Las empresas australianas se enfrentan actualmente a una triple amenaza en ciberseguridad que no tiene nada que ver con la lucha contra los hackers. En cambio, hay tres nuevas fuerzas regulatorias que impactan puntos específicos de la postura de ciberseguridad de la economía australiana, donde las empresas relevantes enfrentarán todo tipo de problemas si no se mantienen al día. Estas obligaciones externas son el esquema de Notificación de Violación de Datos (NDB), el Proyecto de Ley de Seguridad de Infraestructuras Críticas y el borrador de la Norma Prudencial CPS 234 de APRA. Hay lecciones que aprender de estas tres obligaciones externas. A un nivel simplificado, el esquema NDB aborda la seguridad de los datos de las personas; el Proyecto de Ley de Seguridad de Infraestructuras Críticas aborda la tecnología que respalda nuestras vidas y CPS 234 aborda los procesos y la gobernanza que protegen nuestra riqueza. En resumen, se trata de personas, tecnología y procesos.
En febrero, el esquema NDB se puso en marcha y posteriormente descubrimos que en los primeros tres meses de este año se informaron 63 violaciones elegibles a la Oficina del Comisionado de Privacidad. El propósito del esquema NDB es realmente alentar a las organizaciones a comprender la información de identificación personal que poseen, comprender el impacto que una divulgación no autorizada podría tener en las personas a las que se refiere esa información y tomar decisiones informadas sobre cómo proteger pragmáticamente estos datos. En otras palabras, deben respetar a las personas respetando sus datos.
Australia también cuenta con el recientemente aprobado Proyecto de Ley de Seguridad de Infraestructuras Críticas, que pone un énfasis significativo en que las organizaciones de infraestructuras críticas tengan una visión clara y actualizada de sus activos, así como de quién puede controlarlos, tanto financieramente como electrónicamente. Hay un valor increíble en saber con qué activos estás tratando realmente. Esto es visibilidad en su forma más simple y permite tomar mejores decisiones, aplicar recursos de manera responsable y responder más rápidamente. También es importante poder prever con precisión las interacciones entre los dominios físico y cibernético, por lo que ahora se espera un mayor nivel de madurez en la gestión de activos y un profundo conocimiento de la cadena de suministro.
La tercera obligación externa es el borrador de la Norma Prudencial CPS 234 de APRA. Este documento establece desde el principio que “la junta de una entidad regulada por APRA (la junta) es en última instancia responsable de garantizar que la entidad mantenga la seguridad de la información de sus activos de información de manera proporcional al tamaño y la magnitud de las amenazas a esos activos, y que permita el funcionamiento continuo y sólido de la entidad”. Hay mucho que analizar en esa oración, pero creo que la palabra clave allí es “proporcional”. ¿Quién decide qué es proporcional? No será una entidad regulada en el vacío, y las comparaciones entre organizaciones y sectores jugarán un papel cada vez más importante.
En conclusión, las empresas australianas se enfrentan a un triple desafío en ciberseguridad debido a las nuevas regulaciones que impactan en la seguridad de los datos de las personas, la tecnología que respalda nuestras vidas y los procesos y la gobernanza que protegen nuestra riqueza. Es fundamental que las organizaciones comprendan y cumplan con estas obligaciones externas para evitar problemas y proteger tanto a las personas como a los activos de información.
