notificaciones?

Aún no existe una estrategia común en la notificación de incidentes. Todo incógnitas en un proceso en el que los que velan por la protección de nuestros datos personales se enfrentan a distintos reguladores, diversos plazos, formato y el nivel de detalle de los reportes, los criterios de identificación de incidentes o el procedimiento. Todos son incógnitas para quien/quiénes vayan a ser el interlocutor entre la empresa y la entidad encargada de controlar estas notificaciones ¿El Director de Seguridad o el CSO? Muchas novedades, poca aplicación práctica y sobre todo, miedo.

¿Cómo comunicar un incidente en 72 horas si no se ha hecho previamente un análisis de impacto? ¿Cómo cuantificar pérdidas sino hay capacidad de evaluar la magnitud real de las consecuencias? ¿Cómo evaluar y anticipar el impacto reputacional que puede provocar para la empresa atacada por la desconfianza de los propios clientes, el mercado y los accionistas?

Queda un año

Solo un año para saber si la aplicación de este Reglamento va a suponer para los CISOS de las empresas más problemas que retos para mejorar su sistema de seguridad de gestión y reducir la probabilidad de incidentes, trabajar en la visibilidad de lo que pasa en sus sistemas, monitorizarlos y si se produce un incidente, reaccionar cuanto antes para reducir el impacto y volver a la situación normal.

El reporte obligatorio de incidentes no me cabe la menor duda que será un hándicap para las grandes empresas pero ¿Qué pasará con las pequeñas y medianas, los manidos presupuestos para ciberseguridad (si es que existen), el impacto económico y reputacional que puede tener en ellas todo esto?

Solo un año para que esas pequeñas y medianas empresas que, afortunadamente, aún no saben que es un ransom o que un perfil de Linkedin no es quien dice ser se enfrenten a esta obligación. Muchas las empresas que piensan que como el cibercrimen viene del extranjero, no existe alternativa de investigación posible.

La experiencia les dice, ya sea a personas físicas como a empresas que antes de hacer público el incidente que han sufrido, deben esperar hasta conocer su alcance y si no lo pueden determinar o ya está en los medios, lo mejor es hacerlo público para evitar más especulaciones y la pérdida de credibilidad.

Tampoco se sabe si restaurar los sistemas atacados o vulnerados va a compensar la inversión en medios destinada al proceso de información previo al reporte de un incidente. Probablemente no. Solo nos queda pensar que, ahora más que nunca, hay que invertir en ciberseguridad y en prevención. Aún sabiendo que no existe la seguridad 100%, hay que configurar los sistemas de la forma más segura posible. ¿Qué otros deberes deben ir haciendo las empresas?

• Establecer protocolos prácticos y efectivos de gestión de incidentes y/o crisis, hacer simulacros y ciberejercicios.
• Formación de los empleados, especialmente de aquellos que sean los primeros en detectar indicios de un fallo de seguridad.
• Extremar la gestión de proveedores externos para comprobar que disponen de los niveles de seguridad adecuados.
• Establecer un sistema de detección de eventos en tiempo real, con soporte 24x7 para resolver y notificar las incidencias al instante, siguiendo metodologías específicas.
• Implementación del sistema de notificación y la gestión de estos procedimientos.

Cada vez se hace más necesario implantar una oficina “091 ciber” como una especie de ventanilla única donde las empresas puedan estar informadas, con mecanismos efectivos de reporte 24x7, más cuando hay plazos de 72 horas para las empresas que necesiten saber si ese incidente pone o no en peligro los derechos fundamentales de las personas físicas y datos personales de sus clientes.