El mundo de la regulación avanza notablemente con lentitud y, por lo general, se necesitan años de propuestas, revisiones y reformulaciones antes de que las nuevas regulaciones se conviertan en ley. Esto tiene sentido: cuando se trata de leyes que podrían afectar a millones de personas y remodelar aspectos de nuestras vidas, el más alto nivel de escrutinio es esencial.
Pero este enfoque se ve desafiado por el ritmo implacable de la evolución de las ciberamenazas. A medida que los grupos de ciberdelincuentes continúan mejorando sus ataques para maximizar los ingresos e infligir mayores daños, los gobiernos están bajo presión para responder e impulsar el cambio a través de nuevos marcos y orientaciones que obligarán a las organizaciones a implementar estándares de ciberseguridad más altos. proteccion.
Las regulaciones desempeñan un papel influyente en la configuración de las estrategias de seguridad y el aumento del nivel de seguridad, y dada la escala y el costo de las perturbaciones que causan, Secuestro de datos Los ataques cibernéticos preocupan especialmente a las autoridades de todo el mundo. Las leyes que establecen cómo las organizaciones protegen, responden y reportan ataques de ransomware tienen como objetivo fortalecer nuestras defensas cibernéticas nacionales y disuadir a los atacantes.
Esto es bienvenido; Sin embargo, el cambio lleva tiempo y el cumplimiento de las regulaciones no es un fin en sí mismo. Las organizaciones también deben asumir la responsabilidad de mantenerse a la vanguardia cuando se trata de mitigar amenazas de manera proactiva en lugar de esperar a cumplir con el requisito mínimo.
CEO y fundador de BlackFog.
El cambiante panorama regulatorio
A fines del año pasado, el gobierno británico publicó un informe calificando al ransomware como una amenaza nacional, indicando que existía un alto riesgo de un ataque “catastrófico”. Dada la magnitud de las amenazas que enfrenta ahora el Reino Unido, el gobierno anunció en mayo propuestas para informar obligatoriamente sobre el ransomware y un posible acuerdo de licencia antes de que las víctimas paguen cualquier rescate.
A medida que los ataques de ransomware se convierten en un problema de seguridad nacional, las amenazas contra la infraestructura crítica tienden a provocar las reacciones más rápidas de los gobiernos. Tras el ataque de ransomware al Colonial Pipeline, por ejemplo, el gobierno de EE. UU. emitió una guía exigiendo a los operadores de oleoductos que mejoraran los requisitos de seguridad, sentando un precedente para otros sectores.
La interrupción causada por los sistemas cifrados es sólo una parte de la historia, y en qué se centran principalmente los atacantes Datos Con la filtración de datos, millones de personas se enfrentan a la posibilidad de que bandas criminales compren y vendan sus datos privados en la web oscura.
En consecuencia, las regulaciones recientes se han centrado cada vez más en la protección de datos. Más recientemente, la propuesta Ley de Derechos de Privacidad de EE. UU. se ha centrado en la notificación de violaciones de datos, los derechos del consumidor y mecanismos estrictos de aplicación. La Ley de Derechos de Privacidad de EE. UU. tiene como objetivo unificar varias leyes estatales en un estándar federal integral, que afecta en gran medida la forma en que las empresas manejan y protegen los datos.
APRA propone una gama de datos de consumidores Privacidad Estas medidas son similares a las del RGPD, junto con responsabilidades más estrictas de las empresas para mantener la integridad de los datos. Esto incluye requisitos relacionados con la identificación de vulnerabilidades, la prueba de sistemas y la mejora de la capacitación de los empleados sobre protocolos de seguridad.
A medida que aumentan los riesgos para las empresas que no protegen adecuadamente los sistemas y los datos, el cambio regulatorio también está poniendo las acciones de los altos ejecutivos en el centro de atención. Este enfoque en la responsabilidad individual es una tendencia creciente, ya que los directores de seguridad de la información y otros tomadores de decisiones enfrentan la amenaza de responsabilidad personal en caso de violaciones graves. La nueva posición de la SEC sobre divulgación de seguridad exige que los incidentes se informen en un plazo de cuatro días y asigna a los funcionarios de seguridad de la información la responsabilidad de garantizar que esto suceda. En un caso histórico, la Comisión de Bolsa y Valores acusó al director de seguridad de la información de SolarWinds de fraude y falla de control interno sobre la notoria violación de la cadena de suministro de software de la compañía.
La colaboración es la clave para una regulación eficaz
Los ejecutivos del Reino Unido pueden ver este desarrollo con preocupación, y la naturaleza global de las tendencias de seguridad significa que debemos prestar atención a los cambios regulatorios importantes en ambos lados del Atlántico. El hilo común es que para que las regulaciones sean efectivas, deben ser realistas y aplicables por parte de las empresas. Los gobiernos y los organismos reguladores pueden crear regulaciones más efectivas contactando a expertos de la industria para comprender las limitaciones y capacidades prácticas. Simplificar los procesos de cumplimiento y brindar orientación clara y práctica ayudará a garantizar que las regulaciones mejoren la seguridad en lugar de obstaculizarla.
Para este fin, la consulta con expertos de la industria es esencial al formular ciberseguridad Reglamentos. Es más probable que las regulaciones se cumplan mejor si se basan en conocimientos prácticos de los profesionales de la industria. cooperación Colaborar con profesionales de seguridad también garantiza que las políticas no solo sean ejecutables, sino también efectivas para abordar las amenazas actuales.
La colaboración entre diversas industrias es crucial para que se intercambien mejores prácticas y soluciones innovadoras entre los tomadores de decisiones en diversos campos, así como entre los sectores público y privado. Esto es especialmente importante ya que los grupos de amenazas utilizan las mismas tácticas en múltiples sectores. Al trabajar juntos, los gobiernos y las industrias pueden priorizar la protección de datos y aumentar la resiliencia ante ataques disruptivos.
Estrategias para mejorar la resiliencia
Las empresas deben evaluar cuidadosamente sus medidas de seguridad de datos frente a las regulaciones gubernamentales y de la industria; sin embargo, el cumplimiento debe verse como un estándar mínimo y no como el objetivo final.
Las empresas deberían buscar activamente implementar estrategias para mejorar la resiliencia, en lugar de esperar a que estas estrategias se vuelvan obligatorias. Esto incluye implementar autenticación multifactor, realizar auditorías de seguridad periódicas para identificar vulnerabilidades y proporcionar las capacidades necesarias para identificar comportamientos maliciosos y prevenir fugas de datos. También es fundamental capacitar a los empleados sobre las mejores prácticas de ciberseguridad.
Con los atacantes apuntando a extraer datos, Mirando Regular el tráfico saliente para poder detener el robo de datos antes de que algo salga del sistema es una de las capas más importantes de cualquier estrategia de ciberseguridad.
Sin embargo, a menudo encontramos que las empresas están tan preocupadas por monitorear las señales de amenazas externas entrantes que ignoran lo que surge de ellas. Debido a que no cuentan con un sistema de monitoreo efectivo, no saben lo suficiente como para saber si están experimentando un problema de fuga de datos.
Esto es similar a lo que vimos en el apogeo de la pandemia de Covid-19, donde los países anunciaron que sus tasas de infección eran bajas porque no estaban realizando pruebas activamente. Hay muchas empresas que confían en sus estrategias porque no miran en el lugar adecuado para darse cuenta de que pueden tener un problema.
Al evitar que los sistemas se vean comprometidos con estrictos controles de acceso y evitar que datos confidenciales abandonen la red mediante medidas como la prevención de fuga de datos (ADX), las organizaciones pueden evitar tener que negociar con atacantes o que sus datos accedan a la Dark Web. Mientras tanto, los grupos amenazantes se moverán en busca de objetivos más fáciles y menos preparados.
A medida que los gobiernos y reguladores de todo el mundo comienzan a centrarse más en la presentación de informes y la protección de datos, las organizaciones deben prepararse para satisfacer más necesidades de cumplimiento en el futuro cercano. Dar prioridad a la visibilidad y el control sobre el acceso al sistema y los datos críticos reducirá el impacto de los ataques disruptivos y preparará a las empresas para cumplir con las demandas de los reguladores a medida que los legisladores tomen más medidas para fortalecer nuestras defensas colectivas.
Proporcionamos el mejor software de protección de endpoints.
Este artículo se produjo como parte del canal Expert Insights de TechRadarPro, donde destacamos las mejores y más brillantes mentes de la industria tecnológica actual. Las opiniones expresadas aquí son las del autor y no reflejan necesariamente los puntos de vista de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí: https://www.techradar.com/news/submit-your-story-to-techradar-pro