Adaptarse a los cambios en un mundo interconectado: Mesa redonda sobre ciberseguridad del CCOE

Este artículo fue publicado originalmente por el San Diego Business Journal el 27 de mayo de 2024 y se reproduce aquí con permiso.

Ya sea fútbol, béisbol, hockey o carreras de Indy Car, ningún equipo se presenta a una competición importante sin entrenar. Las empresas también deben entrenarse si quieren operar en Internet y esperar ser resilientes frente a los hackers y otros actores maliciosos. Algunos de esos actores maliciosos lo hacen por dinero; otros son agentes de estados nacionales.

La formación, los ejercicios de simulación, la respuesta ante incidentes y la planificación de contingencias fueron los temas principales cuando el Centro de Excelencia Cibernética ( CCOE) de San Diego y el San Diego Business Journal presentaron su última entrega trimestral de Cyber Trends 2024 el lunes 20 de mayo de 2024.

Entre los ponentes se encontraban Matt Murdock , de Synoptek; Kim Young, del Ayuntamiento de Carlsbad; y Steve Millendorf, de Foley & Lardner LLP.

Este mes, Eric Basu moderó el debate. Basu es miembro fundador de la junta directiva de CCOE, empresario y director ejecutivo de Haiku, empresa dedicada a la creación de software de formación en ciberseguridad.

La grabación completa del panel se encuentra a continuación, junto con algunos extractos seleccionados:

Aumenta el volumen de denuncias por delitos informáticos

El FBI informa de un aumento del 150 % en las denuncias por delitos cibernéticos en todos los sectores en los últimos cinco años, con unas pérdidas totales de más de 37 500 millones de dólares estadounidenses. Además, según IBM, el coste global de una violación de datos superó los 4,5 millones de dólares estadounidenses de media.

Más de la mitad de los costosos ataques están dirigidos a pequeñas y medianas empresas: negocios que a menudo no están bien preparados y que tal vez ni siquiera comprenden la magnitud del peligro al que se enfrentan. También son el motor económico de nuestra región. Existe una escasez global de profesionales cibernéticos para frustrar estos ataques. Las últimas cifras muestran que Cyberseek.org tiene 448 000 vacantes en Estados Unidos y 5000 solo en San Diego.

Es fundamental abordar el riesgo sistémico. San Diego lidera la iniciativa con más de 1000 empresas cibernéticas y el Comando de Sistemas de Guerra de la Información de la Marina, NAVWAR. El clúster de ciberseguridad da empleo a más de 26 000 personas. Tiene un impacto económico total de 4000 millones de dólares anuales, lo que equivale a organizar 24 Comic-Cons. El ecosistema colaborativo está desarrollando nuevas tecnologías, defensas y ciberguerreros para combatir este panorama de amenazas en constante evolución.

El informe sobre violaciones de datos de IBM revela que un alarmante 95 % de las organizaciones estudiadas sufrieron más de una violación de datos en 2023. Y, como se debatió en la última mesa redonda, los ataques son cada vez más sofisticados con la evolución de la IA.

La realidad del riesgo de terceros

Basu: ¿Qué buenas prácticas contractuales recomienda para las transacciones tecnológicas que podrían ayudar a las empresas a mitigar esos riesgos?

Millendorf: Si ahora nos centramos únicamente en la cadena de suministro y las infraestructuras críticas, creo que en cualquier acuerdo en el que se maneje cualquier tipo de información, sin duda información personal, propiedad intelectual, acceso a ordenadores, se va a querer algo. Pero centrándonos principalmente en la cadena de suministro y las infraestructuras críticas, hay que asegurarse de que contamos con medidas de seguridad bastante sólidas y prescriptivas.

En general, recomiendo que cualquiera de estos acuerdos exija que el proveedor cuente con un programa de seguridad de la información por escrito, preferiblemente uno que se base en alguna norma común, ya sea NIST SP 800-53, el Marco de Ciberseguridad del NIST, ISO 27001 o algo similar. Y, en general, exigir auditorías independientes continuas en pruebas de penetración o análisis de vulnerabilidades para este tipo de industrias, de nuevo, una especie de infraestructura crítica de la cadena de suministro, probablemente queramos que esas pruebas y análisis de vulnerabilidades se realicen con una frecuencia de una vez a la semana. Tendríamos obligaciones contractuales para exigirlo.

Si el software forma parte de la cadena de suministro, como suele ser habitual, solicitaría los términos y condiciones para los procesos de desarrollo de software seguro y las pruebas de vulnerabilidad. Además de proteger su infraestructura informática, como acabo de mencionar, con pruebas de vulnerabilidad para sus sistemas, también quiero pruebas de vulnerabilidad para el propio software.

Conociendo la puntuación CVSS; Pruebas de penetración

Millendorf: Otra cosa que suelo exigir es la supervisión continua de la base de datos CVE y la aplicación de parches a todo lo que tenga una puntuación CVSS de 7 o superior. Para quienes no lo sepan, CVE es una base de datos de vulnerabilidades. Actualmente la gestiona Mitre . Es de acceso público, por lo que cualquiera puede consultarla. Las puntuaciones CVSS son el método de puntuación que utilizan para clasificar la gravedad de una vulnerabilidad, siendo 1 la menos grave y 10 la más grave. Es posible suscribirse a un feed diario con esta información.

Es muy fácil exigir esto a los proveedores que operan en este ámbito. Una vez más, yo lo exigiría no solo para el software que desarrollan a través de sus sistemas informáticos, sino también, y de nuevo, el ataque a SolarWinds es un buen ejemplo de cómo un tercero puede entrar, manipular el software y luego hacer que ese software se incorpore a un montón de otros productos para sus propios clientes. Hay vulnerabilidades que deberían haberse detectado a nivel de software y otras que deberían haberse detectado a nivel de TI, donde se desarrollaba y distribuía el software.

Otra cosa que suelo pedir es la posibilidad de realizar nuestras propias pruebas de penetración. Para ser justos, eso es bastante difícil de aceptar para la mayoría de los proveedores. Es como decir: «Oye, vamos a atacar deliberadamente tu sistema y te avisaremos si conseguimos entrar». Es piratería informática ética sin necesidad de notificárselo, lo que puede ser un pequeño problema si se les empieza a enviar alertas. Deberían recibir alertas. Pero si no saben que [les estás haciendo pruebas], puede ser difícil de aceptar.

Como mínimo, deberías poder conseguir tus propias auditorías independientes. Y, al menos, si sabes que lo que te proporcionan a través de sus propias auditorías independientes no es satisfactorio, o si han tenido una infracción en los últimos 12 meses aproximadamente, queremos poder intervenir y asegurarnos de que has solucionado todo lo que dijiste que habías solucionado.

También suelo solicitar que se me notifique cualquier violación de la seguridad. No me importa lo grave que sea, lo que esté pasando. Quiero saber si existe algún riesgo, especialmente si alojan mis datos y tratan de obtener alguna indemnización y, con suerte, una responsabilidad limitada o, al menos, algún tipo de límite máximo en la responsabilidad por violaciones de seguridad. Es de esperar que cualquier violación de seguridad, pero al menos si se trata de un incumplimiento de sus propias obligaciones de seguridad, ellos sean los responsables.

Todo esto me lleva a otra cuestión que creo que ya hemos abordado. Todas las empresas deberían contar con algún tipo de política de respuesta ante incidentes y asegurarse de probarla y perfeccionarla al menos una vez al año mediante algún tipo de simulacro.

Basu: ¿Considera que es importante exigir a los proveedores que cumplan con algún tipo de normativa estandarizada, como SOC 2 o similar?

Millendorf: Sí. Creo que SOC siempre es una cuestión más difícil que ISO. Creo que ISO es un estándar un poco más exigente. Pero al menos hay un conjunto estándar de controles que se siguen. No se limitan a decir: «Sí, esto tiene buena pinta. Pulgar arriba». Hay que poner el pulgar al viento y asegurarse de que sopla en la dirección correcta.

El SOC te da algo. La ISO te da algo. Basarlo en el marco de ciberseguridad del NIST o en la SB 853 te da algo. Al menos hay una base de referencia.

Regulación de la ciberseguridad y la privacidad

Basu: A diferencia de la Unión Europea, Estados Unidos no cuenta, que yo sepa, con ninguna ley específica que regule la ciberseguridad y la privacidad. Además, varios estados tienen sus propias leyes sobre violaciones de datos y notificación en materia de ciberseguridad. Por lo tanto, las empresas tienen mucho que hacer para cumplir con la normativa. Para las pequeñas empresas, en particular, esto resulta difícil, ya que solo intentan gestionar su negocio, pagar las nóminas y conseguir clientes. ¿Qué consejo daría a las pymes, que también son objeto de todas estas violaciones, para que cumplan con los requisitos de privacidad y ciberseguridad?

Millendorf: Incluso en la UE, la ley se denomina generalmente RGPD. Sin embargo, existen algunas variaciones en su aplicación. Cada país puede realizar 60 modificaciones en sus disposiciones y, en algunos casos, determinar qué es notificable y qué no. Por lo tanto, aunque parezca uniforme en Europa, en realidad no lo es tanto como parece.

Y en Estados Unidos también tenemos algunas leyes específicas para determinados sectores. El sector financiero cuenta con la Ley Gramm-Leach-Bliley, y el sector sanitario con la HIPAA. Hay muchas otras leyes, muchas de las cuales tienen sus propias leyes de notificación de infracciones que las estatales excluyen. Por lo tanto, si usted trabaja en el sector sanitario, tiene información médica personal, está cubierto por la HIPAA y se produce una infracción, por lo general no tiene que lidiar con las leyes estatales. En realidad, solo tiene que lidiar con una ley federal.

Las estatales tienen sus propias variaciones, y ese es uno de esos lugares en los que, si se produce una infracción, hay que buscar un buen asesor o coach en materia de privacidad que conozca realmente las distintas leyes.

En cuanto a la preparación, una vez más, consultaría los marcos de ciberseguridad y privacidad del NIST para hacerme una idea clara de cuáles son las mejores prácticas en torno a sus requisitos y, con suerte, evitar una infracción y gestionar la respuesta al incidente y las consecuencias que realmente se produjeron. Me gustan porque son marcos. No son requisitos específicos. Funcionan bastante bien cuando hablamos de empresas más pequeñas, así como en organizaciones realmente grandes.

Otra cosa que me gustaría mencionar, especialmente para las pequeñas empresas, es que considero que esto es un problema. La minimización de datos es clave. Las pequeñas empresas, por la razón que sea, o bien no tienen tiempo para pensar en ello o bien no disponen realmente de los recursos necesarios para purgar todos los datos. Conservan los datos durante años. Tuve un cliente que sufrió una filtración. Pensaban que solo afectaría a 50 empleados actuales. Pero no, en realidad tenían datos de los últimos 20 años de todos los empleados y sus beneficiarios que habían pasado por allí. Al final, tuvimos que notificarlo a unas 800 personas. Y eso es porque, ¿realmente se necesitan esos datos de un empleado que trabajó allí en el año 2000? Probablemente no. Por eso creo que deshacerse de los datos es probablemente una de las cosas más importantes que deben hacer las pequeñas empresas. Si no los tienes, no pueden ser objeto de una violación.

Reflexiones finales: adaptarse al punto de vista del hacker

Millendorf: Creo que lo primero que deben hacer las organizaciones cuando se habla de ciberseguridad es pensar realmente fuera de lo establecido y como un hacker. Eso es muy difícil. Pensamos: «Estas son las reglas, así que todos las vamos a seguir». Los hackers no siguen las reglas. Por eso son hackers. Probablemente, eso sea clave a la hora de pensar en la vulnerabilidad y el impacto, y en si algo va a ser importante al final o no.

La formación es muy importante para cualquier persona que utilice cualquier tipo de equipo informático, ya sea la secretaria o el director general. Imparto formación a organizaciones. En realidad, no lo hago desde la perspectiva de la empresa. Lo hago como formación individual sobre robo de identidad. Porque si puedes hacerlo y lo piensas por ti mismo, entonces empezarás a aplicarlo en tu negocio. Pero si lo enfocas pensando en tu negocio, pensarás: «Ah, eso es problema suyo. ¿Qué me importa a mí?». Por cierto, esa no es una buena forma de verlo, pero es lo que suele ocurrir.

También mencionamos un par de veces las políticas y procedimientos de respuesta ante incidentes, la formación y su revisión anual mediante simulacros.

Ningún equipo de fútbol americano entra y juega la Super Bowl sin haber entrenado. Lo mismo ocurre con la formación, pero especialmente con la respuesta ante incidentes y los ejercicios de simulación: hay que entrar bien entrenado y bien preparado. De esta manera, cuando ocurra lo inevitable, sabrás qué hacer. Ahora solo se trata de repetir lo que ya has aprendido, en lugar de intentar aprender sobre la marcha.

El Cyber Center of Excellence (CCOE) es una organización sin ánimo de lucro con sede en San Diego que moviliza a empresas, instituciones académicas y gobiernos para impulsar el crecimiento de la economía y la presencia cibernéticas regionales, así como para crear una economía digital más segura para todos.

Descargo de responsabilidad

Foley & Lardner LLP ("Foley" o "la Firma") pone a disposición este blog únicamente con fines informativos. No pretende transmitir la posición jurídica de la Firma en nombre de ningún cliente, ni tampoco asesoramiento jurídico específico. Las opiniones expresadas en este artículo no reflejan necesariamente los puntos de vista de Foley & Lardner LLP, sus socios o sus clientes. En consecuencia, no actúe sobre la base de esta información sin buscar el asesoramiento de un abogado autorizado. Este blog no pretende crear, y su recepción no constituye, una relación abogado-cliente. La comunicación con Foley a través de este sitio web por correo electrónico, entrada de blog, o de otro modo, no crea una relación abogado-cliente para ningún asunto legal. Por lo tanto, cualquier comunicación o material que usted transmita a Foley a través de este blog, ya sea por correo electrónico, entrada de blog o de cualquier otra manera, no será tratado como confidencial o de propiedad. La información de este blog se publica "TAL CUAL" y no se garantiza que sea completa, exacta o actualizada. Foley no hace representaciones o garantías de ningún tipo, expresas o implícitas, en cuanto a la operación o el contenido del sitio. Foley rechaza expresamente todas las demás garantías, condiciones y representaciones de cualquier tipo, ya sean expresas o implícitas, ya se deriven de cualquier estatuto, ley, uso comercial o de otro tipo, incluidas las garantías implícitas de comerciabilidad, idoneidad para un fin determinado, titularidad y no infracción. En ningún caso Foley o cualquiera de sus socios, directivos, empleados, agentes o afiliados serán responsables, directa o indirectamente, bajo ninguna teoría legal (contrato, agravio, negligencia u otra), ante usted o cualquier otra persona, por cualquier reclamación, pérdida o daño, directo, indirecto especial, incidental, punitivo o consecuente, resultante de u ocasionado por la creación, uso o confianza en este sitio (incluyendo información y otros contenidos) o cualquier sitio web de terceros o la información, recursos o material al que se acceda a través de cualquiera de dichos sitios web. En algunas jurisdicciones, los contenidos de este blog pueden considerarse publicidad de abogados. En su caso, tenga en cuenta que resultados anteriores no garantizan un resultado similar. Las fotografías son sólo para fines de dramatización y pueden incluir modelos. Los parecidos no implican necesariamente la condición actual de cliente, socio o empleado.

[email protected]

San Diego 858.847.6737

Información relacionada

Ver todas las entradas

3 de diciembre de 2025 Asesor de la industria manufacturera

Fabricado en China: lo que la industria automotriz debe saber sobre el auge mundial de la fabricación china de vehículos conectados en medio de las crecientes restricciones estadounidenses.

La industria automovilística china se ha globalizado, en gran parte gracias a los avances tecnológicos, las ventajas en términos de costes y la inversión extranjera a través de empresas conjuntas, especialmente en lo que respecta a los vehículos eléctricos (VE) y las tecnologías de vehículos conectados.

26 de noviembre de 2025 Asesor de la industria manufacturera

Asegurar el futuro: Afrontar los retos de los materiales de automoción en un mundo cambiante

En la industria automovilística actual, en rápida evolución, la dependencia de las baterías y otros materiales y componentes clave, como los microchips y los metales de tierras raras, es más pronunciada que nunca. Mientras los proveedores navegan por un mundo plagado de interrupciones en la cadena de suministro e incertidumbres geopolíticas, asegurar estos materiales vitales es crucial no solo para la continuidad de la producción, sino también para mantener una ventaja competitiva.

20 de noviembre de 2025 Tecnología innovadora

Principales conclusiones de TEDAI 2025

¡Esto es todo! Recientemente fuimos coanfitriones de TED AI San Francisco, el encuentro mundial más importante para el liderazgo...