En 2016, Joseph Sullivan, exCISO de Uber Technologies, fue condenado por encubrir una violación de datos que expuso información personal de 57 millones de usuarios de Uber.
Un jurado federal de Estados Unidos declaró a Sullivan culpable de obstruir los procedimientos de la Comisión Federal de Comercio (FTC). Supuestamente, Sullivan orquestó un plan para que Uber pagara $100 mil dólares a los ciberdelincuentes a través de su programa de recompensas por errores, a cambio de mantener en secreto el ataque y los datos comprometidos.
Un año después, Uber reveló una brecha de seguridad que la compañía había mantenido en secreto, resultando en la extracción de los datos mencionados.
Este caso resalta la significativa responsabilidad legal del Sullivan al encubrir una violación masiva de datos, redactar acuerdos de confidencialidad falsos para evitar que los piratas informáticos accedan a más datos, y ocultar información a los abogados de la empresa, dificultando la respuesta al incidente.
Desafortunadamente, esta realidad persiste en muchas organizaciones cuando ocurre un evento de esta naturaleza. Con el objetivo de mantener su empleo, el CISO podría no reconocer la vulnerabilidad del entorno o los riesgos en la organización.
Acciones
El CISO ha tenido una enorme responsabilidad que lo hace susceptible a procesos legales, los cuales pueden costarle no solo su trabajo sino también su libertad y reputación. ¿Cómo puede minimizar las posibles consecuencias de un ataque informático en estos y otros aspectos?
- Joseph Sullivan
A continuación, algunas recomendaciones que los CISOs pueden seguir al detectar una violación a la privacidad de la información sensible de su empresa, ya sea de sus operaciones, propiedad intelectual, empleados, socios o clientes:
1.Establecer una Estrategia Integral. El primer paso es establecer una estrategia que identifique las amenazas potenciales, reduzca los riesgos y ejecute procedimientos adheridos a estándares legales y las mejores prácticas. Es crucial que el CISO sepa a quién dentro de la organización debe informar inicialmente sobre el incidente y seguir el flujo correspondiente. Además, es imprescindible coordinarse estrechamente con el departamento legal para seguir los protocolos adecuados después de presentarse el robo de datos.
2.Preservar la cadena de custodia de evidencias. El CISO debe garantizar la custodia adecuada de todas las evidencias. Aunque se revelen malas prácticas o negligencia, es fundamental mantener una cadena de custodia para resguardar cuidadosamente todas las pruebas que ayuden a determinar la causa raíz.
3.Documentar solicitudes y decisiones de presupuesto. La falta de presupuesto para implementar completamente la estrategia de ciberseguridad es común en muchas organizaciones. Es esencial documentar las solicitudes de fondos, su aprobación o rechazo por parte de la alta dirección, y el trabajo realizado con los recursos disponibles. Esto permite al CISO demostrar que se tomaron las acciones adecuadas en respuesta al incidente y clarificar responsabilidades.
4.Comunicación abierta con los líderes de negocio. Establecer un canal de comunicación abierto con los líderes de las áreas de negocio para informarles sobre los riesgos potenciales es crítico. También es fundamental documentar las iniciativas de comunicación realizadas y los pasos tomados para responder al ciberataque. El análisis posterior al incidente es de suma importancia para determinar las causas de la filtración de información, realizar el análisis forense, las actividades de contención, detección y recuperación, y hacer un inventario de las lecciones aprendidas, así como realizar actualizaciones pertinentes a los controles de seguridad.
5.Demostrar el retorno de inversión en ciberseguridad. El CISO debe demostrar el retorno de inversión de una estrategia de ciberseguridad, que no sólo abarca el aspecto tecnológico, sino también la susceptibilidad de la organización a sanciones o multas por la pérdida de información sensible. Es aconsejable implementar un plan de respuesta a incidentes sólido y evaluarlo mediante ejercicios table top en la organización, definiendo roles y responsabilidades antes, durante y después de un incidente para minimizar una posible crisis.
El papel del CISO es crucial en la protección de los activos digitales de una organización y la gestión de los riesgos cibernéticos. Su responsabilidad no sólo radica en implementar medidas de seguridad efectivas, sino también en responder de manera adecuada y transparente ante cualquier violación de datos.
Es vital además que el CISO trabaje en estrecha colaboración con la alta dirección, compartiendo la responsabilidad y asegurándose de que la importancia de la ciberseguridad se comprenda y se apoye en todos los niveles de la organización.
A través de un enfoque proactivo y colaborativo hacia la ciberseguridad, el CISO podrá afrontar los desafíos continuos y proteger su trabajo y reputación ante las posibles responsabilidades legales a las que pudiera enfrentarse.
