Por qué necesitamos una mejor ciberregulación para proteger al Reino Unido de las disrupciones

La resiliencia operativa y la seguridad son ahora tan importantes como la resiliencia financiera

Varias regulaciones se centran en la necesidad de identificar los servicios más importantes que una empresa ofrece a sus clientes y mercados y hacerlos seguros por encima de todo. Los ejemplos incluyen las regulaciones de construcción de resiliencia operativa en el Reino Unido y la Ley de resiliencia operativa digital (DORA) en la UE.

Estas regulaciones surgieron porque existe la creencia de que las empresas a menudo se centran en la resiliencia financiera, pero las interrupciones causadas por la explotación de vulnerabilidades o fallas operativas ocurrían con demasiada regularidad y perturbaban la vida de los clientes. Ha habido muchos ejemplos de interrupciones importantes en los últimos años causadas por problemas cibernéticos, operativos y de la cadena de suministro, incluidos Crowdstrike, WannaCry y múltiples interrupciones que afectan a la industria aérea.

Las empresas necesitan identificar sus servicios más importantes y proteger la infraestructura necesaria para ejecutarlos. Por lo general, esto se logra calculando cuánto daño causaría una interrupción del servicio y luego escalonando los servicios en consecuencia. Los servicios más importantes deberían recibir la mayor inversión y protección.

La transparencia y la presentación oportuna de informes son clave

Cuando las cosas van mal, los reguladores están interesados ​​en comprender los detalles. Varias regulaciones a nivel mundial se centran en la necesidad de informar los problemas de seguridad, cibernéticos y de resiliencia de manera oportuna. Los ejemplos incluyen la Ley de Informes de Incidentes Cibernéticos para Infraestructuras Críticas (CIRCIA) en los EE. UU., los requisitos de informes bajo DORA en la UE y la notificación de violaciones para incidentes relacionados con la privacidad a nivel mundial, como en el caso del RGPD.

Las empresas deben asegurarse de poder informar incidentes cibernéticos y operativos de manera oportuna, incluyendo saber quién redactará y aprobará la notificación y quién se comunicará con cada regulador. Luego, los reguladores deben mantenerse informados a medida que avanza el incidente, incluido lo que la organización está haciendo para resolverlo.

Cada jurisdicción puede tener diferentes plazos para la presentación de informes, por lo que es importante mantener un registro de las regulaciones y requisitos de presentación de informes (actualizado al menos mensualmente). Existen herramientas que pueden automatizar esto, lo que podría reducir el esfuerzo requerido por las grandes organizaciones globales para mantenerse actualizadas con los requisitos reglamentarios de presentación de informes.

Centrarse en los controles cibernéticos fundamentales

Algunas jurisdicciones están respaldando firmemente un enfoque en controles cibernéticos fundamentales. Por ejemplo, en Estados Unidos, cualquier empresa que quiera ofrecer servicios en la nube al gobierno federal debe estar certificada bajo el esquema FedRAMP para garantizar que se implementen controles cibernéticos básicos.

Estándares reconocidos como ISO27001 y NIST CSF se han convertido en un foco de atención para las empresas que quieren demostrar que están mejorando continuamente sus controles cibernéticos. También son útiles para los informes de la junta directiva donde los miembros de la junta necesitan comprender la relativa madurez cibernética de su empresa.

Las empresas deberían revisar la madurez de sus controles cibernéticos al menos una vez al año y comparándolos con un estándar reconocido. Esto es igualmente importante para los controles no técnicos; por ejemplo, asegurarse de que los equipos estén capacitados para detectar ataques de phishing, que haya ejercicios y simulaciones regulares para la respuesta a incidentes y que los comportamientos de liderazgo cibernético y de resiliencia estén completamente alineados con la protección de la empresa y sus clientes.

Haga lo correcto para sus clientes y el resto seguirá

Está implícito en la mayoría de las nuevas regulaciones que centrarse en proteger a los clientes conducirá a mejores resultados de seguridad en general. Algunas jurisdicciones han ido más allá y han publicado regulaciones para proteger estos resultados (como el Consumer Duty en la industria de servicios financieros del Reino Unido).

A menudo, cuando sucede lo peor, la forma en que una empresa ayuda a sus clientes a lidiar con la disrupción es una parte crucial (pero a menudo olvidada) de la respuesta. Las consecuencias de un ciberataque pueden durar meses y años con las investigaciones casi inevitables (algunas impulsadas por requisitos regulatorios) que siguen.

Si bien el viejo dicho “siempre haga operaciones bancarias con un banco que acaba de ser asaltado” puede ser un poco forzado, hay un elemento de “antifrágil” en el hecho de que las operaciones de una empresa ganan fuerza al verse estresadas de vez en cuando. A menudo se juzga a las empresas por la solidez de su respuesta a los clientes y los mercados; aquellos que lo hacen bien a menudo logran emerger más fuertes y resilientes.

Los gobiernos siempre están dispuestos a enfatizar la importancia de reducir las cargas regulatorias y nadie puede argumentar que la regulación no debería frenar la innovación. Sin embargo, existe una percepción general de que el público, los consumidores y los mercados han estado subprotegidos de los impactos cibernéticos y operativos y los reguladores ahora están abordando estas preocupaciones. Esto significa que es poco probable que veamos que en el corto plazo el enfoque se desvíe de la ciberresiliencia operativa y la regulación de la cadena de suministro.

Adam Stringer es jefe de ciberseguridad, privacidad y resiliencia operativa en servicios financieros en PA Consultoría