Nuevas regulaciones gubernamentales para informar sobre incidentes cibernéticos en las empresas.

Existen nuevas regulaciones gubernamentales de las cuales las empresas deben estar al tanto en caso de sufrir un incidente cibernético.

La Ley de Fortalecimiento de la Ciberseguridad Estadounidense, firmada por el presidente Joe Biden el 15 de marzo, establece un proyecto de ley de financiamiento gubernamental de $1.5 mil millones para ayudar con las medidas de informes virtuales. Estas nuevas pautas de ciberseguridad derivadas de la ley obligarán a las empresas a informar si se ven afectadas por ataques informáticos y pagos de rescate. Esta nueva ley tiene como objetivo continuar los esfuerzos de la administración Biden para mejorar la defensa en línea tanto del sector público como del privado.

Índice de Contenido
  1. Nuevas pautas de ciberseguridad
  2. Impacto en las empresas

Nuevas pautas de ciberseguridad

La ley, compuesta por tres proyectos de ley separados, requiere que las organizaciones de infraestructura crítica informen a la Agencia de Ciberseguridad e Infraestructura (CISA por sus siglas en inglés) dentro de las 72 horas posteriores a un ciberataque importante. Además, las organizaciones que realicen pagos de rescate por ransomware deberán informar un incidente a la CISA dentro de las 24 horas. Asimismo, las empresas que no informen de los ataques podrán ser citadas por la CISA. La CISA tendrá hasta dos años para publicar un aviso en el Registro Federal con sugerencias sobre cómo poner en acción la nueva ley.

"Con la SEC, FDIC y el gobierno de EE. UU. proponiendo o aprobando requisitos de informe de incidentes de ciberseguridad, hay una clara tendencia y enfoque en el valor de la divulgación rápida", dijo Tim Erlin, vicepresidente de estrategia de Tripwire. "Los plazos ajustados para informar incidentes impulsarán una mayor visibilidad de los incidentes a medida que ocurren, pero todos debemos estar preparados para la inevitable decepción de cuánto sabemos sobre un incidente en las primeras 36, 48 o 72 horas. El énfasis en un informe oportuno debe ir acompañado de requisitos de exhaustividad de las investigaciones. Si queremos una mayor transparencia en los incidentes, necesitamos tanto un informe más rápido como una mejor calidad de informe".

Impacto en las empresas

Un ejemplo de una industria que puede verse afectada por la aprobación de este proyecto de ley son las empresas del mercado energético. Estas empresas ya han experimentado los efectos potenciales de ser hackeadas al observar el ataque al oleoducto Colonial en mayo pasado. En ese caso, un grupo malicioso de ransomware obligó a la extorsión de criptomonedas a cambio de devolver el control del oleoducto a la empresa Colonial Pipeline, pero no antes de que la empresa tuviera que pagar un rescate de $4.4 millones.

Otro aspecto a tener en cuenta para las empresas es qué se considera un ciberataque "importante" según lo establecido en la ley. Con un proceso de informes más sólido, se espera un aumento en el número de ciberataques informados por los medios de comunicación, según Paul Furtado, director senior de investigación en Gartner.

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

"La ley se aplica a las agencias federales civiles e industrias consideradas infraestructura crítica. Las industrias de infraestructura crítica representan un gran porcentaje de la economía de EE. UU.", dijo Furtado. "La ley afecta a estas organizaciones independientemente de su tamaño o ingresos. Una vez que la ley se promulgue, es posible que veamos un aumento de incidentes de ransomware informados en los medios de comunicación. La gente debe entender que la ola de nuevos informes no significa que estemos sufriendo un mayor volumen de ataques, sino que resaltará la cantidad de estos ataques que históricamente han pasado desapercibidos".

Para combatir esto, Furtado afirma que será clave mejorar la escala y los detalles de las reacciones a los ataques para cumplir con los nuevos requisitos gubernamentales, junto con una intensa monitorización de los sistemas para prevenir posibles ataques futuros.

"Los directores de información (CIO) y los líderes de seguridad deberán actualizar los planes de respuesta a incidentes existentes para reflejar los nuevos requisitos de informe", dijo Furtado. "Además, es importante que la alta dirección sea consciente de la nueva legislación y de cómo podría afectar al negocio en caso de un ataque de ransomware. Además de los requisitos adicionales de notificación regulatoria, las empresas deben seguir implementando herramientas de monitorización de seguridad y medidas preventivas constantes para mitigar el riesgo de que un ransomware se adueñe de su organización".

Con muchas industrias diferentes incluidas en el ámbito de esta nueva ley, muchas organizaciones desearán aumentar no solo sus protocolos de seguridad para prevenir ataques, sino también sus sistemas de informes para cumplir con la ley.

Cómo proteger tu computadora de los virus: métodos y consejos

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Nuevas regulaciones gubernamentales para informar sobre incidentes cibernéticos en las empresas. , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.