Creación de una política sólida de gestión de filtraciones de datos

 

Transcripción: 

Robert Bateman:

Hola, bienvenido de nuevo a PrivSec Focus Enterprise Risk. Regresamos antes de lo que sugerí que estaríamos, así que disculpas por la confusión de horarios allí. Muchas gracias a todos por asistir hoy y continúen haciendo preguntas e interactuando con el panel a través del menú de la izquierda. Gracias nuevamente a nuestros patrocinadores, One Trust y ServiceNow. A continuación, se incluye un panel sobre la creación de una política sólida de gestión de filtraciones de datos. Una alineación particularmente impresionante para este panel, el presidente es José Belo, Jefe de Privacidad de Datos en Valuer.ai. José, a ti.

Jose Belo:

Hola Robert. Y, para ser honesto, no fue un error que solo estuviera siguiendo las pautas de GDPR sin demora indebida. Puede significar 30 minutos, puede significar cinco, es simplemente sin la debida demora. Por eso estamos ahora aquí. Estoy muy entusiasmado con este panel, es algo que me interesa mucho, mucho. Es un panel no solo sobre una de las partes más importantes de una empresa, cómo responder a un incidente de seguridad o una violación de datos, personal filtración de datos, sino también los pasos necesarios para que tanto la seguridad y la respuesta como la respuesta a la filtración de datos personales sean lo más efectivas posible. Y conmigo, tengo a Carol Robson.

Caro Robson:

Hola.

Jose Belo:

Hola Caro. ¿Me encantaría que te presentaras si es posible?

Caro Robson:

Hola gracias. Soy Caro Robson, dirijo la práctica digital y de protección de datos para Milieu Consulting aquí en Bruselas, y he trabajado en el campo durante 13 años, incluso como abogada y responsable de cumplimiento para gobiernos y multinacionales. Gracias por invitarme.

Jose Belo:

Gracias, Caro. A continuación tenemos a Sandy Silk. Hola Sandy.

Sandy Silk:

Buenos Dias.

Jose Belo:

¿Cómo estás?

Sandy Silk:

Estoy bien gracias. Hola, soy Sandy Silk, ex directora de consultoría y educación en seguridad de la información de la Universidad de Harvard. Aunque ahora, durante el año pasado, he estado con Info-Tech Research Group, donde dirijo talleres de una semana con miembros sobre varios temas de seguridad, uno de ellos es la gestión de incidentes de seguridad.

Jose Belo:

Gracias y bienvenido al panel. Y por último, pero no menos importante, tenemos a Scott Warren. Hola Scott.

Scott Warren:

Hola, José. Gracias a todos por superar el día, el desafío de las sesiones. He escuchado varios de ellos, han sido geniales. Soy abogado de la firma Squire Patton Boggs. Creo que somos probablemente el secreto mejor guardado en cuanto a privacidad de datos, quizás porque cambiamos nuestro nombre muchas veces. Solíamos ser Squire Sanders, y ahora es Patton Boggs, y la gente no necesariamente sabe el nombre completo. Pero somos uno de los bufetes de abogados más grandes, en términos de ubicaciones en todo el mundo, en el top 10 y eso nos ayuda mucho en el lado de la privacidad de datos. Soy socio en la oficina de Tokio, así como en Shanghái, trabajo en la región APAC y lo uno con mis colegas en los Estados Unidos, en Europa y el resto del mundo, lidiando con la privacidad de datos y los problemas cibernéticos.

Jose Belo:

Muchas gracias Scott. Como todos pueden ver, tenemos un panel impresionante con algunas credenciales y experiencia impresionantes para responder a esta pregunta tan difícil, que es cómo hacer una sólida… Ni siquiera estamos pidiendo hacer una política de respuesta de seguridad, estamos pidiendo para hacer uno robusto. Y para empezar, me gustaría lanzar a quien quiera responder porque es una pregunta general con la que creo que todos tienen experiencia, es sobre la preparación versus la implementación. Una cosa es la preparación, una cosa es la implementación, pero existe esta zona gris donde ambos se fusionan. ¿Cuál crees que sería el más relevante, o son ambos tan relevantes? ¿Deberíamos dedicar más tiempo a uno y al otro, deberíamos prepararnos más? ¿Deberíamos intentar implementar más? ¿Cuáles son tus pensamientos?

Scott Warren:

Bueno, podría comenzar con un concepto del que podría decir que depende, responde el gran abogado. Pero la realidad es que si no te preparas, realmente no hay implementación. A menos que sepa cuáles son sus datos y haya realizado un mapeo de datos, no tiene la capacidad de crear una estructura sobre cómo protegerlos. Estábamos hablando antes en la trastienda sobre los deportes, nunca vas y te enfrentas a alguien en otro equipo sin haber investigado cómo juegan y qué hacen, cuáles son sus movimientos favoritos y cómo vas a defender. ¿eso? Haces un plan, pero primero estudias cómo jugaron otros partidos. Si no comprende dónde están sus datos y dónde están sus fortalezas y qué quiere proteger, entonces no tiene forma de crear un buen plan de respuesta a incidentes que lo ayude a manejar los desafíos. Creo que primero haces eso, luego tienes la oportunidad de hacer una gran implementación.

Jose Belo:

¿Qué crees que significa una gran preparación en lugar de una gran implementación? ¿Cuáles consideraría que serían buenos pasos hacia una muy buena implementación, preparación de un plan y una política CSIRT?

Sandy Silk:

De hecho, voy a saltar con un-

Scott Warren:

Por favor.

Jose Belo:

Oh Dios.

Sandy Silk:

… analogía aquí.

Jose Belo:

Avanzar.

Sandy Silk:

Cualquier otra persona que haya aprendido RCP, no solo dices que alguien llame… Aquí en los Estados Unidos, Ryan, llama al 911. Tienes que señalar a una persona y decir, tú, llama al 911, porque si tienes un montón de gente de pie tratando de hacer algo, eso no es tan efectivo como lo que necesita para tener roles y responsabilidades asignadas. Diría que una de las primeras cosas con la preparación es saber quién hace qué y cuándo, de modo que se asegure de que todo se logre y no tenga personas gastando recursos, tiempo, esfuerzo, duplicando algo y olvidándose de hacer. otra cosa, y que tienes a las personas adecuadas haciendo las cosas correctas.

Scott Warren:

Y Sandy, un vínculo con eso es interesante en Japón, no es el 911, en realidad es el 119 para emergencias en Japón. Si no está pensando en este tema, transculturalmente, cuando tiene datos que pueden provenir de varias ubicaciones, en realidad no está comunicando qué es lo que quiere que se haga. Entonces, un buen plan realmente ha pensado en lo que tengo que estoy tratando de proteger. Y realmente animo eso.

No pensamos en eso solo como información personal, que es lo que generalmente se notifica en la mayoría de los países, y tenemos diferentes reglas para determinar y todo eso. Creo que a menudo le hacemos un flaco favor a este tema al enfocarlo únicamente en la información personal. No digo que eso no sea importante y esencial y cosas a las que debemos prestar atención, pero creo que recibiríamos mucha más atención de los ejecutivos dentro de nuestros clientes o de nuestras corporaciones con las que trabajamos si les hablamos de que yo Creo que el último estudio de IBM Ponemon que vi decía que el 44% de todas las violaciones de datos involucraban información personal. Caramba, eso es 56%, a menos que mis matemáticas sean incorrectas. Estudié derecho, no matemáticas, pero el 56% de ellos no involucran información personal. ¿Qué son? Son amenazas persistentes avanzadas que filtran sus secretos comerciales y todas las cosas que usted valora como su empresa para que probablemente puedan ser entregados a otros países, industrias competidoras que están tratando de ponerse al día, o vendidos por piratas informáticos que quieren esos datos y puede vendérselo a alguien.

Si nos damos cuenta de que eso es una buena parte de lo que se está haciendo, entonces nuestro análisis sobre el mapeo de datos es, bien, ¿dónde tengo información personal, de quién, qué países aplican, qué tengo que hacer en términos de una infracción y creando un gran plan en torno a eso? Pero también pensar, ¿cuáles son las cosas que son realmente importantes para nosotros como empresa, cómo protegemos eso y cómo sabemos si eso ha sido tocado? Y si hacemos esas dos cosas, ese mapeo de datos configura todo lo demás, y el resto de nuestras conversaciones son mucho más fáciles porque en realidad tenemos una plataforma desde la cual comenzar.

Sandy Silk:

Y solo quiero ampliar eso también, ese mismo Ponemon o IBM, ahora Ponemon juntos, dirían, si puede detectar y contener algo dentro de los 100 días, ahorrará un millón de dólares, y esto es dólares estadounidenses a largo plazo. respuesta de la cola, las pérdidas.

Jose Belo:

Interesante.

Sandy Silk:

No recuerdo el porcentaje a primera vista, pero no un alto porcentaje son capaces de detectar y contener dentro de los 100 días.

Scott Warren:

La otra gran parte de ese estudio es que dice que las empresas que tienen, por lo que su promedio de violación de datos a nivel mundial y esto no solo se lleva a los EE. UU., que son 9 millones es generalmente un promedio o algo así, son 4.6 millones a nivel mundial . Y esto incluye empresas de todo APAC y Europa y América del Sur. Si son $4.6 millones como una infracción promedio, si incluye el costo de deshacerse de la infracción, las notificaciones, el daño al representante y ese tipo de cosas.

Pero descubrieron que las empresas que tienen un plan de respuesta a incidentes cibernéticos y lo prueban terminan ahorrando un 50 %. Son 2,3 o 4 millones de dólares que se pueden ahorrar en una infracción promedio si simplemente tiene un buen plan de respuesta a incidentes que sabe, que dice, ¿cómo voy a responder? Y luego pones a las personas en una habitación y las pones a prueba. Bueno, ya no los hacemos en la habitación con COVID, pero prueba si pueden manejar o no, en un conjunto cada vez mayor de situaciones cibernéticas difíciles por las que los guía, si están listos para ello. Y si hace esas cosas, puede ahorrar significativamente en nombre de su empresa.

Jose Belo:

Estoy listo para KPI y métricas en eso. Los números que has arrojado son muy, muy interesantes. Siempre pienso también que es muy valioso sumar los casos de éxito, los incumplimientos que no se dieron, que se previnieron, las seguridades que teníamos arriba. Ya sea capacitando a los empleados para que tomen conciencia, ya sea a través de nuestros controles de terceros que habíamos implementado. Esos son tan valiosos como los números de donde surgieron las fallas de esos controles y de donde provino esa capacitación y concientización.

Lo que me lleva a ti, Caro. ¿Qué cree que es lo más importante, o cree que hay una diferencia entre la autodetección y la detección de terceros? ¿Cree que hay un aspecto importante de la formación y la concienciación de su empleado? ¿Son sus defensas tan sólidas como las de un empleado con un archivo de Excel listo para abrirlo, o los controles establecidos pueden solucionarlo todo?

Caro Robson:

Creo que usted es tan fuerte como la conciencia, la comprensión y las prácticas de su empleado. Está capacitando a los empleados y haciéndolos conscientes de cosas simples, no use BCC, o si usa BCC, tenga mucho cuidado con dónde está enviando la información por correo electrónico. Muchas infracciones ocurren porque las personas simplemente copian a las personas equivocadas en los correos electrónicos. Y además, la detección interna no va a suceder si una gran cantidad de personal no comprende qué es una violación de datos o si algo podría ser un problema y no tiene la confianza para plantearlo. Creo que definitivamente hay un rol en los terceros con la evaluación central de seguridad cibernética de sus redes y las pruebas de penetración para asegurarse de que la red sea sólida. Pero una gran cantidad de infracciones ocurren por error humano, o son detectadas por personas que simplemente notan algo incorrecto o extraño. Y creo que es muy importante que tenga ambos, pero creo que lo más importante es que los empleados comprendan que esto podría ser un problema y lo que tienen que hacer es muy importante.

Jose Belo:

¿Qué harías, y esto es para todo el panel, qué tan importante crees? Porque los empleados generalmente piensan que perdieron su dispositivo, perdieron la computadora. Hay un problema ahí, tienen miedo de que los vayan a despedir o que tengan algunas medidas disciplinarias. ¿Cómo pueden las empresas intentar mejorar? Tenemos la Directiva de Denunciantes, pero eso no tiene nada que ver con esto. ¿Cómo podemos mejorar la autodetección dentro de las empresas? Porque, como todos sabemos, el error humano es probablemente una de las principales causas del fracaso de un plan de respuesta a incidentes de seguridad cibernética sólido, lo más sólido posible.

Sandy Silk:

Lanzaría allí, y he sido líder o supervisé el lanzamiento de muchos planes de concientización sobre seguridad, ya sea en Harvard o en Fidelity Investments antes de eso. Uno de los rasgos de habilidades blandas más importantes que debe tener con su equipo de seguridad son las personas que no juzgan. Todos tenemos días malos. Cualquiera de nosotros puede fallar en una prueba de phishing o en un intento real de phishing, a veces es solo porque estamos apurados. Y simplemente no pensamos, y deseamos que se aplique la regla de los cinco segundos para deshacer. Todos hemos estado allí. Todos tenemos días malos, y creo que solo tienes que ayudar a esa persona que está reportando algo para agradecerle por traerlo a tu atención para que puedas mirar y ver, ¿es algo de qué preocuparse? Y gracias por decírnoslo para que podamos contener esto y minimizar el daño, pero absolutamente solo promover la vigilancia de la comunidad vecinal, algo así como que no vamos a culpar a nadie. Seguridad no va a culpar a nadie. Solo queremos tener el problema bajo control y hacer lo que tenemos que hacer, y simplemente no te preocupes solo.

Scott Warren:

Y creo que, por ese lado, algunas de las empresas que conozco, e incluso sé que dentro de nuestra propia empresa, le enviarán un correo electrónico diseñado para ver si hace clic en él. Y luego, si lo hace, en realidad dirán: “Oye, acabas de recibir spam, y aquí están las cosas que puedes buscar para ayudarte a entender eso”. Y esa es una forma muy efectiva de ayudar a capacitar a las personas sobre qué evitar, brindándoles un lugar fácil para enviar correos electrónicos sospechosos, para que se eliminen antes. Entra, se ve un poco raro, todos sus empleados deben tener la línea de correo electrónico a la que se lo enviarían y la persona a la que se lo preguntarían. Y de esa manera eso ayuda a reducirlo.

Pero en realidad creo que, de alguna manera, como dijo Sandy, todo el mundo tiene un mal día. Si tiene estas tecnologías de automatización de seguridad, estas formas de examinar su sistema que están automatizadas y dicen: “Vaya, alguien acaba de hacer clic en este código ejecutable”. Es fácil en el ataque de ransomware. Bueno, solía ser fácil porque encriptaba todo automáticamente. Ahora están trabajando para obtener un dominio de nivel superior y robar cosas, y luego van a hacer la carga útil del ransomware.

Pero, cuando tiene estas tecnologías que buscan en su sistema situaciones anómalas, cosas que no tienen sentido, entonces se vuelve menos acerca de un empleado que informa, porque puede o no saber lo que sucedió. Y es de esperar que se sientan animados a seguir adelante y decir: “Oye, esto sucedió, quiero ver”. Pero esa tecnología de automatización a menudo puede decir muy rápidamente, esto no es normal, esto no debería estar sucediendo, y descubrirán que los datos se están filtrando a las 3:00 a.m. cuando esta persona no ha iniciado sesión en su computadora y comienzan diciendo, está bien, bueno, está pasando algo extraño. Eso puede convertirse rápidamente en lo que estabas diciendo antes, José, esas historias de éxito que te ayudan a identificar un problema antes de que se convierta en un problema. Es posible que tenga algunos problemas relacionados con él, pero lo ha aplastado por completo en una pequeña caja de la que es mucho más fácil recuperarse.

Jose Belo:

Eso es absolutamente cierto, y muchas gracias por todos los aportes. Voy a mover esto hacia lo que hemos estado hablando, porque una cosa es el incidente de seguridad, otra cosa es la violación de datos personales. Esos dos se entrelazan porque los datos personales son datos y el plan y la política del CSIRT manejan todo tipo de datos. Como dijiste, muy bien, Scott, el mapeo de datos es muy importante en este caso, pero se convierte en una molestia para una empresa, especialmente con el RGPD, averiguar, durante el proceso de un incidente de seguridad, cuándo desencadenar la violación de datos. equipo directivo y cómo ambos pueden combinarse entre sí. Me encantaría escuchar sus experiencias al respecto, porque es una de las cosas que más requiere el RGPD, pero también es bastante difícil de entender, ¿cuándo comienza a trabajar el equipo de DBM? ¿Cuándo comienzan las 72 horas, comienzan cuando se detecta el incidente de seguridad o se detectan los datos personales? ¿Alguien para la pregunta? caro?

Caro Robson:

Bueno, como cuestión de derecho, dependiendo de la jurisdicción en la que se encuentre, lo que va al punto de Scott sobre comprender qué leyes se aplican a sus datos. Por lo general, se aplica cuando la organización es consciente de que los datos personales pueden haber sido comprometidos o accedidos. Es una regla bastante dura, particularmente aquí en Europa. Y es por eso que debe asegurarse de tener, como decía Sandy, equipos trabajando juntos. Y voy a dar un ejemplo de una historia de éxito. No daré ningún ejemplo si he estado involucrado en cosas que han tenido menos éxito.

Pero los mejores tiempos de respuesta y administración en los que he estado involucrado sin duda es donde sus arquitectos empresariales o sus arquitectos de TI, más su equipo de seguridad, más su equipo legal y su equipo de cumplimiento, todos se conocen, trabajan juntos y trabajan de la mano. a diario para poner las cosas en su lugar por diseño para que las cosas, dice Scott, no sucedan en la medida de lo posible, pero también para que entiendan los roles, las responsabilidades, confíen el uno en el otro, puedan compartir información. Ahí es cuando creo que funciona increíblemente bien, cuando tienes esos equipos trabajando de la mano. No hay forma de evitar que los equipos de seguridad tengan que entender los datos personales, y qué son los datos personales, para involucrar a esos equipos. Pero creo que si tienen una relación de trabajo cercana, de modo que cada parte comprenda los problemas y las perspectivas de la otra, creo que eso es definitivamente lo más exitoso que puede ser en la gestión de las filtraciones de datos.

Scott Warren:

Creo que uno de los desafíos, como decías, José, es saber que hay tantas definiciones diferentes de lo que es una violación de datos. Incluso lo que es la información personal o los datos personales, es diferente en tantos países. Y entonces, ¿es una infracción si se adquiere, como en muchos estados de EE. UU. frente al acceso simple? Y luego tienes, son 72 horas en Europa, en Filipinas y ahora Singapur requiere notificación en 72 horas. Son 24 horas en Corea del Sur para la mayoría de los entornos, y la mayoría de las personas no se dan cuenta de que tienen 24 horas allí. Y luego China básicamente dice, no solo si sucede, sino si crees que podría suceder. Podría argumentar que debe notificar al gobierno chino sobre un virus de día cero que acaba de encontrar en su software antes de parchearlo. Lo cual, de nuevo, así es como está escrita la ley.

No sé cuánto tiempo se ha hecho cumplir, o si se ha hecho cumplir, al menos no ha estado bajo mi vigilancia. Pero, aún así, ese es el desafío. Y cuando está creando un buen plan de respuesta a incidentes cibernéticos que sabe dónde están sus datos, puede comenzar a tener apéndices que dicen, esta es la definición de una infracción, un incidente notificable. ¿Y es para la autoridad de privacidad de datos, es para el individuo, es “inmediatamente”, lo que en los EE. UU. significa de 30 a 60 días, o 72 horas específicas según GDPR? ¿Cómo empezamos a pensar incluso en las cartas de notificación que se pueden poner? Ese es un plan sólido de respuesta a incidentes que en realidad puede ser bastante procesable, ese equipo se reúne y tienen que determinar muy rápidamente, está bien, francamente, todos hemos estado en la sala de violación de datos sabe que en 72 horas después de la violación sabes un mucho menos de lo que empezaste, porque están pasando tantas cosas.

Y pues sí, exactamente. ¿Cómo saber cuándo se notifica? En Japón, en realidad tienen estos dos niveles. Uno de ellos es, debe notificar de inmediato, pero es un aviso muy escaso y puede ser pequeño, pero dentro de los 30 días quieren un realmente sólido, esto es lo que sucedió. Así que hay tantas maneras diferentes de verlo, pero necesitas entender ese matiz. No es solo un problema de GDPR y no podemos simplemente usar las reglas de GDPR para definir cómo proceder porque muchos países ahora están aprobando algo similar a GDPR, pero diferente, y necesitamos saber cuáles son esas diferencias.

Sandy Silk:

Y quiero plantear una inquietud que tengo, esto es personal, no representa a las empresas para las que trabajo actualmente o he tenido en el pasado, pero he visto una tendencia a hacer que el CISO, el Director de Seguridad de la Información, ahora se convierta en el Director Oficial de Seguridad y Privacidad de la Información, por lo que el CISPO. Y cuando te involucras en una respuesta a un incidente que puede tener una violación de datos, ahora tienes una persona que es responsable de dos cosas diferentes que a veces pueden entrar en conflicto. Y es simplemente una situación poco tenue para poner a alguien. Creo que es justo decir, está bien, pueden ayudar a diseñar estrategias y ayudar a diseñar y supervisar cómo se implementará la arquitectura con ambas cosas en mente, pero cuando estás en una respuesta, no puedes poner ambos sombreros en la cabeza de una persona.

Caro Robson:

Creo que solo para continuar con eso, creo que es un muy buen punto en general, en realidad. Volviendo a lo que estabas diciendo sobre asegurarte de que una persona llame a una ambulancia en caso de emergencia, asegurarte de que hayas entendido, y que todos entiendan, quiénes son los que toman las decisiones, pero también que esos tomadores de decisiones, como dijiste, no tener un conflicto. He visto ejemplos en los que se ha pedido a los abogados que tomen las decisiones sobre si se realizan notificaciones de incumplimiento y cuándo y cómo. Y se vuelve muy complicado muy rápidamente porque las personas que tienen funciones de asesoramiento, al menos en mi opinión, en mi opinión personal, en realidad no deberían tomar esas decisiones para la gestión general real de la brecha. Creo que eso se vuelve realmente importante. Y simpatizo mucho, para que lo sepas, con cualquier CISO al que también se le pida que se ocupe de la protección de datos, porque eso es mucho. Eso es mucho para una persona.

Sandy Silk:

Y Caro, que dices eso, porque creo que alguien en seguridad estaría buscando legal para tomar esas decisiones, y estás diciendo, no, legal no es [inaudible 00:25:51] si no se les dijo antes de tiempo. Parece ser la patata caliente que todo el mundo gira a la izquierda y dice: “Bueno, hazlo tú”. Y luego, quien esté al final de la línea puede hacerlo, a menos que haya pensado en esto de manera proactiva y realmente haya designado a alguien que sea responsable de ello y tenga toda la información que necesita para tomar una buena decisión. De lo contrario, tendemos a ser como pajitas, ¿quién tiene que hacer esto?

Jose Belo:

Bueno, eso me lleva a la siguiente pregunta [inaudible 00:26:23].

Scott Warren:

En realidad, José, justo antes de dejar eso, porque tu pregunta original, creo que no respondimos. Es, cuando ocurre una brecha, ¿cómo averiguamos qué hacer? Y creo que los buenos planes de respuesta a incidentes que he visto crean un triaje o un análisis de cuatro niveles. Y una de ellas es si intentaron ingresar a nuestro sistema y no lo lograron, o fue solo un intento de penetración del firewall, pero realmente no sucedió nada que TI pudiera solucionar. Tal vez mantengan un registro de ello o hagan algo así.

Y luego tienes el siguiente nivel donde pudieron ingresar y obtener información, pero no parece que fuera importante. Eso se escala a un grupo un poco más amplio que puede entender, está bien, ¿hubo implicaciones legales o hubo otras cosas?

Luego está eso, está bien, ahora ha ido mucho más allá de eso, hay información realmente importante y eso va a ser mucho más amplio, y podría ser global.

Y luego el final es el nivel de oh carajo, lo llamo, cuando la prensa comienza a llamar a la puerta y dice: “Nos enteramos de una brecha”, sus empleados están todos en armas. Probablemente haya personas que amenacen con los derivados de accionistas”, y tal vez mucho antes de eso haya involucrado a la infraestructura del CEO, pero esos son los que quiere asegurarse de que estén todos manos a la obra, o si ve que va hacia eso .

Y si al menos puedes separarlo de esa manera, creo que tienes una forma razonable de abordarlo. No todo va a reunir a su equipo central para decidir qué hacer.

Jose Belo:

Mira, lo que acabas de decir, Scott, es exactamente la forma en que creo que es una de las formas más efectivas de prepararse para una violación de datos. Por ejemplo, no puede esperar, imaginar una violación de datos, escuchar el incidente o como quiera llamarlo, sucede a las 3:00 AM de la mañana y se llama al CEO. No está totalmente informado de lo que está sucediendo. Recibe una llamada de un reportero, “Eres una empresa Fortune 500, estás en Euronext”, ¿cómo respondes? Probablemente deberías tener esa respuesta lista de antemano. Probablemente debería tener una agencia de relaciones públicas lista para responder a eso. Probablemente ya debería tener un contrato con una empresa de pruebas forenses para entrar de inmediato en su negocio e intentar, de la forma más independiente posible, mostrar buena fe hacia los reguladores para poder recopilar todas las pruebas.

Esta fase de preparación, y también un abogado externo, un abogado que puede venir y ayudarnos con todas las cosas. Porque nunca veo un equipo [inaudible 00:29:06] o un equipo CSIRT como ese pequeño número de personas que tienen reglas y responsabilidades dentro de la empresa que responden dentro de una sala de guerra y luego responden eso. Veo esto como un enfoque multifacético, donde los accionistas, como mencionaste, entran por la puerta de inmediato. Sé de empresas que cuando se alcanzan los datos, entran 100 personas como DPO.

Scott Warren:

Derecha.

Jose Belo:

Y todos conocemos esas historias de terror.

Scott Warren:

Creo que la parte importante de ese plan es, lo que acabas de decir exactamente, es pensar en la parte de las comunicaciones. Y esta es un área de capacitación en la que realmente puede ayudar a los empleados, porque a menudo alguien escuchará algo y comenzará a escribir un correo electrónico y anunciará que ha habido una violación de datos. Dios no lo quiera, no quiera usar esas palabras con franqueza, especialmente desde un contexto estadounidense. Incidente de seguridad, hasta que sepa exactamente lo que sucedió, es un término mucho más seguro.

Jose Belo:

[inaudible 00:30:09].

Scott Warren:

Y si tiene alguna indicación de que esto podría involucrar datos de EE. UU., entonces debe pensar realmente en cómo se comunicará sobre esto para tratar de proteger el privilegio abogado-cliente.

Jose Belo:

Exactamente.

Scott Warren:

Y eso significa tener un abogado, generalmente, generalmente un fiscal de los EE. UU. que pueda reclamar ese privilegio, pero usando los términos correctos en sus líneas de asunto, y tenerlos involucrados para encargarse de su gente de tecnología y de comunicaciones para que al menos pueda discutir. este. Y parece ridículo, y tengo que disculparme como abogado estadounidense del sistema de litigios de los Estados Unidos, porque se convierte en una carga enorme para hacer esta comunicación. Pero si no lo hace, ese correo electrónico que el empleado de X, Y, Z envía a alguien para hablar sobre este incidente y decir: “Aquí están las 15 cosas que salieron mal y nos informaron sobre esto antes”, eso es detectable.

Y está surgiendo en el contexto de muchas demandas colectivas diferentes o derivadas de accionistas, u otros litigios que no necesariamente tienen que ocurrir si hacemos una buena capacitación. Deberíamos poder averiguar qué sucedió, deberíamos poder ayudar al cliente a tener una buena comunicación con todos los proveedores y no ser una carga para eso. Pero debe pensar en eso con mucha seriedad, porque es simplemente un gran… En los EE. UU., estamos realizando notificaciones de datos en varios casos, y al día siguiente tenemos dos o tres demandas colectivas presentadas. Es así en los EE. UU., por lo que debe planificarlo porque es la realidad.

Sandy Silk:

Y me basaré en eso, Scott, en una serie de planes de respuesta a incidentes que estoy ayudando a los miembros a desarrollar ahora. Uno de los elementos que incorporamos es si necesita notificar a sus propios empleados internos que algo está pasando, ¿quién lo está haciendo y cómo lo está haciendo? Y, afortunadamente, ahora que las videoconferencias son tan frecuentes, puede tener una reunión general o de ayuntamiento, como quiera que la llame, para que no pase por correo electrónico y sea visible después. Porque cualquier cosa que envíe a todos los empleados, puede esperar que salga de alguna manera bastante inmediatamente, incluso por error humano. Y está eso de poder hablar sobre eso, tener a alguien desde arriba diciendo: “Esto está pasando, esto es importante para nosotros, estamos investigando esto, lo estamos conteniendo, pero no puedes decir nada, solo dirigir todo a las comunicaciones corporativas”, se llame como se llame el equipo. Pero asegurándose de tratarlo como una comunidad, que todos sean parte de ella.

Jose Belo:

Y creo, no sé si Caro quiere agregar algo, pero solo quería agregar que aún consideraría esto como una fase de preparación, aunque parece la fase de implementación, pero creo que todo esta preparación también ayuda a que la prima de seguridad cibernética baje porque realmente te estás preparando y le estás diciendo a la compañía de seguros, mira, nos estamos preparando para los peores escenarios. Y hablaremos de escenarios en unos minutos, pero Caro, ¿tienes algo que agregar a esto?

Caro Robson:

No, creo que eso es correcto en realidad. Y cada vez más, los seguros cibernéticos solicitan mucha documentación para las pólizas para demostrar que tiene todos estos procedimientos implementados. Y, por supuesto, todas sus políticas entonces, como usted dice, se vuelven reconocibles. Y ciertamente los reguladores aquí en Europa y en todo el mundo querrán mirarlos cuando examinen la infracción. También revisarán las comunicaciones internas para tratar de resolver, ¿notificó a tiempo? ¿Cuándo te diste cuenta? ¿Qué supiste, cómo lo supiste? Ese tipo de cosas, he visto muchos casos en los que ha pasado por un detalle exacto con carpetas y carpetas y carpetas de divulgación sobre el procedimiento interno cuando ocurrió una infracción. Creo que es un riesgo realmente grande.

Y solo agregaría que también es muy importante cuando tienes socios u otras organizaciones, particularmente si procesas datos en su nombre, lo que aquí en Europa y en muchos países te convierte en su procesador. Y eso puede ser bastante complicado porque las organizaciones pueden ser un controlador para algunas cosas y un procesador para otras. Y la razón por la que es importante es que, en primer lugar, las obligaciones en torno a una violación de datos en términos de notificación están en el controlador. Pero también, si usted es solo un procesador, su contrato con la empresa para la que está procesando datos casi seguramente incluye el requisito de notificarles y no hacer nada sin consultarles. Pero también, la ley de protección de datos en muchos lugares, ciertamente aquí en Europa, requiere que notifique al controlador, pero luego lo ayude a manejarlo. Y los socios no estarán contentos si comienzan a recibir gotas y gotas de información que no es particularmente útil para ellos. O si comienza a acercarse a los medios de comunicación o, Dios no lo quiera, a un regulador en circunstancias en las que no lo harían sin consultarlos. La pieza de comunicaciones es muy, muy, muy importante, creo. Muy importante.

Jose Belo:

Creo que todos estamos de acuerdo en que la fase de preparación es la fase en la que nos preparamos para los peores escenarios. La cuestión entonces será, ¿podemos prepararnos para todo? Es casi imposible para nosotros prepararnos para todo. Podemos ejecutar 10, 20, 30 escenarios, y a alguien se le ocurrirá algo en lo que ni siquiera pensamos. ¿Cómo manejaría estos casos? ¿Cómo prepararse para lo que no se puede preparar?

Scott Warren:

Desde mi perspectiva, no es realmente importante que te prepares para todo. La realidad es, y creo que he estado trabajando en incidentes de brechas cibernéticas desde principios de dos mil y el virus Slammer y cosas por el estilo. Y muchas de las cosas son cíclicas y funcionan en torno a diferentes ataques que vuelven a aparecer, pero lo hacen de forma ligeramente diferente. Y luego hay ataques totalmente nuevos y diferentes. La realidad es que no podemos deshacernos del crimen, siempre vamos a tener a alguien tratando de entrar a tu casa. Podríamos ser más sofisticados acerca de cómo hacen eso, y podemos poner barras aquí, podrían conseguir una escalera. Pero la conclusión es que, descubrí, y creo que el estudio de IBM Ponemon sugiere lo mismo, si simplemente tiene el plan y reúne a este grupo de personas para trabajar en un cada vez más difícil, digamos, tres escenarios en un Viernes por la tarde que es cuando estos suelen golpear.

Y, nuevamente, sentarse en la habitación es genial porque esa es la verdadera olla a presión, pero no podemos hacer eso tanto. Bueno, tal vez podamos más ahora. Esperemos. En ciertos lugares no podemos. Pero al pasar por eso, a menudo no tienes este equipo disperso, no desesperado, sino un equipo dispar sentado en una habitación. Tiene TI y recursos humanos, tiene patrocinio ejecutivo, tiene legal, hay un CISO, tiene cumplimiento. Estas personas no se sientan a almorzar juntas con tanta frecuencia. Y simplemente entrenarlos sobre cómo resolver un problema y luego darse cuenta de dónde están estas brechas que nunca esperabas es realmente el truco.

Y si te sientas a hacer eso una o dos veces, bueno, si algo sucede, eso es totalmente diferente, aún eres ágil y capaz de manejar y responder más rápidamente a los problemas. Y si nada más, podrías demostrar que realmente estabas sorprendido, esto estaba completamente fuera de lugar. Ya has hecho el entrenamiento. Creo que la mayoría de los reguladores están contentos si tienes un buen plan, has realizado la capacitación. Te darán mucha libertad sabiendo que los hackers probablemente encontrarán una forma de entrar, especialmente dependiendo de la sofisticación de los hackers. Pero si ha hecho eso, eso realmente ayuda y creo que realmente puede reducirlo.

Sandy Silk:

Y creo que siempre tener la lista de verificación de cuáles son sus opciones, porque puede alcanzar umbrales en los que tiene que decir, en este punto, solo estamos desconectando este sistema de la conectividad de salida. No sé cómo están aquí. No sé cómo están haciendo esto. No podemos arriesgarnos a perdernos más, así que en este punto, debido a que no conocemos los controles de compensación para implementar más allá de desconectarlo, entonces debe tener esos…

Jose Belo:

[inaudible 00:38:52].

Sandy Silk:

Tienes que ser capaz de ir a las personas adecuadas rápidamente y decir, existe el riesgo de no desconectarlo, existe el riesgo de que lo desconectemos, ¿cuál preferirías? Esta es una decisión comercial.

Scott Warren:

Eso sucedió recientemente en el último mes con Toyota, donde tuvieron que cerrar sus 14 plantas de fabricación en Japón por un día debido a una amenaza de un tercero de uno de sus proveedores que era un ataque relacionado con ransomware, pero simplemente no estaban. No estoy seguro de qué tan lejos. Eso fue algo así como 13,000 vehículos que no pudieron hacer ese día, más todos los salarios y todo lo demás, pero ese es el precio que estaban dispuestos a pagar. Teníamos Colonial Pipeline en los EE. UU., donde en algún momento tienes que tomar esa decisión, como dice Sandy, ¿necesito cerrar esto ahora para asegurarme de tener el control de todo?

Jose Belo:

Leí el artículo sobre el hacker de RSA, hace 10 años, que era simplemente… Y recuerdo que estaban en la sala de guerra viendo lo que estaba pasando, dijeron: “Entraron”. Y sabe que no importa cuán sólida sea su política de violación de datos, cuando ve que su CISO comienza a desconectar los cables de Internet, sabe que el plan está fuera. Pero eso es el peor de los casos. Los escenarios que todos vivimos y todos conocemos son escenarios que son lo máximo que podemos… Es imposible que una empresa se proteja al máximo. Y también nos es imposible entender todo el escenario que nos rodea. Solo somos humanos, y solo podemos predecir lo que sabemos. Las lecciones aprendidas durante la autopsia, cuando lo vemos de esa manera, ¿qué tan importantes son para construir una política más sólida que la que teníamos al principio?

Caro Robson:

Bueno, creo que es extremadamente importante. Obviamente, si está lidiando con muchos incidentes menores, lo que probablemente sea una señal de que su sistema funciona extremadamente bien, en lugar de lo contrario, porque si está detectando estas cosas, significa que está funcionando. Pero creo que para incidentes ciertamente más grandes, dependiendo de cómo lo defina una organización, creo que es muy, muy importante porque a menudo hay problemas con el proceso o cosas que podrían haberse hecho mejor o podrían haberse mejorado o aprendizajes de decisiones tomadas o umbrales y cual fue el resultado. Creo que es muy, muy importante que, en los incidentes más grandes, se siente y luego discuta, tome lecciones de ello y modifique las políticas si es necesario. Obviamente, no querrás hacer eso con demasiada frecuencia porque entonces se convierte en una carga. Pero creo que donde se pueden hacer mejoras, creo que siempre vale la pena hacerlo.

Sandy Silk:

Y…

Scott Warren:

Puedo dar un ejemplo… Adelante, Sandy.

Sandy Silk:

Diría que de las lecciones aprendidas en las que he estado involucrado, y que están después de eventos significativos, por lo general, la mayoría de los elementos que surgen no van a ser técnicos, va a ser el proceso y en gran medida La comunicación. ¿Tuvimos suficiente comunicado con suficiente antelación, y mantuvimos esa comunicación abierta y tomamos decisiones de manera oportuna? Y es difícil tomar una decisión cuando quieres más información y simplemente no está ahí.

Scott Warren:

Creo que mucho de la autopsia sugiere qué hacer. Y puedo dar un ejemplo, cuando estaba trabajando en Microsoft, hubo un hack de MSN de un país asiático donde realmente no era ninguna debilidad en el código del sitio web en sí, era que alquilamos espacios publicitarios y cajas publicitarias. y las personas que crearon ese mensaje publicitario fueron objeto de ataques. Alguien arrastró el cursor sobre él, fueron redirigidos y esto estaba afectando a 50,000 sitios web diferentes en este país. Y teníamos un plan realmente sólido. Esto es principios de dos mil. Teníamos un muy buen programa de privacidad de datos. Reunimos un equipo en unas cuatro horas para hablar sobre lo que estaba pasando, no sobre la privacidad de los datos, sino sobre la seguridad cibernética en este caso.

Y yo dirigía los puntos de discusión. Y primero TI habló y dijo: “Oye, es genial, estamos funcionando de nuevo. Nos tomó alrededor de tres horas y media, pero todo está funcionando”. Le dije: “Genial, por favor dame el servidor para que podamos analizar lo que pasó”. Dijeron: “Oh, bueno, simplemente limpiamos los servidores y los recargamos”, lo cual fue una gran respuesta de los muchachos de TI, porque eso hizo que todo funcionara muy rápido, pero fue una respuesta horrible desde el punto de vista probatorio. Y no lo sabes hasta que haces esto. Hasta que pases por eso, o ese es el propósito de hacer los ejercicios de simulación o los simulacros de preparación cibernética, es que tienes la oportunidad de tener esos momentos en los que pensé que ibas a hacer eso. Y puede sacar eso del camino en el frente para que no tenga que haber perdido todo eso. Y para eso creo que la autopsia es genial.

Jose Belo:

Carolina, ¿algo que agregar? Porque, para ser honesto, la autopsia y las lecciones aprendidas, para mí, son lo que realmente hace que un plan sólido sea aún más sólido, porque esos son casos y escenarios reales. Podemos imaginar todos los casos, todos los escenarios que queramos, los que realmente pasan y hacer que el equipo funcione y que el equipo no solo investigue, contenga, recupere, vea qué salió mal, dónde estaban los puntos de entrada, el vectores, etcétera. Y ahí es donde nos enteramos de las vulnerabilidades de las empresas que no conocíamos. Y ahí es donde podemos regresar y hacer casi una verificación de PDCA, si quieres, y decir, mira, esto salió mal aquí. O incluso en el plan, hay cosas en el plan que se pueden hacer mejor.

Lo que me lleva a la última pregunta para todos ustedes. Hemos estado hablando de planes de respuesta a violaciones de datos y hablaremos de solidez. ¿Qué consideraría que sería lo más importante, si desea dejar una conclusión clave para nuestros oyentes? ¿Cuál sería la conclusión clave para desarrollar un plan sólido que responda a los ataques cibernéticos y todos estos problemas que enfrentamos a diario?

Sandy Silk:

Yo diría, asegúrese de mantenerlo. No puede ser uno y hecho publicado, ahí está hecho, estamos todos bien. Creo que tienes que actualizarlo constantemente con cosas nuevas que descubres, nuevas áreas en las que operas. Diré que encontré algunos recientemente publicados en línea, son públicos, tienen fecha de 2017. No hay forma de que esa sea la política que estás siguiendo en este momento. Eso fue incluso antes de COVID, mucho ha cambiado con la movilidad desde entonces. Y es vergonzoso ver estas cosas tan antiguas, así que diría que solo se aseguren de que sea un documento vivo que sigan actualizándolo y realicen un seguimiento de cuándo lo están actualizando.

Caro Robson:

Y creo que agregaría a eso, asegurarme de que la gente sepa que existe, porque he lidiado con algunos incidentes en el pasado en los que luego todos dicen: “Oh, ¿quisiste decir esto, mientras lidiabas con eso?” Y está cubierto de polvo y ha estado en un estante y la gente realmente necesita entender dónde está, que se aplica a ellos, cómo se aplica a ellos, y también que hay un equipo, hay personas en el lugar, que hay un procedimiento en estas circunstancias. Creo que eso ayuda a calmar a la gente en estos escenarios cuando todo está explotando, la gente sabe que esto se ha pensado. Pero también, francamente, ¿cómo vas a aplicarlo si la gente no sabe que existe y que está ahí? Definitivamente diría que se asegure de que esté actualizado, pero también que la gente sepa dónde está y que se aplica.

Scott Warren:

Y luego, por mi parte, creo que solo asegúrese de que sea global si tiene datos globales. Y si no, y tiene más datos regionales, asegúrese de que sea realmente regional y cubra todos los diferentes tipos de datos que tiene y con los que puede tratar porque es incorrecto suponer que un elemento va a funcionar o una regla va a funcionar. en todas las diferentes jurisdicciones. Creo que la otra observación de la que no creo que hayamos hablado, pero creo que es realmente importante, y veo que este error ocurre a veces con empresas más pequeñas o empresas más pequeñas y medianas, es que son atacadas por ataques de ransomware, fueron contactados por la gente del ransomware, pagaron algo o, en la mayoría de los casos, pagaron y les dijeron: “Oh, estás bien”, pero no continúan haciendo un análisis realmente detallado sobre lo que sucedió.

En el estilo antiguo de los ataques de ransomware, era simplemente un código ejecutable que encriptaba todos los datos, y luego, si pagaba el ransomware, presionaría un botón y descifraría todo. Pero en realidad, los ataques ahora a menudo obtienen acceso de dominio de nivel superior a su sistema, construyen puertas traseras y filtran datos. Y no sabes dónde está tu exposición, ni puedes saber correctamente que los sacaste de tu sistema si no das el paso de conseguir a alguien realmente bueno en el aspecto técnico para averiguar dónde estaban, lo que sucedió, y luego puede tener algo de consuelo de que están fuera de su sistema.

Jose Belo:

Este es por mi cuenta. De hecho, estaba buscando las preguntas de la audiencia en el chat privado y simplemente no respondieron. no sé por qué Voy a elegir muy rápidamente dos preguntas, si pueden responderlas muy rápidamente, porque sé que tenemos muy poco tiempo. ¿Alguna idea con respecto al impulso para incorporar DevSecOps como un componente de TI más colaborativo en las organizaciones? 30 segundos.

Sandy Silk:

Sí. Hazlo. ¿Usar las herramientas nativas del proveedor de seguridad en la nube para ayudar a monitorear las configuraciones?

Scott Warren:

Eso fue 23 segundos, camino por recorrer Sandy.

Jose Belo:

¿Animaría a las organizaciones a realizar simulacros periódicamente para probar los planes de respuesta a las filtraciones de datos? Has hablado de ello. Sí.

Caro Robson:

Sí. Definitivamente.

Jose Belo:

Y la última pregunta con respecto a la gobernanza de datos y el grado de alfabetización de datos en toda la empresa, ¿podría proporcionar información sobre el impacto en la política de gestión de violaciones de datos? Y este es el último.

Caro Robson:

Sí. Es enorme y es muy, muy importante. La gente necesita saber qué datos tienes, necesitas mapearlos. Las personas deben saber qué son los datos personales y deben saber qué hacer si se pierden o se accede a ellos.

Sandy Silk:

Asegúrese de que los usuarios sepan dónde colocarlo, cuál es el lugar correcto para almacenarlo y cuáles son los lugares en los que no está permitido almacenarlo.

Jose Belo:

Y mis disculpas por la pregunta, porque el chat se movió hacia arriba y no los vi. Pero están ahí, las preguntas fueron contestadas. Creo que mirando las preguntas cubrimos muchas de ellas. Quiero agradecerles a todos por estar en el panel. Fue un panel muy instructivo para mí, y estoy bastante seguro que para la audiencia. Y espero verlos a todos nuevamente en otro panel en BritSec y, con suerte, en el sitio en su lugar…