Black Hat 2021: lecciones de un abogado


Por qué las empresas y sus equipos de seguridad deben contratar a un abogado antes de que ocurra un incidente

Las presentaciones en Black Hat a menudo incluyen diapositivas llenas de datos o código. Rara vez, o tal vez nunca, he visto una diapositiva que detalle partes de una política, contrato o texto authorized standard. Nick Merker, socio de ICE Miller LLP, atrajo a una gran cantidad de asistentes para su presentación titulada «Escollos legales que deben evitarse en incidentes de seguridad«. El entusiasmo de los asistentes por escuchar a un abogado demuestra cuán crítica es la ciberseguridad para una empresa y cómo la legislación y las acciones legales son una realidad que los profesionales de la ciberseguridad tratan con demasiada frecuencia.

«Privilegiado y confidencial»: esas palabras mágicas en la línea de asunto de un correo electrónico son una indicación de que el contenido permanecerá, o debería, permanecer confidencial de los reguladores o abogados que emprenden acciones contra la empresa. Estoy seguro de que usted, como yo, ha visto uno de estos correos electrónicos aterrizar en su bandeja de entrada sin que el abogado de la empresa tenga una copia o sin discutir algo que probablemente nunca necesitará defensa lawful. El abogado de la empresa es obligatorio si el título debe ser significativo. La explicación de que durante un incidente de seguridad debe haber dos pistas distintas: la primera es operativa sobre lo que hizo el atacante y cómo podemos hacer que las cosas funcionen nuevamente, y la segunda controlada por el abogado para construir la defensa necesaria en caso de que alguien inicie acciones legales. acción basada en el incidente.

Es probable que un equipo de ciber-forense que se involucre en detalle sobre un incidente descubra procesos o lagunas que no sean favorables para la empresa y proporcione municiones si se entregan al otro lado de una queja authorized. Nick proporcionó ejemplos de incidentes en los que los tribunales han decidido que todos los detalles se entreguen independientemente del encabezado «privilegiado y confidencial». El abogado experto contratado para recopilar información sobre el incidente debe tener su propio equipo forense y la información descubierta por este equipo no debe compartirse dentro de la empresa. Esto evita que otra parte lo descubra y, al mismo tiempo, proporciona al abogado contratado por la empresa toda la información sobre el incidente necesaria para defender según sea necesario: «preparación para litigios».

Otro tema de discusión fue la importancia de registrar todas las decisiones tomadas durante un incidente, ya que pueden ser necesarias para demostrar que la empresa contaba con un proceso y una política para hacer frente al incidente y minimizar el riesgo. Esto sigue la orientación de los marcos y estándares de ciberseguridad como NIST sobre respuesta a incidentes.

Si es possible que el incidente dé lugar a la pago de fondos a un ciberdelincuente, se recomienda encarecidamente una investigación y un asesoramiento authorized adecuados para garantizar que la empresa no realice transacciones con una persona, entidad o país que esté en la lista de sanciones de la OFAC. Si bien hay muy pocas entradas relacionadas con el ciberespacio en la lista de sanciones, es importante poder demostrar que la empresa hizo todo lo posible para evitarlo. Es possible que el banco, la aseguradora de riesgo cibernético y el intercambio de criptomonedas que se utilizan busquen esta misma diligencia debida y confirmación, ya que ellos también pueden ser considerados responsables. A los efectos de la investigación, se recomendó buscar la dirección de la billetera de criptomonedas para el pago desde el principio, de modo que se pueda llevar a cabo una verificación exhaustiva.

Si alguien me hubiera dicho hace 20 años que un equipo de ciberseguridad trabajaría en estrecha colaboración con el equipo authorized de la empresa de esta manera, probablemente habría murmurado algo sobre tonterías. En el mundo litigioso de hoy y con los reguladores a la vuelta de la esquina, se ha convertido en una relación esencial en una empresa. Mi conclusión y consejo después de haber asistido a esta valiosa presentación es que las empresas y los equipos de ciberseguridad deben comunicarse con un abogado antes de cualquier incidente para que tengan claro qué hacer en caso de que ocurra un incidente.



Enlace a la noticia original