Breve breve:
- Casi la mitad (48%) de los líderes de ciberseguridad no informó un incidente de ciberseguridad «material» a su liderazgo ejecutivo o en la Junta Directiva en el último año, según los resultados de una encuesta realizada por la firma de ciberseguridad VikingCloud.
- Las principales razones citadas fueron preocupaciones por las respuestas punitivas en lugar de constructivas del liderazgo y la junta (40%), y el miedo al daño financiero o de reputación si el incidente se hizo público o dio como resultado consecuencias regulatorias (44%), dijo VikingCloud en un informe reciente sobre los hallazgos.
- «Si está en una posición de liderazgo, debe averiguar si esto está sucediendo en su empresa», dijo Jon Marler, «Evangelista de seguridad cibernética» en VikingCloud, en una entrevista. «No digo: 'Ve en una caza de brujas'. Míralo desde la perspectiva de fomentar una cultura de responsabilidad y crear una forma para que las personas revelen cosas que no les hace temer perder su trabajo, especialmente en este momento con lo difícil que es encontrar un nuevo trabajo en TI y tecnología «.
Dive Insight:
No estaba claro en qué medida, si alguna, las empresas encuestadas habían violado las leyes de ciberseguridad al no informar las violaciones.
El creciente mosaico de los requisitos de notificación de incumplimiento de ciberseguridad en los EE. UU. Incluye la regla de la Comisión de Bolsa y Valores que exige que las empresas públicas revelen incidentes «materiales» dentro de los cuatro días posteriores a una determinación de materialidad.
«Si bien es interesante, la encuesta es demasiado de alto nivel para sacar muchas conclusiones firmes», dijo Scott Kimpel, socio del bufete de abogados Hunton Andrews Kurth, en un correo electrónico. «Muchos planes de respuesta a incidentes no requieren escalada a la junta o nivel C, excepto en circunstancias muy limitadas».
La investigación se limita a un puñado de industrias y no define términos clave como «incidente material de ciberseguridad», dijo Kimpel. «No sabemos si las empresas encuestadas se negocian públicamente o cuál es su tamaño relativo medido por activos totales, ingresos u otras métricas», agregó.
Aún así, dijo que el estudio sirve como un buen recordatorio de que las empresas deberían adaptar un plan de respuesta a incidentes a sus circunstancias específicas «con la debida consideración de los estándares legales aplicables, la práctica prevaleciente del mercado y las demandas de las partes interesadas de información».
Andy Lunsford, CEO de la firma de ciberseguridad BreachRX, dijo que los hallazgos de VikingCloud hacen eco de lo que su compañía ha visto en su propia investigación a través de presentaciones regulatorias y comportamiento ejecutivo.
«Elegir no informar un incidente cibernético material puede sonar como una forma de evitar el escrutinio, pero en realidad dará como resultado el resultado opuesto», dijo en un comunicado enviado por correo electrónico. «Incluso si hay un alivio a corto plazo, el otro zapato eventualmente caerá, y las consecuencias serán mucho mayores para todos los involucrados. La compañía y todo el equipo ejecutivo estarán expuestos a una responsabilidad mucho mayor, incluida la personal».
Los hallazgos se producen a medida que los ataques cibernéticos continúan aumentando, planteando riesgos financieros, regulatorios y legales para las empresas.
«Una fuerte defensa de ciberseguridad requiere crear una cultura de seguridad de la empresa que proporcione un espacio seguro para informar todos los incidentes». VikingCloud dijo en su informe. «Depende de un liderazgo ejecutivo cibernético y más amplio crear esos protocolos de informes claros y establecer una cultura de aprendizaje y mejora continuos «.
El centro de quejas por delitos en Internet del FBI recibió 859,532 quejas de presuntos delitos de Internet en 2024, con pérdidas reveladas superiores a $ 16 mil millonesun aumento del 33% con respecto al año anterior, según un informe publicado a principios de este año.
Los incidentes de ciberseguridad han aumentado tanto en frecuencia como severidad en el último año, con inteligencia artificial que sirve como un impulsor principal detrás del aumento, dijo Vikingcloud.
Más de la mitad (51%) de los encuestados clasificaron las campañas de phishing generativas o agentes impulsadas por la IA como una preocupación principal cuando se trata de nuevas técnicas de ataque cibernético, en comparación con el 22% en una encuesta el año pasado.
«Esto sugiere que más equipos de liderazgo reconocen los peligros de los métodos de ataque impulsados por la IA, especialmente a medida que la IA agente se vuelve más ubicua y hace que los malos actores sean aún más peligrosos, eficientes e implacables que la IA generativa sola», según el estudio.
El agravante de la situación, los piratas informáticos de estado-nación, ciberdelincuentes respaldados o dirigidos por gobiernos extranjeros, están afectando una gama más amplia de organizaciones hoy en día, ya que las empresas de todos los tamaños y en todas las industrias pueden verse afectadas por ataques que «agachan las cadenas de suministro de software», dijo VikingCloud.
Más de las tres cuartas partes de los encuestados dijeron que creen que los recortes recientes o propuestos a los programas federales de ciberseguridad de los Estados Unidos, como la Agencia de Seguridad de Ciberseguridad e Infraestructura y la Agencia de Seguridad Nacional podrían aumentar el riesgo de seguridad cibernética de su organización.
La investigación se basó en una encuesta de 200 líderes de ciberseguridad, directores y superiores, en todo Estados Unidos, el Reino Unido e Irlanda.
A Vikingcloud el portavoz dijo que la compañía no está segura de si Cualquiera de las organizaciones encuestadas eran empresas que se negocian públicamente por la SEC para informar incidentes de ciberseguridad «material».
«Desafortunadamente, no obtuvimos ese granular en las preguntas demográficas», dijo el portavoz en un correo electrónico. «Preguntamos sobre la industria (atención médica, minorista, hospitalidad, servicio de alimentos, viajes), ubicación (EE. UU., Reino Unido, Irlanda), si eran de ubicación múltiple (86%) y nivel de rol (43% C-suite)».
Fuente