"Busque asesoramiento jurídico", esta tiene que ser mi principal recomendación si ha sufrido un ciberincidente que podría considerarse material, implica información de identificación personal o si su empresa está clasificada como infraestructura crítica.
Los equipos de ciberseguridad son la primera línea para defenderse contra los ciberataques y proteger los activos corporativos. Al mismo tiempo, también lo son para tratar con los reguladores y evitar multas. Por ejemplo, en el Reino Unido, puede ser necesario notificar una violación de la seguridad a la Oficina del Comisionado de Información (ICO), donde la notificación de un incidente tiene varias opciones:
- Infracción de datos personales GDPR del Reino Unido (DPA 2018)
- Violación del proveedor de servicios de confianza (eIDAS),
- Violación de la seguridad de los servicios de comunicaciones (PECR)
- Notificación de incidentes de proveedores de servicios digitales (NIS)
En el caso de una organización financiera, es posible que también haya que informar del incidente a la Autoridad de Conducta Financiera (FCA). Para las infraestructuras y servicios críticos existen otras obligaciones: por ejemplo, los operadores de servicios de transporte esenciales tienen que informar de los incidentes al Departamento de Transporte. El paso siguiente es ponerse en contacto con la aseguradora contra ciberriesgos para informarle del incidente; sin olvidar a la junta directiva, los inversores, el banco, los socios comerciales, potencialmente sus clientes, y su familia para hacerles saber que es probable que sea un día largo.
Todas estas normas de divulgación obligatoria se exigen desde el primer día en que se identifique un incidente, mientras todavía se está investigando y en momentos en los que la recuperación es la prioridad de la empresa. Los ejemplos anteriores son normativas del Reino Unido, pero los requisitos de divulgación obligatoria en la mayoría de los países son igual de estrictos. En algunos países, incluso puede ser obligatorio revelar el incidente públicamente, como presentar la notificación de un incidente cibernético a una bolsa de valores, que luego publica los detalles para informar a los inversores.
Si dispone de una póliza de seguro contra riesgos cibernéticos, los servicios prestados en el marco de la póliza pueden incluir servicios jurídicos y presentaciones reglamentarias. Este es un servicio que debe aprovecharse, ya que los abogados especializados en realizar estas notificaciones obligatorias sabrán qué información se necesita y el proceso para presentar la notificación.
Una presentación a tiempo con la información correcta puede ayudar a evitar sanciones reglamentarias. Si no se dispone de una póliza de seguros, recomiendo tener a mano un abogado especializado en incidentes cibernéticos.
Comprender las obligaciones normativas debería ser una parte vital de la planificación de ciberincidentes, que a su vez se engloba en un plan de ciberresiliencia más amplio. Una tarea recomendada, y en mi opinión obligatoria, debería ser un ejercicio de simulación de un ciberincidente. Esto ayuda a identificar quién tiene que participar y perfecciona el proceso para hacer frente a un incidente en caso de que ocurra.
Esta preparación debe ser exhaustiva y no tratarse únicamente como una tarea del marco de ciberseguridad. Esta salida y el postmortem son esenciales en la preparación para un ciberincidente. A diferencia de otros profesionales de la ciberseguridad, yo no creo que un incidente no sea un "si", sino un "cuándo". Con una buena postura, procesos, soluciones adecuadas y un equipo, puede seguir siendo un "si".
Otro punto de notificación debería ser la aplicación de la ley. Aunque no es obligatorio, puede ayudar de maneras que no son obvias. Las fuerzas del orden pueden tener acceso a información sobre el grupo de ciberdelincuentes y tener experiencia que puede ayudar en la recuperación: incluso pueden saber si hay un desencriptador disponible sin pagar la demanda. (Si un proveedor de ciberseguridad u otra parte dispone de un desencriptador, suele mantener el conocimiento en secreto para evitar que los ciberdelincuentes cambien sus tácticas) La notificación de incidentes también informa a las fuerzas de seguridad del alcance y volumen del incidente, y permite asignar el nivel adecuado de recursos.
Tenga en cuenta que el adversario puede entender los requisitos de notificación. A finales de 2023, un grupo de ransomware denunció a una empresa que cotizaba en bolsa que se negaba a pagar una extorsión y no había comunicado obligatoriamente una brecha a la SEC estadounidense. Esta instrumentalización de una revelación obligatoria es otro punto de presión infligido por el malhechor para conseguir que una empresa pague la demanda.
En conclusión, revelar cualquier ciberincidente redunda en beneficio de la organización afectada, ya sea para evitar multas y sanciones o para obtener apoyo adicional a través de los organismos legales y reguladores notificados. Las ciberseguradoras son muy valiosas en este caso, no sólo económicamente, sino también por otros medios, como asegurarse de que se notifica a las personas adecuadas para garantizar el cumplimiento y reducir el daño global.
Obtenga más información sobre cómo el seguro contra riesgos cibernéticos, combinado con soluciones avanzadas de ciberseguridad, puede mejorar sus posibilidades de supervivencia si, o cuando, se produce un ciberataque. Descargue nuestro whitepaper gratuito: Prevent. Protect. Insure, aquí.