Cualquier organización puede ser el objetivo de un ciberataque, y tales ataques pueden ocurrir en cualquier momento. Las amenazas cibernéticas comunes como el malware, la fuga de información, el ransomware o el phishing podrían tener graves, si no existenciales, consecuencias para las organizaciones. Por lo tanto, Cyber es uno de los riesgos más importantes que enfrentan las empresas hoy y en el futuro. Por lo tanto, para salvaguardar la confidencialidad, la integridad y la disponibilidad de la información debe tratarse, y no solo considerarse, como una prioridad principal en la gestión de riesgos de una empresa. Esto lleva a la urgente necesidad de asesoría general y departamentos legales para profundizar su enfoque en la seguridad cibernética. Debido a que las posibles implicaciones de las amenazas cibernéticas son múltiples, se necesita un enfoque coordinado para prepararse y responder a las amenazas cibernéticas. Según las experiencias realizadas en nuestra práctica de ciberseguridad y privacidad, Se recomienda seguir un plan de cinco pasos. Este artículo ofrece una perspectiva sobre los pasos prácticos que deben tomarse para garantizar que los programas de ciberseguridad estén alineados adecuadamente con las leyes y regulaciones en evolución, la práctica de la industria y las expectativas de los reguladores.
Además, este artículo describe por qué el privilegio legal profesional podría desempeñar un papel importante en los tribunales, los procedimientos o las acciones de cumplimiento normativo que se producen en el contexto de incidentes cibernéticos.
[Palabras clave: amenazas cibernéticas, violación de datos, respuesta a incidentes, notificación de violación de datos, GDPR, privilegio legal].
Take home
Se recomienda que cada empresa realice una evaluación personalizada que cree un perfil de amenaza específico, que posteriormente permita prepararse para posibles amenazas cibernéticas en un enfoque basado en el riesgo. A este respecto, las empresas también deben considerar su flujo de datos, incluido cómo fluyen los datos dentro y fuera de la organización. Debido a la importancia central de la ciberseguridad, es cada vez más común llevar a cabo la debida diligencia en el programa de ciberseguridad de una empresa para los datos entrantes y salientes.
Artículo completo
Las amenazas cibernéticas y la necesidad de un enfoque coordinado
Las amenazas cibernéticas y la necesidad de un enfoque coordinado
Cyber es uno de los riesgos más importantes que enfrentan las empresas en 2020 y en el futuro. Cualquier organización puede ser el objetivo de un ciberataque, independientemente de la industria, el tamaño o la huella geográfica. Ninguna industria u organización está intacta. Los desarrollos recientes refuerzan la necesidad urgente de asesoría general y departamentos legales para profundizar su enfoque en la seguridad cibernética. Como resultado, muchos altos ejecutivos se han dado cuenta de que la seguridad cibernética es quizás el riesgo más grave y existencial que enfrentan sus empresas. Pero algunas organizaciones están muy por detrás de la curva. Este artículo está redactado para ayudar a obtener asesoramiento interno sobre un enfoque coordinado para prepararse y responder a los desafíos cibernéticos.
Tipos de amenazas cibernéticas
Los riesgos de ciberseguridad acechan en todas partes y en cualquier momento. Los cibercriminales ya han explotado los sentimientos de inseguridad y pánico, y continuarán haciéndolo, particularmente en tiempos de COVID-19. Es importante conocer los diferentes tipos de amenazas cibernéticas para poder salvaguardar la confidencialidad, integridad y disponibilidad de la información. Según la Agencia de Seguridad Cibernética de la Unión Europea (ENISA), las quince principales amenazas cibernéticas son las siguientes:
Tipo de amenaza |
Descripción |
Ejemplos |
Malware |
Software malicioso que realiza operaciones no deseadas (por ejemplo, robo de datos) |
Troyano, Virus, Spyware |
Ataques basados en la web |
Utilice los sistemas y servicios web como la superficie principal para comprometer a la víctima / objetivo |
CVE-2018-4878 |
Ataques a aplicaciones web |
Intentos directos o indirectos de explotar una vulnerabilidad o debilidad en los servicios y aplicaciones en la web. |
Inyección (SQLi, PHPi), Inclusión de archivos locales (LFI), secuencias de comandos entre sitios (XSS) |
Suplantación de identidad |
Mecanismo para elaborar mensajes que utilizan técnicas de ingeniería social para atraer al destinatario a realizar acciones (por ejemplo, hacer clic en un enlace, proporcionar credenciales de inicio de sesión) |
Correos electrónicos de phishing que solicitan a los destinatarios que actualicen la información de la cuenta
|
Negación de servicio |
La infraestructura está sobrecargada / sobrecargada con tráfico de red con el objetivo de interrumpir las actividades / servicios comerciales |
GitHub |
Correo no deseado |
Uso abusivo de las tecnologías de correo electrónico y mensajería para inundar a los usuarios con mensajes no solicitados |
Spam a través de mensajeros y redes sociales |
Botnets |
Una botnet es un conjunto de computadoras infectadas por bots, que es una pieza de malware que es instruido por un maestro. Una vez que el malware del bot se ejecuta en una computadora, los bots pueden leer y escribir archivos, ejecutar programas, etc. |
Necurs |
Violaciones de datos |
Intentos maliciosos que condujeron a un incidente (por ejemplo, compromiso o pérdida de datos) |
British Airways |
Amenaza interna |
Empleado o contratista que usa el acceso para divulgar o filtrar información con fines de lucro personal, competitivo o financiero |
AT&T, Himno |
Manipulación física |
Manipulación física, daño, robo o pérdida de información (por ejemplo, información almacenada en dispositivos móviles, computadoras portátiles, etc.) |
Pérdida de documentos en papel o computadoras portátiles. |
Fuga de información |
Fuga de información causada por la acción de un individuo, falla del proceso dentro de una organización o error técnico / mala configuración |
Strava |
El robo de identidad |
Fraude cometido por el robo de información personal identificable |
Fraude de tarjeta de credito |
Criptojacking |
Se refiere a los programas que utilizan el poder de procesamiento del dispositivo de la víctima para extraer criptomonedas sin el consentimiento de la víctima. |
Colmena |
Secuestro de datos |
Los hackers encriptan los archivos de las víctimas y exigen el pago para desbloquear |
WannaCry, GandCrab, NotPetya |
Espionaje cibernético |
Espionaje que se enfoca en geopolítica, secretos de estado y comerciales, derechos de propiedad intelectual e información de propiedad en campos estratégicos. También moviliza a actores de la economía, la industria, los servicios de inteligencia extranjeros, así como a actores que trabajan en su nombre. |
ZooPark, FIN7 |
Cómo abordar los desafíos cibernéticos
Las posibles implicaciones de las amenazas cibernéticas son múltiples. Por lo tanto, se necesita un enfoque coordinado para hacer frente a los desafíos cibernéticos. Según las experiencias realizadas en nuestra práctica de ciberseguridad y privacidad, generalmente recomendamos a las empresas que sigan un plan de cinco pasos. Esta descripción general resume estos pasos y ofrece una perspectiva sobre los pasos prácticos que el asesor interno puede tomar para garantizar que los programas de ciberseguridad de sus organizaciones estén alineados adecuadamente con las leyes y regulaciones en evolución, la práctica de la industria y las expectativas de los reguladores.
Toda empresa es una víctima potencial. Sin embargo, cada empresa es única y exhibe su propio perfil de amenaza específico. Tal perfil de amenaza puede estar influenciado por varios factores, tales como:
• industria;
• Datos (por ejemplo, datos personales, secretos comerciales, información financiera, IP, datos comerciales confidenciales);
• Obligaciones desde una perspectiva civil, reglamentaria, operativa y técnica; y
• Riesgos desde una perspectiva de continuidad del negocio.
Se recomienda que cada empresa realice una evaluación personalizada que cree un perfil de amenaza específico, que posteriormente permita prepararse para posibles amenazas cibernéticas en un enfoque basado en el riesgo. A este respecto, las empresas también deben considerar su flujo de datos, incluido cómo fluyen los datos dentro y fuera de la organización. Debido a la importancia central de la ciberseguridad, es cada vez más común llevar a cabo la debida diligencia en el programa de ciberseguridad de una empresa para los datos entrantes y salientes.
Independientemente de la industria y el perfil de amenazas, todas las empresas están obligadas a enfrentar un incidente cibernético en algún momento. Para estar preparados para tales incidentes, las compañías deben crear y actualizar estrategias de gobierno de datos y planes de respuesta a incidentes. En el entorno actual, la coordinación internacional y la velocidad son dos de los elementos más importantes para incorporar en el plan de respuesta a incidentes de seguridad cibernética de una organización. Los planes de respuesta a incidentes generalmente describen la estructura, las responsabilidades y los miembros del equipo de respuesta a incidentes y definen la toma de decisiones, la escalada y otros procedimientos necesarios. Este último puede incluir procedimientos operativos estándar (SOP) que minimizan los errores que podrían ocurrir durante el manejo de incidentes bajo tempo y estrés. Preferiblemente, el plan de respuesta a incidentes también implica una definición del término " o no reflejan adecuadamente las expectativas operativas, de cumplimiento y regulatorias. Esto es un desafío, entre otros, debido a la rápida evolución del panorama regulatorio.
Una vez que se ha detectado un incidente cibernético, el equipo de respuesta al incidente está a cargo de i) analizar el incidente (por ejemplo, fuente, motivación, actor de la amenaza, etc.), ii) evaluar la extensión y el daño causado por el incidente y iii) planificar Posibles soluciones y medidas. Seguido de este análisis, el equipo de respuesta a incidentes usualmente responde para mitigar el incidente conteniendo y erradicando el incidente seguido de recuperación. La contención requiere la toma de decisiones, como desconectar una red, apagar sistemas o deshabilitar ciertas funciones. Dado que las estrategias de contención dependen del tipo de incidente, se recomienda definir estrategias separadas para cada tipo de incidente, lo que contribuye a una toma de decisiones rápida y sólida. La erradicación se refiere a la actividad para eliminar la causa del incidente del sistema, como eliminar programas maliciosos, aplicar parches o corregir configuraciones incorrectas en el sistema. El propósito de la fase de recuperación es restaurar el sistema a su estado original. Además, puede ser necesario realizar una investigación forense para obtener información valiosa sobre el incidente (por ejemplo, cómo y por qué ocurrió un incidente). En todo esto, la velocidad es una consideración cada vez más importante. Los incidentes cibernéticos pueden desencadenar notificaciones regulatorias oportunas. Por ejemplo, el Reglamento General de Protección de Datos de la UE requiere que los controladores de datos notifiquen a la autoridad apropiada sobre las violaciones de datos personales dentro de las 72 horas después de haberse dado cuenta. Se aplican requisitos similares en virtud de la Ley de Privacidad del Consumidor de California, en las leyes financieras, en las leyes de seguridad de redes e información, etc., a las obligaciones contractuales (por ejemplo, en licencias, acuerdos de proveedores, acuerdos de intercambio de datos y acuerdos de seguros) y obligaciones dentro de la empresa (por ejemplo, accionistas, partes interesadas, etc.). Como tal, para poder responder de manera adecuada y oportuna, las empresas deben establecer un proceso para realizar un seguimiento de estos y deben facilitar la coordinación entre las diversas funciones comerciales y el grupo corporativo si ocurre un incidente. Como práctica recomendada, a muchas empresas les resulta útil incluir plantillas "iniciales" preaprobadas para la variedad de notificaciones y comunicaciones potenciales que pueden tener que realizarse en su plan de respuesta a incidentes. Las empresas deben establecer un proceso para realizar un seguimiento de estas y deben facilitar la coordinación entre las diversas funciones comerciales y el grupo corporativo si ocurre un incidente. Como práctica recomendada, a muchas empresas les resulta útil incluir plantillas "iniciales" preaprobadas para la variedad de notificaciones y comunicaciones potenciales que pueden tener que realizarse en su plan de respuesta a incidentes. Las empresas deben establecer un proceso para realizar un seguimiento de estas y deben facilitar la coordinación entre las diversas funciones comerciales y el grupo corporativo si ocurre un incidente. Como práctica recomendada, a muchas empresas les resulta útil incluir plantillas "iniciales" preaprobadas para la variedad de notificaciones y comunicaciones potenciales que pueden tener que realizarse en su plan de respuesta a incidentes.
Como se indicó anteriormente, un incidente cibernético podría desencadenar varias obligaciones, y estas obligaciones deben considerarse en consecuencia. Estos varían según la jurisdicción, y las leyes y regulaciones relevantes, y las expectativas, están evolucionando a un ritmo rápido. Determinar si notificar o no a una autoridad supervisora, socio comercial, parte interesada, aseguradora u otra parte no es un asunto sencillo. Requiere, entre otros, un análisis cuidadoso del alcance y la naturaleza del incidente, así como una buena comprensión del impacto potencial que el incidente puede tener en la empresa, los datos y las partes involucradas. Por ejemplo, el RGPD requiere una notificación sobre las infracciones de los datos personales a la autoridad de supervisión pertinente sin demora indebida (a más tardar 72 horas después de darse cuenta de ello), a menos que sea poco probable que genere un riesgo para los derechos y libertades de las personas físicas. Esto significa, en primer lugar, que el GDPR debe aplicarse al incidente en cuestión. En segundo lugar, el incidente debe constituir una violación de datos personales tal como se define en el GDPR bajo la responsabilidad de la empresa que actúa como controlador de datos. En tercer lugar, debe determinarse cuándo la empresa se "dio cuenta" y, por lo tanto, cuándo comenzó a funcionar el reloj (es decir, el plazo de 72 horas). Cuarto, no todas las violaciones de datos personales deben ser notificadas, por lo que es necesario un análisis del impacto del incidente. Quinto, se debe identificar la autoridad supervisora competente. Sin embargo, estos pasos son solo el comienzo, ya que el RGPD requiere una notificación a las personas afectadas si es probable que el incidente genere un alto riesgo para sus derechos y libertades, y las empresas también deberían considerar sus propios intereses en el contexto de un incidente cibernético. Por ejemplo, las empresas también deben evaluar si podría ser útil o necesario cooperar con los investigadores forenses (por ejemplo, trabajar con servicios de inteligencia) o con compañías de seguros cibernéticos, socios comerciales, inversores o medios de comunicación. Por último, las compañías también deben analizar si el incidente (también) afecta los secretos comerciales de la compañía o los derechos de propiedad intelectual, y qué partes deben participar a este respecto.
El propósito del último paso es representar y defender vigorosamente los casos en los tribunales o en los procedimientos. Las acciones de ejecución iniciadas por los reguladores después de un incidente cibernético y un litigio civil, incluidas las demandas colectivas y los reclamos de responsabilidad de los socios comerciales, se han vuelto cada vez más comunes en los últimos años. La amenaza de acciones de aplicación y litigios debe ser parte de la evaluación sobre cómo prepararse y responder a los incidentes, así como sobre el compromiso con todas las partes involucradas.
Privilegio legal profesional
Involucrar a asesores legales externos en el contexto de incidentes cibernéticos podría ser beneficioso para las empresas desde diversas perspectivas. Un aspecto importante en este contexto es el privilegio legal profesional. Las comunicaciones confidenciales (incluidos documentos e informes de investigación) entre empresas y sus abogados relacionadas con la prestación de asesoramiento legal están protegidas y no deben divulgarse a terceros. Las partes externas pueden incluir autoridades de supervisión de protección de datos, otras autoridades de aplicación o contrapartes en litigios. Un ejemplo de un asunto en el que se muestra la importancia del privilegio legal es el caso de litigio de violación de datos de Experian en los Estados Unidos. En este caso, Experian (el acusado) ha contratado a un abogado litigante externo para que le brinde asesoramiento legal sobre una violación de datos. Después, El abogado externo contrató a un consultor forense externo para que realizara un análisis de informe experto del ataque. Los demandantes presentaron una moción para solicitar acceso a ese informe y documentos relacionados. Sin embargo, el tribunal dictaminó que el informe está protegido por la doctrina del producto del trabajo. Según esta doctrina, existe un privilegio calificado "para ciertos materiales preparados por un abogado que actúa para su cliente en anticipación de un litigio". Las jurisdicciones en la UE generalmente no reconocen una doctrina de producto de trabajo separada, pero a menudo protegen la información y documentación preparada por un abogado externo como materiales privilegiados, como asesoramiento legal, documentos de litigios y comunicaciones de abogado / cliente. Por lo tanto, puede ser útil para las empresas definir una estrategia de privilegio legal.
Conclusión
Las amenazas cibernéticas acechan en todas partes y en cualquier momento, y sus posibles implicaciones son múltiples. Por lo tanto, parece ser crucial seguir un enfoque coordinado al enfrentar desafíos cibernéticos. Las empresas y, ciertamente, también los despachos de abogados deberían evaluar su propio perfil de amenazas. Deben estar preparados para las amenazas cibernéticas y asegurarse de poder responder a las amenazas cibernéticas en cualquier momento. Después de darse cuenta de un incidente cibernético, se deben considerar diversas obligaciones y aspectos que van más allá de las obligaciones de notificación de violación de datos personales, pero también implican obligaciones contractuales y los propios intereses de la empresa (como mantener la confidencialidad de los secretos comerciales). Además, se le puede exigir que represente y defienda enérgicamente los casos en los tribunales o procedimientos, donde también entran en juego aspectos relacionados con el privilegio legal.
Leyes
Regulation (EU) 2016/679 General Data Protection Regulation OJ 2016 L 119/1 (GDPR).
California Consumer Privacy Act (CCPA).
Jurisprudential References
Court of Justice of the European Union, 18 May 1982, Case 155/79 (AM & S Europe v Commission).
United States District Court Central District of California, Case No. SACV 15-01592 AG (DFMx).
U.S. Supreme Court United States v. Nobles, 422 U.S. 225 (1975).
Articles, Books and Quotations
European Union Agency For Network and Information Security (ENISA) Threat Landscape Report 2018.
Prasad R, Rohokale V, Cyber Security: the Lifeline of Information and Communication Technology (Springer 2019).
Gurkok C, 'Cyber Forensics and Incident Response' in Vacca J (ed), Managing Information Security (2nd edition Elsevier 2014).
Real case by example, experiences
Assisted various global players in readiness programs, including in relation to drafting and implementation of global data governance strategies and testing of implemented procedures using simulation exercises.
Represented global players in cybersecurity matters affecting millions of individuals in the EU, Asia, US and South America, including in relation to enforcement actions initiated by supervisory authorities and consumer authorities in various countries around the globe.
Assisted global player in response to ransomware attacks, including global data breach notification obligations, business partner communications and cooperation with intelligence services.
Comentarios
Enlaces relacionados
Menú principal