Home Gobierno Ciberseguridad: Una nueva investigación afirma que los plazos de divulgación de Biden...

Ciberseguridad: Una nueva investigación afirma que los plazos de divulgación de Biden son poco realistas

Las organizaciones de Estados Unidos están mal preparadas para cumplir los nuevos y estrictos requisitos de divulgación de incidentes cibernéticos impuestos por el gobierno de Joseph Biden, según un nuevo estudio de la empresa de calificación de riesgos cibernéticos BitSight.

A principios de este mes, el presidente Biden firmó una ley que obliga a las organizaciones de infraestructuras críticas a revelar los incidentes cibernéticos “importantes” al gobierno federal en un plazo de 72 horas.

Sin embargo, un análisis de más de 12.000 incidentes cibernéticos divulgados públicamente entre 2019 y 2022, publicado por los investigadores de BitSight el martes, reveló que los incidentes suelen descubrirse y divulgarse después de semanas y meses, en lugar de horas y días.

Los investigadores señalaron: “La organización promedio tarda 105 días en descubrir y revelar un incidente desde la fecha en que ocurrió el incidente; de ese tiempo, las organizaciones no descubren un incidente hasta 46 días después de que haya ocurrido, y no revelan un incidente hasta 59 días después del descubrimiento.”

Las organizaciones más grandes resultaron ser más rápidas a la hora de descubrir y revelar incidentes que las organizaciones más pequeñas. Sin embargo, aunque las organizaciones con más de 10.000 empleados eran un 30% más rápidas en descubrir y revelar incidentes que las organizaciones más pequeñas, seguían tardando una media de 39 días en descubrir un incidente y 41 días en revelarlo.

La divulgación de incidentes de mayor gravedad fue un proceso más pesado que la notificación de incidentes de naturaleza más leve.

Los investigadores opinan que una serie de factores podrían estar causando la lentitud en la divulgación.

Añadieron que las organizaciones más grandes pueden lograr una divulgación más rápida porque “tienen mayor experiencia o mejor comprensión de sus obligaciones legales en comparación con las organizaciones más pequeñas.”

Los resultados sugieren que las organizaciones tendrían dificultades para cumplir con la nueva normativa -que actualmente está estudiando la Comisión de Valores y Bolsa (SEC)- que exige la divulgación de incidentes cibernéticos “importantes” en un plazo de 96 horas.

Con información de Info Security Magazine.