Cómo lidiar con la vaguedad en las nuevas regulaciones cibernéticas

Los organismos reguladores en todos los niveles del gobierno han dictado requisitos de privacidad y divulgación más estrictos este año, y sanciones para igualar, elaborados con un lenguaje ambiguo y pautas blandas que dejan a los equipos de seguridad cibernética con una gran responsabilidad y sin un camino claro hacia el cumplimiento.

Lanzado recientemente Directrices de la Comisión de Bolsa y Valores (SEC) sobre la divulgación de incidentes cibernéticos son un ejemplo del tipo de confusión que puede causar un lenguaje regulatorio vago. El experto en ciberseguridad Adam Shostack señala a Dark Reading que ha observado que las reglas se malinterpretan ampliamente.

“Creo que el requisito de transparencia en general es bueno, y es importante tener en cuenta que es dentro de los cuatro días posteriores a la determinación de que se trata de una infracción material, no dentro de los cuatro días posteriores al descubrimiento de una infracción”, señala Shostack. “A mucha gente le falta esa importante distinción”.

Shostack, junto con un panel de expertos que incluye a Mike Hintze, Daniel P. Cooper y Leslie R. Katz, ofrecerán consejos sobre cómo navegar por una gran cantidad de nuevas regulaciones cibernéticas en Black Hat USA durante su presentación, “Temas candentes en la regulación cibernética y de privacidad."

Lenguaje vago, más cumplimiento

Algunos de los lenguaje vago de la regulación cibernética es necesario, señala Shostack.

"Además, seamos francos. La razón por la que estos estándares son vagos es a menudo [porque] la industria exige flexibilidad”, agrega. “Si tenemos problemas porque los estándares son demasiado abiertos, deberíamos comunicarlo a nuestros grupos industriales y cabilderos”.

Katz, abogado y ex ejecutivo de tecnología, está de acuerdo en que depende de la comunidad de seguridad cibernética ayudar a educar y dar forma a las discusiones sobre la elaboración de reglas. Sin orientación técnica, los organismos reguladores como la SEC tienen poca influencia más allá del castigo, agrega.

Katz dice que la falta de experiencia en seguridad cibernética está alimentando la Consideración de la SEC de acciones legales contra los ejecutivos de SolarWinds para el incumplimiento de 2020 de la empresa.

"Este parece ser otro esfuerzo de la SEC para regular mediante la aplicación. En lugar de proporcionar pautas más claras, están enviando un mensaje a través de tal acción”, le dice Katz a Dark Reading. “Un disparo de advertencia para todos que se necesitará una vigilancia aún mayor y respuestas rápidas”.

El panel brindará orientación sobre temas que abarcan la ley de privacidad de EE. UU., la Unión Europea regulaciones en torno a la IA, el Marco de protección de datos UE-EE.UU.y cómo los profesionales de la seguridad pueden participar mejor en el proceso de cumplimiento y elaboración de normas.

La incertidumbre regulatoria continua requiere una colaboración cada vez más estrecha con expertos legales y de cumplimiento tanto durante la preparación como durante una respuesta real a un incidente cibernético, dice Shostack. Agrega que el mejor lugar para que los equipos cibernéticos comiencen es con estándares técnicos del Instituto Nacional de Estándares y Tecnología, el Marco de Seguridad Cibernética o el Marco de desarrollo de software seguro.

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Automoción / vehículos eléctricos, Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• Desplazamientos de bloque. Modernización de la propiedad de compensaciones ambientales. Accede Aquí.
• Fuente: https://www.darkreading.com/black-hat/how-to-deal-with-the-vagueness-in-new-cyber-regulations