En un entorno empresarial donde los incidentes cibernéticos son cada vez más frecuentes, la correcta divulgación de tales situaciones puede marcar una diferencia significativa en el daño financiero y reputacional de una organización. Las recomendaciones de expertos coinciden en que buscar asesoramiento legal debe ser la prioridad para cualquier empresa que haya experimentado un incidente de ciberseguridad, especialmente si involucra información personal identificable o si la empresa en cuestión pertenece a sectores de infraestructura crítica.
Los equipos de ciberseguridad desempeñan un papel fundamental, no solo en la defensa contra ataques, sino también en la navegación a través del laberinto de obligaciones regulatorias que con frecuencia conllevan los incidentes. Por ejemplo, en el Reino Unido, las brechas de seguridad deben reportarse a la Oficina del Comisionado de Información, y existen diversas modalidades que incluyen informes asociados a la GDPR, al proveedor de servicios de confianza, o a incidentes relacionados con proveedores de servicios digitales, entre otros.
En el caso de organizaciones financieras, la notificación a la Autoridad de Conducta Financiera se vuelve un paso necesario. Asimismo, determinados sectores, como el del transporte, tienen exigencias específicas que también deben ser atendidas. Se sugiere no solo informar a las aseguradoras de ciberseguridad, sino también notificar a la junta directiva, inversores, socios comerciales y, en ocasiones, incluso a los clientes.
Mientras que las regulaciones requieren que estas divulgaciones se realicen en las primeras 24 horas tras la detección del incidente, el cumplimiento es crucial para evitar multas severas. Es aquí donde las pólizas de ciberseguro pueden resultar particularmente útiles, ya que a menudo incluyen servicios legales y asistencia en la presentación de informes necesarios. La pronta presentación con la información adecuada podría ayudar a eludir sanciones regulatorias.
Además, reportar a las fuerzas del orden, aunque no siempre es obligatorio, puede ofrecer beneficios inesperados. Las autoridades pueden tener información sobre grupos cibernéticos implicados y pueden asistir en la recuperación, incluso en situaciones donde existe la posibilidad de obtener un descifrador sin necesidad de pagar el rescate.
Una preocupación adicional radica en el hecho de que los adversarios están cada vez más conscientes de los requisitos de divulgación. Recientemente, una prominente organización fue denunciada por un grupo de ransomware por no haber cumplido con las obligaciones de divulgación ante la SEC en EE. UU., un factor que incrementó la presión para que la empresa pagara el rescate.
En conclusión, la divulgación de cualquier incidente cibernético no solo es esencial para la salud de la organización afectada, sino que puede también facilitar la obtención de soporte adicional de entidades legales y regulatorias. Los aseguradores de ciberseguridad desempeñan así un papel crucial, no solo proporcionando respaldo financiero, sino también asegurando que se notifiquen a las partes adecuadas para minimizar el daño total. La preparación para tales eventualidades nunca ha sido tan vital en un mundo digital en constante evolución.
Fuente: WeLiveSecurity by eSet.