7 reglas para denunciar una filtración de datos que los bancos deben entender

El 1 de mayo, los protocolos que las instituciones financieras de EE. UU. deben seguir después de una falla de ciberseguridad cambiaron, y se esperan aún más cambios.

Este mes, tres entes reguladores de bancos comenzaron a pedir a los bancos que informen los incidentes de ciberseguridad en un plazo de 36 horas cuando dichas fallas hayan causado daños graves o puedan llegar a generarlos. Los tres entes reguladores son la Corporación Federal de Seguro de Depósitos, la Junta de la Reserva Federal y la Oficina del Contralor de la Moneda.

Los bancos ya enfrentan numerosos requisitos para informar incidentes a varias partes, y muchas más cargas de cumplimiento de este tipo entrarán en vigencia en los libros en los próximos años. Albergamos con cierta esperanza que la ley recientemente promulgada sobre notificación de incidentes de ciberseguridad armonizará esta red de reglas.

Los requisitos de notificación de incidentes de seguridad informática tienden a diferenciarse en su finalidad, pero «en última instancia, lo que estos entes reguladores intentan hacer es promover el intercambio de información», explicó Jorge Rey, director de Seguridad de la Información de la empresa de contaduría Kaufman Rossin.

Parte de la motivación detrás de las nuevas reglas es la creencia ampliamente extendida de que los incidentes de ciberseguridad no se divulgan lo suficiente de forma crónica. Tres de cada cuatro profesionales de seguridad informática creen que los incidentes de ciberseguridad no se divulgan completamente, de acuerdo con los datos de una encuesta de 2018 realizada a más de 1,500 profesionales de ciberseguridad.

ISACA, una asociación internacional de profesionales dedicada al gobierno de TI, se encargó de realizar la encuesta. En una normativa propuesta sobre la notificación de incidentes de ciberseguridad, la Comisión de Bolsa y Valores (SEC) citó la encuesta como prueba de la falta de divulgación.

A continuación, encontrará los requisitos actuales, propuestos y planificados que enfrentan los bancos estadounidenses después de un incidente de seguridad informática.

Regla de las 36 horas de los entes reguladores del sector bancario

A partir del 1 de mayo, los bancos deben informar cada evento, ya sea una interrupción del suministro eléctrico o una falla de seguridad, que interrumpa o degrade sustancialmente, o que tenga probabilidades razonables de interrumpir o degradar sustancialmente, la capacidad de un banco para llevar adelante sus operaciones bancarias o proporcionar productos y servicios de banca.

El banco debe informar a su ente regulador registrado «lo más pronto posible y antes de las 36 horas» después de haber identificado dicho incidente, de acuerdo con la regla de la FDIC, OCC y Fed.

Con respecto al contenido del informe, los bancos y los entes reguladores interactúan frecuentemente y, en especial, después de un incidente de ciberseguridad; es decir que la información que pida el ente regulador al banco después de la notificación inicial seguramente variará según cada caso en particular. Esto es de acuerdo con lo que expresa Matt Miller, socio de los servicios profesionales de seguridad informática de KPMG.

«Realmente es la estabilidad del sistema financiero lo que intentan mantener», dijo Miller respecto de los entes reguladores del sector bancario. «Les gustan las notificaciones, pero también tienen la capacidad para entrar y hacer una revisión posterior, y suelen hacerlo, de los incidentes reales y de cómo fueron manejados».

Estos requisitos de presentación de informes también abarcan a los proveedores técnicos de los bancos que se ven afectados por los incidentes de ciberseguridad, según agregó Miller. En ese caso, el ente regulador le pide al proveedor que informe al banco y, a su vez, el banco debe informar el incidente al ente regulador.

Regla de las 72 horas de CISA

Debido a que todavía no está totalmente redactada, tal vez el mayor comodín de la serie sea la regla de informe de incidentes de ciberseguridad establecida por el Congreso en marzo. El proyecto de ley en realidad incluye dos requisitos de informe: los bancos deben informar los incidentes de ciberseguridad en un plazo de 72 horas y los pagos de secuestro de datos («ransomware») en un plazo de 24 horas.

Los requisitos de informe se aplicarán a las instituciones financieras y a 15 sectores más, todos ellos considerados como infraestructura crítica. Dado que la lista de sectores incluye tecnologías de la información, se espera que los proveedores técnicos de los bancos también estén alcanzados por estos requisitos. Sin embargo, quedan por abordar muchos detalles específicos.

Para implementar la ley, la Administración de Ciberseguridad y Seguridad de Infraestructura tiene hasta marzo de 2024 para emitir una reglamentación propuesta y comenzar el proceso de preparación de reglamentos, un proceso que puede llevar hasta 18 meses en completarse.

Algunos observadores esperan que la regla se consolide o uniformice los tantos otros requisitos de informes federales. «Al permitir que las distintas organizaciones y funciones de gobierno creen sus propios requisitos de seguridad, se generará un pequeño desorden», comentó Rey. Y agregó que la proliferación de requisitos estatales diferentes genera una carga reglamentaria similar.

Otros consideran que la respuesta no es necesariamente estandarizar las reglas, ya que cumplen distintas finalidades. Miller expresó que los avisos privados a los entes reguladores tienden a incluir detalles sobre la filtración que no serían apropiados para la divulgación pública, ya que esto podría exponer públicamente información sobre las personas afectadas o vulnerabilidades informáticas sin parches de seguridad.

Regla vigente de la SEC

En octubre de 2018, la Comisión de Bolsa y Valores (SEC) publicó pautas para advertir a las empresas públicas que era crucial que «informaran a los inversores los riesgos e incidentes de ciberseguridad pertinentes de forma oportuna», aunque las pautas no especifican un plazo para informar dichos incidentes.

Después de que la norma entró en vigencia, algunas empresas públicas comenzaron a informar incidentes en el formulario 8-K, cuya finalidad es proporcionar información a los accionistas de manera oportuna. Sin embargo, no todas las empresas divulgaron incidentes a los inversores de la misma manera, lo que llevó a la SEC a proponer una nueva regla este año que establecería un plazo para informar los incidentes y definiría, más específicamente, lo que las empresas deben informar.

Regla de cuatro días propuesta por la SECe

En el mes de marzo, la SEC publicó una reglamentación propuesta vinculada no solo a cómo las empresas debían informar los incidentes de ciberseguridad a los inversores, sino también a lo que debían hacer para informarles acerca de su nivel de preparación con respecto a las filtraciones de datos.

«Hay una inquietud creciente de que los incidentes de ciberseguridad sustanciales no se divulgan lo suficiente y que los informes existentes no llegan a estar a tiempo», indica la reglamentación propuesta de la SEC. «Proponemos abordar estas inquietudes pidiéndoles a los registrantes que divulguen los incidentes de ciberseguridad sustanciales en un informe actual en el formulario 8-K en un plazo de cuatro días hábiles a partir de la fecha en que el registrante determina que ha sufrido un incidente de ciberseguridad sustancial».

Las pautas eliminarán gran parte de la ambigüedad acerca de los incidentes que deben informarse a los inversores y el plazo para informarlos, según lo expuesto por Miller. Además, establecerá una competencia de mercado con respecto a la transparencia de los incidentes de seguridad informática.

«Depende de la SEC determinar qué nivel de presentación de informes disponen, pero creo que, de alguna manera, la industria en sí misma será la encargada de definir lo que se convierte en estándar», agregó Miller. «Con el tiempo, si la competencia divulga más o menos cantidad que usted, entonces esa será la expectativa».

Las empresas públicas también tendrán que brindar actualizaciones a los inversores sobre los incidentes que fueron informados con anterioridad, y tendrán que informar «los incidentes de ciberseguridad que se volvieron sustanciales en el agregado» en las presentaciones trimestrales y anuales.

Miller, en lo que según él adimitió fue «tal vez una analogía extraña», comparó los informes totales con picaduras de abeja. Mientras que una picadura podría lastimar, tener una picadura de abeja en la misma parte de la casa una vez por año durante 10 años, o muchas picaduras de abeja al mismo tiempo, sería una gran preocupación. De igual modo, una colección de incidentes de seguridad menores que se acumulan en algo de mayor dimesión debería ser un motivo para informar a los inversores.

Recomendaciones de FinCEN sobre «eventos de seguridad informática»

Los bancos envían con regularidad informes de actividad sospechosa (SAR) a la Red de Ejecución de Delitos Financieros (FinCEN) cuando detectan sospechas de lavado de dinero, fraude u otros delitos. En octubre de 2016, el ente regulador publicó una guía para recordar a los bancos que también debían informar cada «evento de seguridad informática».

En la guía, FinCEN definió un evento de seguridad informática como «un intento de comprometer u obtener acceso electrónico no autorizado a los sistemas, servicios, recursos o información electrónica». FinCEN incluyó varios ejemplos de eventos de seguridad informática que espera que los bancos informen. En una situación hipotética, una institución financiera «sabe o sospecha que un ataque de denegación distribuida de servicio (DDoS) impidió o desvió a su personal de ciberseguridad u otro personal adecuado de detectar o detener inmediatamente una transferencia electrónica de $2,000». FinCEN espera que la institución financiera informe el ataque y la transferencia en un informe SAR.

Avisos en virtud de la Ley Gramm-Leach-Bliley

Tal como lo expresa la Comisión Federal de Comercio, la Ley Gramm-Leach-Bliley exige que las instituciones financieras «expliquen sus prácticas de intercambio de información a sus clientes y que protejan los datos confidenciales».

Dicha explicación generalmente se expresa en forma de avisos anuales a los clientes acerca de cómo se recopilan sus datos personales. Los bancos también deben informar a los clientes cómo pueden prevenir que se comercialicen o compartan sus datos personales con terceros.

De acuerdo con su propia descripción de los requisitos de informe de incidentes cibernéticos, el Bank Policy Institute dijo que la Ley Gramm-Leach-Bliley también exige notificaciones a los entes reguladores cuando un banco «se entera de un acceso no autorizado a información confidencial del cliente que es, o posiblemente sea, un uso indebido de la información del cliente».

La red de requisitos estatales

Además de los numerosos requisitos federales para informar incidentes de ciberseguridad, la mayoría de los estados también exigen a los bancos que envíen una notificación cuando los reisedentes se ven afectados por un incidente de este tipo.

De acuerdo con la Conferencia Nacional de Legislaturas Estatales, los 50 estados, Washington D.C. y los tres territorios insulares tienen leyes que requieren que las empresas «notifiquen a los individuos las filtraciones de seguridad de datos que afecten información de identificación personal».

Muchas empresas y grupos mantienen listas de requisitos por estado, entre las que se incluyen IT Governance USA, la International Association of Privacy Professionals y el bufete Perkins Coie.

Rey, de la empresa de contaduría CISO, dijo que estos requisitos tienden a ser diferentes en especie respecto de las regulaciones federales sobre las notificaciones de incidentes de ciberseguridad. «En última instancia, dicha notificación [estatal] se relaciona con la exposición de la privacidad», agregó. Por lo general, los estados apuntan a «asegurarse de que los consumidores sean identificados y se les advierta para que puedan implementar medidas que protejan su identidad del robo de identidad». Las excepciones incluyen el estado de Nueva York, que tiene sus propias leyes de ciberseguridad para las instituciones financieras.

Para leer el artículo completo, visite American Banker.