Banner 970x250

Nunca es la violación de datos, siempre es la cobertura

UberDataBreach.pptx investing español, noticias financieras


Banner 564x300

La obstrucción de la justicia y la mala conducta de un cargo de delito contra Joseph Sullivan, el ex CSO de Uber, conmocionó a la comunidad de ciberseguridad. Las OSC / CISO se preguntaron con razón qué significaban estas acusaciones en términos de culpa por las decisiones tomadas en el trabajo.

Las OSC y CISO manejan datos confidenciales, toman decisiones difíciles y ven su responsabilidad para con la empresa y sus accionistas al momento de tomar decisiones. Los aspectos legales, regulatorios y de privacidad también son muy importantes en estas decisiones.

La narrativa en los documentos de acusación (nota, esto aún no es una acusación penal) emitida por el FBI contra el ex CSO de Uber (Sullivan) lo retrata como un plan para encubrir una importante filtración de datos y obstruir a los reguladores. y ocultar negocios a los altos ejecutivos.

El caso contra Uber

Una filtración de datos en 2014 reveló los registros de 50.000 conductores de Uber. En 2016, la Comisión Federal de Comercio (FTC) investigó a Uber por la violación de datos de 2014. Aproximadamente 10 días después de que Sullivan brindara testimonio jurado ante la FTC, se enteró de una segunda violación de datos que involucraba registros similares pero sobre escala mucho mayor. Esta vez, la violación incluyó millones de registros. Uber y Sullivan colaboraron con los investigadores y los piratas informáticos fueron capturados y acusados.

Según el documento de acusación, Sullivan, el ex director ejecutivo de Uber Travis Kalanick y otros tomaron los siguientes pasos después de enterarse de la violación de datos de 2016:

  1. Confirmaron que los datos eran reales.
  2. Sullivan modificó un programa de recompensas por errores existente para pagar un rescate y evitar que los piratas informáticos expongan públicamente la violación de datos.
  3. El monto de la recompensa pagada fue 10 veces el máximo del programa de recompensa de errores existente, y el programa de recompensa de errores existente no cubrió el tipo de infracción y los registros.
  4. Sullivan requirió que los piratas informáticos firmaran un acuerdo de no divulgación, otro cambio al programa de recompensas existente.
  5. Sullivan no mencionó el hack de 2016 a la FTC.
  6. Sullivan no explicó completamente la violación de datos al nuevo CEO de Uber en 2017. Tenga en cuenta que a Sullivan no se le cobra por 1-4. En cambio, estos se utilizan como evidencia para respaldar las acusaciones de obstrucción de la justicia y error de juicio de un delito.

El otro lado de la historia

En noviembre de 2016, Uber se dio cuenta de una violación de datos. Los piratas informáticos amenazaron con exponer los datos robados. Uber pagó a los piratas informáticos un rescate como parte de su programa de recompensas por errores e hizo que los piratas informáticos firmaran acuerdos de no divulgación para evitar que la infracción se hiciera pública.

Sullivan no notificó a la FTC durante la audiencia de investigación jurada porque no pudo, Sullivan se enteró de la violación 10 días después. Para notificar a la FTC, Sullivan habría tenido que contactarlos e informarles de una violación nueva, pero similar, separada. También existe cierta confusión sobre si Sullivan tenía o no la obligación legal de hacerlo.

Sullivan notificó al nuevo CEO en 2017 y no proporcionó los detalles necesarios para el nuevo ejecutivo. Esto no es necesariamente sorprendente, ya que las comunicaciones de los líderes de seguridad senior y de los ejecutivos senior siguen siendo un desafío, como discutimos en nuestro informe, Cómo hablar con las juntas de seguridad cibernética.

Esta versión de los hechos corresponde al caso planteado en los documentos de oposición, pero lo hace mediante el examen de las decisiones sin considerarlas relacionadas con la actividad delictiva. Si este caso va a juicio, los abogados de Sullivan tendrán la oportunidad de ofrecer su propia versión de los hechos.

Sullivan es inocente hasta que se demuestre su culpabilidad. Pero independientemente del resultado, para los CISO, hay una lección fundamental aquí. Debe considerar cómo las decisiones tomadas en este momento pueden interpretarse, interpretarse o probarse como criminales después del hecho.

Lo que los CISO deberían quitar de los cargos

Esto es lo que los oficiales de seguridad superiores deben saber y comprender sobre estos eventos:

  • Esta es una advertencia para CSO y CISO: eliminen cualquier sentido de incorrección en RI. Ocultar una violación de datos es ilegal. Cualquier decisión tomada durante un accidente podría utilizarse en un litigio y será revisada por los investigadores. En este caso, también se le imputan cargos penales contra un conocido líder de seguridad. Si sus acciones parecen ocultarse, en lugar de investigar y resolver una violación de datos, espere consecuencias.
  • Aquí no se cuestiona ni el rescate ni el tamaño de los insectos. Es que el pago del rescate a través de la recompensa por errores supuestamente ayudaba a ocultar la infracción. Las empresas deben tener una política de extorsión digital desarrollada, de modo que no haya acusaciones de irregularidades si eligen pagar un rescate. Además, las pautas de su programa de recompensas por errores no deben cambiarse sobre la marcha para facilitar las actividades del programa de recompensas por errores.
  • Trabaje en estrecha y abiertamente con el liderazgo superior en cuestiones de incumplimiento y redención. Sullivan intentó que los piratas informáticos firmaran acuerdos de no divulgación, un documento legal entre dos entidades legítimas que reconoce efectivamente a los piratas informáticos como entidades corporativas que permitían a Uber tratar a los piratas informáticos como terceros. Ver el rescate como un "costo para hacer negocios" también les ayudó a ocultar el pago al equipo de administración. Los documentos de facturación establecen que solo Sullivan y Kalanick estaban al tanto del pago y cómo se canalizó a través del programa de recompensa por insectos, ningún otro líder senior estuvo involucrado.
  • Es el trabajo del CISO hacer entender a los líderes. A menudo, los CISO y otros líderes de seguridad y riesgo notarán que es difícil lograr que los miembros de la junta y los directores ejecutivos comprendan los puntos técnicos relacionados con la ciberseguridad y las infracciones. Si bien esto es cierto y comprensible, no es una razón válida para permitir fallas aquí. Si la pizarra no entiende, el CISO debe hacerle entender, aunque tenga que poner una pizarra en el asunto, hacerle entender. Fallar aquí no es una opción.
  • El trabajo de CISO puede ser de alto riesgo, alta recompensa; tome medidas para protegerse. El agotamiento es una preocupación muy real, mientras que otros pueden incluir la responsabilidad legal en el trabajo y ser el chivo expiatorio. Si tiene la capacidad de negociar, considere un piloto para la póliza de seguro de responsabilidad del Director y Oficial (D&O) de la compañía que le ofrece la cobertura, o que el CISO se agregue como un oficial al estatuto de la compañía que le ofrece la misma compensación que el otros puestos de oficiales de nivel C. ¿Has oído hablar de las cláusulas de paracaídas de oro para ejecutivos? Los CISO pueden tener cláusulas de apuesta de oro.
Banner 564x300

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir

En nuestra web usamos cookies, si continúas navegando entendemos que las aceptas. Mas info