Cómo los marcos internacionales de ciberseguridad pueden ayudar a los CISO

Las leyes y estándares en materia de ciberseguridad son abundantes y, para empeorar las cosas, a menudo varían dentro de los países. Cuando los CISO necesitan centrarse en la ciberseguridad más allá de las fronteras de un país, los acuerdos y marcos internacionales pueden brindar alguna orientación sobre el cumplimiento, qué países tienen más probabilidades de colaborar cuando ocurre un delito cibernético, cómo colaborar y cuándo la colaboración pública y privada puede ser la mejor elección.

El Convenio de Budapest, primer tratado internacional destinado a armonizar las normas internacionales para el cumplimiento de la ciberseguridad, cuenta actualmente con 68 partes y 21 países observadores signatarios. Abarca la mejor manera de abordar de forma integral las cuestiones relacionadas con los ciberdelitos, el grado con los consentimientos necesarios y la transparencia con que se protegen los derechos humanos de los sujetos y las entidades, y la medida en que están representadas las distintas legislaciones y ordenamientos jurídicos, explica a CSO Chinatu Uzuegbu, consultora gerente de Ciberseguridad de RoseTech CyberCrime Solutions.

La cooperación internacional también se produce a través de tratados de asistencia jurídica mutua y organizaciones como INTERPOL y AFRIPOL, ASEANAPOL, EUROPO, la ONU, el Banco Mundial y la Organización Internacional de Normalización (ISO).

Legislación sobre seguridad de transferencias mundiales de datos

La falta de un marco global sobre leyes de seguridad de datos y un enfoque obsoleto para las transferencias de datos transfronterizas está obstaculizando la capacidad de fortalecer las protecciones, según Joe Jones, director de Investigaciones y Conocimientos de la Asociación Internacional de Profesionales de la Privacidad. 

"Los mecanismos regulatorios diseñados a mediados de la década de 1990, basados ??en patrones en los que las transferencias de datos eran más discretas y más limitadas a la transferencia de datos del punto A al punto B, han proliferado en todo el mundo", comenta Jones. "Esto ha resultado en un panorama regulatorio complejo y a menudo fragmentado en el que los profesionales y organizaciones de privacidad deben navegar". 

En la actualidad, más de 70 países tienen la capacidad regulatoria, a través de un regulador de privacidad de datos o una autoridad gubernamental, para calificar a otros países como "adecuados" de manera segura para recibir datos. Adecuación significa que se ha evaluado que un tercer país proporciona estándares de privacidad de datos comparables a los de la jurisdicción evaluadora.

Navegar por el complejo conjunto de regulaciones se ha convertido rápidamente en un tema importante para la comunidad de privacidad. "El tiempo dedicado a abordar estas cuestiones desde una perspectiva de cumplimiento a menudo es tiempo que no se dedica a otras cuestiones, como los datos y la seguridad cibernética", determina Jones.

Pero está sucediendo y Jones dice que el acuerdo histórico de la OCDE sobre un conjunto de principios fundamentales sobre cómo las autoridades gubernamentales acceden y utilizan datos personales con fines de seguridad nacional y aplicación de la ley es sólo un ejemplo de los esfuerzos recientes para reforzar la cooperación global y un marco unificado. "Los reguladores han estado redoblando su apuesta por la necesidad de escalar a un marco más multijurisdiccional, aprovechando principios comunes entre quienes tienen ideas afines sobre la privacidad y agudizando el enfoque colectivo sobre los riesgos asociados con enfoques más mercantiles", detalla.

Beneficios y limitaciones de los marcos internacionales

Idealmente, lograr que las organizaciones se incorporen a los tratados y convenciones internacionales sobre delitos cibernéticos haría que las cuestiones, disputas, doctrinas jurídicas y otras vinculaciones internacionales relacionadas con los delitos cibernéticos se armonizaran de manera fluida y oportuna con las sanciones, penas y castigos que acompañan al delito cibernético relacionado y apalanquen en la legislatura mundial, revela Uzuegbu.

Una buena práctica al implementar dichos marcos es utilizar el análisis de brechas para comparar las configuraciones de seguridad con la industria relevante y los marcos globales para ayudar a identificar y abordar áreas que necesitan mejora. "Abordar los marcos internacionales en la política de seguridad de la organización es la mejor manera de lograr el cumplimiento con cuellos de botella mínimos y repeticiones innecesarias en más de un marco", afirma.

Sin embargo, no son una solución completa y se necesita una cooperación y colaboración internacional más fuerte fuera de instrumentos como el Convenio de Budapest para contrarrestar el aumento de ciertas jurisdicciones que se convierten en refugios seguros para los ciberdelincuentes. Es importante que las organizaciones aborden protocolos y marcos actualizados y que los países revisen sus leyes contra el cibercrimen.

Aun así, la realidad es que es probable que ciertos países y jurisdicciones sean refugios seguros para los ciberdelincuentes y, al ser aceptados, instrumentos como la Convención de Budapest sólo pueden llegar hasta cierto punto. Las leyes son tan valiosas en la medida en que se aplican. 

"En muchos países, la cantidad de personal encargado de hacer cumplir la ley que está enfocado y capacitado para lidiar con el cibercrimen no coincide con la magnitud del problema", dice Greg Day, vicepresidente y CISO de campo de Cybereason. "Del mismo modo, se requiere que prácticamente todos los agentes encargados de hacer cumplir la ley reciban alguna capacitación básica; de lo contrario, ¿qué sucede cuando hablan con alguien que les dice que han sufrido un ataque de ransomware? No sabrán lo que significa, a quién derivarlo y qué medidas deben tomarse para proteger las pruebas mientras tanto", sostiene.

Lo que falta, ahora que hay una membresía lo suficientemente grande, son sanciones potenciales para aquellos que no opten por participar. "Los gobiernos imponen sanciones por muchas razones geopolíticas clave y, a medida que el mundo digital se convierte en una parte tan importante de la vida de la mayoría de las personas, vidas, ¿cuándo se convertirá esto en la herramienta de aplicación de la ley contra aquellos que no se suman?".

Ve tres inconvenientes principales en marcos internacionales como el Convenio de Budapest. En primer lugar, la falta de pruebas. "Muchas empresas tienen buenas herramientas de ciberdefensa, pero no son buenas para recopilar o mantener pruebas, ya sean simples registros o análisis forenses más avanzados", afirma. "Los delitos normalmente requieren pruebas del impacto, y muchas empresas todavía no están dispuestas a compartir el impacto de las repercusiones en su marca. La falta de impacto normalmente significará una sentencia menor y más leve". Y cuando los casos van a juicio, los delitos cibernéticos suelen ser técnicos y si el jurado no puede entender el caso, les resulta muy difícil tomar una decisión justa. "He visto casos fracasar simplemente porque el jurado no pudo comprender el alcance de lo sucedido", añade.

Los límites de la recuperación de datos y el intercambio de información en las investigaciones de delitos

Las leyes internacionales no necesariamente ayudan cuando se trata de procesar a criminales porque eso requiere pruebas, órdenes judiciales y otros sistemas para seguir adelante. Y no incluyen una obligación legal para que los países cooperen plenamente en un proceso, incluido algo como la Convención de Budapest, explica Alana Maurushat, profesora de Ciberseguridad y Comportamiento en la Universidad Western Sydney.

Dicho esto, Maurushat dice que las investigaciones de delitos cibernéticos las realizan tanto organizaciones privadas como organizaciones encargadas de hacer cumplir la ley. Una entidad privada no puede utilizar el Convenio de Budapest para preservar datos; sólo puede hacerlo una entidad designada, como la policía. "Pero los organismos encargados de hacer cumplir la ley están reconociendo esto y cooperando mejor", dice Maurushat.

El procesamiento de los ciberdelincuentes opera en un marco diferente y requiere tratados de asistencia mutua. "Pero estas negociaciones pueden tardar 10 años y se hacen país a país", dice Maurushat. Aun así, el procesamiento ni siquiera es el objetivo final de las organizaciones. Normalmente se trata de recuperación de datos y recuperación de fondos.

Y en algunas investigaciones, si un caso conduce a una determinada jurisdicción, simplemente no se puede. "Nunca llegarás a ninguna parte porque la corrupción es tan grave en esos países que no obtendrás cooperación. Y ese es el caso, ya sea que se trate de una investigación de gobierno a gobierno o de una investigación privada", dice.

E incluso con leyes contra el delito cibernético, ciertas jurisdicciones pueden funcionar como refugios para los ciberdelincuentes y plataformas de lanzamiento para el delito cibernético. Como los sindicatos criminales que se 'especializan' en ciertos tipos de ataques a la ciberseguridad desde algunos países con las condiciones adecuadas.

Lanzar sofisticados ataques de ransomware u otras actividades de ciberdelito contra objetivos importantes requiere un cierto nivel de infraestructura, sofisticación técnica y una cantidad considerable de fondos. Construir algo así puede costar hasta 100 millones de dólares, estima Maurushat.

En este nivel, es la sofisticación de la infraestructura técnica del país, más que las leyes contra el delito cibernético, lo que determina si se convierten en refugios seguros para lanzar ataques cibernéticos.

Los marcos internacionales no pueden resolver la atribución

En general, los delincuentes aprovechan las condiciones adecuadas para atacar a las víctimas y operar en estados-nación donde los funcionarios pueden no estar dispuestos a cooperar con las investigaciones de delitos cibernéticos. Y los acuerdos internacionales como el Convenio de Budapest y otros no pueden resolver una de las partes más difíciles de recuperarse de un ataque cibernético: identificar al culpable.

Maurushat dice que descubrir quién es el responsable del ataque a la ciberseguridad puede ser increíblemente difícil. "Es la atribución", dice. Pero se aplica la vieja máxima: seguir el dinero para encontrar a los responsables. "Hay algunas jurisdicciones desde donde el dinero fluye todas y cada una de las veces. Eso nunca cambia y nunca cambiará. Mire los paraísos fiscales, es probable que haya buenos fondos ilícitos fluyendo a través de esas regiones", dice.

"Los delincuentes siempre buscan el objetivo más maduro o el más fácil. Mientras no seas el más fácil ni el más maduro, probablemente estarás bien. Eso significa que es importante pensar en cómo gastas tu presupuesto y tu planificación. El problema es que a menudo te quedas sin dinero para las cosas que importan en términos de entrenamiento y comportamiento. Entonces, puedes obtener todas las herramientas del mundo, si no tienes las personas que puedan aprender las herramientas, es algo inútil".

Day está de acuerdo y señala que la atribución es difícil por varias razones. "Con demasiada frecuencia, la víctima no ha reunido ni conservado las pruebas necesarias", afirma.  Además, los adversarios han creado varias técnicas para ocultar sus identidades, utilizando sistemas públicamente comprometidos como puntos intermedios, teniendo puntos de comunicación (comando y control) que se reconfiguran periódicamente o aprovechando mulas digitales intermedias sólo por nombrar un par de técnicas. 

También suelen utilizar comunicaciones seguras entre ellos para que sea muy complicado encontrar realmente la fuente. "Con demasiada frecuencia, la atribución se produce cuando los delincuentes, como todos los humanos, cometen errores. O dejan marcas que no tenían intención de dejar, alardean o cometen errores simples, como usar el mismo alias en un entorno completamente diferente, más público y abierto, como un foro", detalla.

Las leyes cibernéticas son más que los propios estatutos. Es la suma de todo lo que facilita un marco sólido de política cibernética. Esto incluye legislación sobre ciberseguridad y delitos cibernéticos, estrategias de desarrollo de la fuerza laboral, intercambio de información cibernética (inteligencia sobre amenazas), análisis forense digital, equipos de respuesta a emergencias informáticas (CERT), diplomacia cibernética y acuerdos bilaterales, entre otras facetas. "Estas capacidades cibernéticas, junto con los avances tecnológicos, nos han hecho mucho mejores en la atribución de incidentes cibernéticos", afirma Niel Harper, que forma parte del grupo de trabajo de estándares profesionales del Consejo de Seguridad Cibernética del Reino Unido, miembro de la junta directiva de ISACA y World Grupo de trabajo sobre riesgo cibernético del Foro Económico.

El manual del CISO: uso de marcos para desarrollar políticas cibernéticas

Las organizaciones deben adoptar y "vivir" los marcos de ciberseguridad adecuados. "Las políticas y el seguro cibernético por sí solos no serán suficientes. La dirección ejecutiva y las juntas directivas deben volverse más inteligentes para poder formular las preguntas correctas sobre los riesgos cibernéticos y los impulsores económicos asociados, el liderazgo empresarial debe fomentar la resiliencia y la colaboración sistémicas, y garantizar que el diseño organizacional y La asignación de recursos apoya la ciberseguridad", dice Harper.

Para los CISO, todo debe enmarcarse en torno a la gestión del riesgo cibernético y la alineación de la estrategia empresarial, pero la colaboración externa es fundamental. Las alianzas público-privadas, especialmente en lo que respecta a la protección de infraestructuras nacionales críticas, son cruciales en la lucha contra el delito cibernético, al igual que los CERT sectoriales e intersectoriales y los mecanismos de intercambio de información. "La colaboración permite a las organizaciones adelantarse a las amenazas emergentes y ser más proactivas en su resiliencia cibernética", afirma.

Cybereason's Day cree que para cada CISO debería haber tres objetivos clave. "Asegúrese de mantener actualizadas sus capacidades de prevención e higiene cibernética. La seguridad cibernética está evolucionando tan rápido como las amenazas que pretende mitigar", dice. "Tenga un plan de resiliencia para cuando se vea comprometido. ¿Cómo puede contener el radio de explosión del ataque? ¿Cómo puede asegurarse de que el negocio siga funcionando? ¡Pruebe estos planes con regularidad!" Y mejore su capacidad para capturar y analizar datos forenses. "La mayoría son buenos para ver lo que hizo el ataque, pero muchos no son tan fuertes para ver lo que hizo el adversario humano una vez que lograron penetrar el negocio", concluye.