Leyes y regulaciones
“Odio ser el portador de malas noticias, pero es probable que los reguladores y los abogados de los demandantes evalúen las crisis, y revisarán todas sus comunicaciones para ver qué decisiones se tomaron”, dijo William Ridgway, además de aconsejar a los ejecutivos que no usen sus dispositivos personales durante una situación de crisis.
“Una vez que se produce una infracción, los datos expuestos pueden abarcar proveedores de empresas, terceros y otras dependencias, lo que significa que el Consejo puede ser demandado. Pero incluso si no hay litigio, es probable que los directores de la compañía deban someter a análisis forense sus teléfonos y ordenadores y, si es necesario, ponerlos a disposición de los abogados de los demandantes años después. Una forma posible de desestimar estos casos es demostrar que el Consejo ha reflexionado sobre estos problemas, antes y después del hecho, ha realizado mejoras y mejoras, lo que demuestra que estaba cumpliendo con sus obligaciones fiduciarias”.
Pero garantizar el cumplimiento adecuado de todas las normas y reglamentos, las propuestas de legislación fragmentadas y otras directrices emergentes es un trabajo pesado, especialmente en las áreas de privacidad. Y mientras Angela Saverice-Rohan, directora y líder de privacidad de EY Americas en Ernst & Young LLP, es optimista de que una ley nacional de privacidad, una que consolidará un mosaico de reglas estatales, finalmente se aprobará en los EE. UU., otras naciones están colocando la privacidad onerosa cargas sobre las empresas que compiten en un mercado global.
“Reconocemos la privacidad como un derecho humano. Refleja una sociedad evolucionada”, dijo, pero “más de 120 países tienen requisitos de privacidad; esa lista está creciendo y los requisitos se están volviendo más prescriptivos”.
Las consecuencias no deseadas de esos estrictos estándares de privacidad, especialmente las restricciones de datos transfronterizas, también conocidas como requisitos de localización de datos, pueden generar costos significativos para las empresas y afectar la competencia global. La proliferación de la inteligencia artificial es otro desafío legal inminente: los requisitos de privacidad a menudo no abarcan grandes conjuntos de datos, mientras que la toma de decisiones automatizada elimina la participación y la intervención humana.
Más de la mitad de los directores que respondieron a esta pregunta de la encuesta dijeron que entendían la inteligencia artificial (IA) de sus organizaciones y los riesgos relacionados con la robótica solo "algo bien", el 14 % dijo que los entendía "muy bien" y, en particular, el 35 % respondió "no mucho".
“La IA y nuestra economía algorítmica son el futuro”, dijo Saverice-Rohan. El crecimiento económico es posible gracias al intercambio de datos y el libre flujo de información: "Esos principios están en oposición directa con la forma en que se legisla actualmente la privacidad".
Interrumpir, disuadir, defender
La IA puede eliminar a los humanos de algunas funciones de toma de decisiones, pero hay un ser humano en el punto de partida de cada ciberataque. Interrumpir a estos asaltantes significa detenerlos físicamente, dice Shawn Henry. Idealmente, eso requiere una combinación de acciones de inteligencia, investigación y aplicación de la ley, así como iniciativas diplomáticas y sanciones contra los agentes del estado-nación.
Por supuesto, la mayoría de los atacantes se identifican solo después de que ya han atacado. Cuando se trata de cadenas de suministro, las defensas son tan fuertes como el eslabón más débil. “Los proveedores tienen sus propios proveedores, terceros, incluso cuartos y dependencias”, explicó Phil Venables. “Pueden transmitir el riesgo a las cadenas de suministro”.
En de-risking, un nuevo enfoque que ha tenido éxito, una organización reduce su número total de proveedores y su criticidad. Eso, a su vez, reduce los canales de flujo de información, lo que genera un mayor grado de control de riesgos.
Otro concepto es Zero Trust de CISA, que exige un marco de servicio que escale y establezca un ciclo continuo de protocolos de autenticación y otras medidas de derecho de entrada, priorizando e intensificando la protección de activos, cuentas y servicios críticos, incluso si un adversario irrumpe en la red. Con la tarea de proteger y fortalecer la infraestructura crítica de la nación contra las amenazas cibernéticas, CISA también ha estado trabajando en la adopción de una lista de materiales de software, una especie de etiqueta digital de alimentos que impulsa los sistemas de software seguros por diseño.
A medida que estas y otras soluciones están ganando impulso, reclutar expertos externos puede ayudar a romper la caja de resonancia: el 41 % de los encuestados en esta encuesta en vivo dijeron que, personalmente, tenían “experiencia limitada” en ciberseguridad y el 30 % informaron tener “experiencia moderada”. Solo el 18% dijo que tenía "experiencia significativa" personalmente, mientras que el 11% dijo que no tenía "ninguna experiencia".
Pero no se puede interrumpir la actividad adversaria y protegerse contra las amenazas cibernéticas que no se informan, dijo Eric Goldstein: demasiadas empresas americanas no informan los incidentes cibernéticos a la CISA o a la Oficina Federal de Investigaciones (FBI). Por eso, explicó, una de las mejores maneras de protegerse contra las intrusiones es pasar de una cultura de retención a una cultura de compartir.
“Las víctimas de ciberataques son solo eso, víctimas. Ellos necesitan ayuda. Parte de obtener esa ayuda es ayudar a los demás”, enfatizó Goldstein. "Estamos todos juntos en esto. Cuanto más promovamos una cultura de compartir, conectando puntos sobre las intrusiones en todo el país, para compartir medidas defensivas amplia y ampliamente, antes doblegaremos esa curva de riesgo”.
Esto es especialmente importante ya que las amenazas futuras (manipulación de datos, videos falsos profundos y otras campañas de desinformación) seguramente influirán en el comportamiento, alterarán las perspectivas y explotarán los errores en el juicio humano. Los ciberataques y quienes los llevan a cabo seguirán evolucionando. También debe hacerlo nuestro dominio de tecnologías innovadoras, medidas defensivas y gobernanza proactiva para negociar con seguridad el panorama de amenazas en constante evolución.
“Internet es el mayor invento de nuestra vida”, dijo William Ridgeway. “No nos vamos a alejar de eso. Pero con él vienen desafíos y riesgos. Tenemos que aprender a gestionar y equilibrar esos riesgos para que podamos aprovechar su eficacia y seguir estando seguros”.