¿Las pequeñas empresas cederán a los nuevos requisitos de la SEC?

¿Las pequeñas empresas cederán a los nuevos requisitos de la SEC?

COMENTARIO

La Comisión de Bolsa y Valores (SEC) nuevos requisitos de notificación de incidentes han planteado muchas preguntas y preocupaciones entre los profesionales de la seguridad y las agencias gubernamentales.

Un argumento es que los requisitos duplican los Ley de notificación de incidentes cibernéticos para infraestructuras críticas de 2022 (CIRCIE) y creará más trabajo para los equipos de ciberseguridad que ya tienen recursos limitados.

Otro argumento es que una ventana de divulgación de cuatro días no sólo es demasiado pronto para determinar el impacto, sino que revelar públicamente información confidencial sobre una infracción inmediatamente después de esta podría incentivar a los malos actores a explotar la vulnerabilidad antes hasta que se corrija.

Dejando a un lado las opiniones y especulaciones, los desafíos son reales:

  • Hoy en día, los datos fluyen entre muchas empresas, sistemas y filiales, lo que dificulta enormemente la tarea de distinguir a las víctimas de los perpetradores.

  • Determinar qué “puede ser importante para los inversores” no siempre es obvio y requerirá trabajo administrativo para entenderlo.

  • Establecer comunicación con los líderes de la empresa y la junta directiva será más crucial y requerirá capacitación y educación adicionales.

Esta es una tarea hercúlea para una gran empresa con un Director de Seguridad de la Información (CISO) y un equipo completo del Centro de Operaciones de Seguridad (SOC); Ahora imagine cómo será esto para las empresas más pequeñas con menos recursos.

A partir del 15 de junio, las pequeñas empresas deberán seguir las mismas reglas que las grandes. Estos requisitos podrían paralizar inadvertidamente a las empresas al imponer sanciones, inhibir la innovación y obstaculizar el crecimiento.

¿Las startups cederán ante la presión? Eso aún está por verse. Pero las empresas más pequeñas también se verán afectadas.

A continuación se detallan los pasos que las pequeñas organizaciones pueden tomar para mitigar el impacto.

Paso 1: familiarícese con los marcos de seguridad clave

En primer lugar, es necesario familiarizarse con los principales marcos regulatorios. Afortunadamente, existen recursos que pueden ayudar a una organización a prepararse.

  • Directiva europea de seguridad de la información y las redes v2 (NIS2): Directiva destinada a alcanzar un alto nivel común de ciberseguridad en toda la Unión Europea. Actualiza la directiva NIS original para abordar las amenazas en evolución y mejorar la seguridad de las redes y los sistemas de información. NIS2 proporciona directrices para garantizar la seguridad y la resiliencia de la infraestructura crítica, que es esencial para las organizaciones que operan en la Unión Europea (UE).

  • Marco de ciberseguridad del NIST (CSF): Un conjunto de directrices y mejores prácticas para ayudar a las organizaciones a gestionar y reducir los riesgos de ciberseguridad. Ampliamente utilizado en Estados Unidos e internacionalmente, ayuda a las organizaciones a alinear y priorizar las actividades de ciberseguridad en función de las necesidades comerciales y proporciona un lenguaje común para la gestión de riesgos.

  • Marco de gestión de riesgos del NIST (SP 800-53): Este marco proporciona a las organizaciones un proceso para gestionar los riesgos de seguridad y privacidad, proporcionando un catálogo de controles de seguridad y privacidad para organizaciones y sistemas de información federales. Ayuda a las organizaciones a implementar un enfoque de seguridad basado en riesgos, garantizando que los controles se adapten a necesidades específicas.

  • ISO/CEI 27000: ISO/CEI 27000: Una familia de estándares para sistemas de gestión de seguridad de la información (ISMS), incluida ISO/IEC 27001, que especifica los requisitos para el establecimiento, implementación, mantenimiento y mejora continua de un SMSI. Proporciona un marco integral para gestionar los riesgos de seguridad de la información, garantizando así la seguridad de los activos de información.

  • Controles de seguridad críticos (CSC) del Centro de seguridad de Internet (CIS): El CIS CSC es un conjunto de mejores prácticas para proteger los datos y los sistemas de TI, que comprende un conjunto de acciones prioritarias para proteger las organizaciones y los datos contra vectores de ciberataques conocidos. Ayuda a las organizaciones a priorizar sus esfuerzos de seguridad centrándose en áreas de alto impacto, mejorando así su postura general de seguridad.

También existen marcos regulatorios globales para la privacidad de datos, como el Reglamento General de Protección de Datos (GDPR), la Ley de Privacidad del Consumidor de California (CCPA), la Ley Canadiense de Protección de Información Personal y Documentos Electrónicos (PIPEDA), la Ley Federal Alemana de Protección de Datos ( BDSG) y la Ley de Protección de Información Personal de Sudáfrica (POPI). Estos marcos están diseñados para proteger los datos personales mediante la gestión de cómo se obtiene, procesa y almacena la información de identificación personal (PII).

Paso 2: crear un equipo de seguridad

Crear un programa de seguridad sólido desde cero puede ser una tarea desalentadora, especialmente para las pequeñas empresas. Pero con una planificación estratégica, es posible establecer una base de seguridad sólida con recursos mínimos. A continuación se detallan algunos pasos para implementar un programa de seguridad:

  • Construya un pequeño equipo SOC. Contrate a un gerente de seguridad senior, un ingeniero de seguridad de infraestructura, un ingeniero de seguridad de aplicaciones y un profesional de cumplimiento. Estos puestos requieren profesionales experimentados que puedan crear una hoja de ruta de seguridad, priorizar tareas en función del riesgo e implementar procesos escalables. Estos miembros del equipo deben tener la capacidad de ejecutar ellos mismos elementos cruciales de la hoja de ruta de seguridad.

  • Acércate a la ingeniería. Si aún no está trabajando estrechamente con su equipo de desarrollo, comience ahora. Los ingenieros que conocen el producto pueden identificar vulnerabilidades de seguridad y oportunidades de mejora. Esto es esencial para incorporar prácticas seguras a lo largo del ciclo de vida del desarrollo de software, procesar los resultados de las pruebas de penetración y agregar funciones de seguridad orientadas al cliente. Aunque las limitaciones de recursos en las nuevas empresas dificultan esto, mostrar cómo las intervenciones tempranas de seguridad ahorran tiempo puede ayudar a lograr el compromiso necesario.

  • Automatizar, automatizar, automatizar. Busque formas sencillas en que la automatización pueda optimizar los procesos de seguridad, desde el monitoreo de la infraestructura y la corrección automática hasta el análisis de código y la gestión de vulnerabilidades. Al automatizar, las nuevas empresas pueden integrar perfectamente la seguridad en cada proceso, lo que no sólo mejora la seguridad sino que también ahorra tiempo de ingeniería.

  • Pruebe el código abierto. Si bien las herramientas de seguridad de código abierto eliminan los costos de licencia, su implementación y configuración requieren tiempo. Para las empresas emergentes con equipos pequeños, puede ser más beneficioso elegir herramientas que los proveedores puedan implementar y administrar, para garantizar que las mejoras de seguridad sean prácticas y rentables.

  • Cubrir los conceptos básicos de la gestión de riesgos y vulnerabilidades.La mayoría de las infracciones están vinculadas a vulnerabilidades conocidas y errores humanos. Por lo tanto, es extremadamente importante garantizar una buena visibilidad de la superficie de ataque, escanear todos los activos y mantener acuerdos de nivel de servicio (SLA) razonables para detectar vulnerabilidades de seguridad críticas. Estos pasos proporcionan un punto de partida para las pequeñas empresas que buscan adaptarse a las nuevas reglas de notificación de incidentes. Aunque estos requisitos crean presión, ayudan a establecer una base de seguridad sólida.

Si bien no existe una solución mágica, estas reglas brindan un punto de partida para que las pequeñas empresas naveguen por las nuevas reglas de notificación de incidentes. Aunque los nuevos requisitos crean presión, sirven como fuerza para lo inevitable: construir una base sólida de seguridad.