La buena noticia que nos trae Yahoo

yahoo_logo_detailYahoo acaba de reconocer el robo de información relativa a más de 1000 millones de cuentas de sus clientes… en 2013. Sí, hace 3 años.

Ante esta situación caben diferentes interpretaciones: o bien a raíz del análisis del incidente que sufrieron en 2014 del que informaron en el mes de septiembre han extendido el análisis forense de lo ocurrido hacia atrás y han descubierto que en 2013 habían sufrido el robo de información más grande sufrido nunca por una única compañía, o bien ya lo sabían y han decidido informar de ello ahora antes de que la noticia trascendiera por otra fuente. Incluso se me ocurre una tercera posibilidad (y a lo mejor a alguno de ustedes incluso se le ocurre una cuarta): que haya sido una filtración malintencionada ahora que Verizon está formalizando una oferta de compra por Yahoo.

Si fuera cierta la primera opción, la situación pondría encima de la mesa que Yahoo no estaba monitorizando adecuadamente la seguridad de toda su infraestructura TI, pues habían tenido un incidente de un impacto altísimo y ni siquiera se habían enterado, lo que habla bastante mal de cómo la compañía estaba gestionando la seguridad de la información de sus clientes.

Si fuera cierta la segunda, indicaría que sí monitorizaban la seguridad de su infraestructura y habían detectado el incidente de seguridad. Pero casi sería peor, porque por los motivos que fuera habían decidido ocultarlo a la opinión pública y, lo que es más grave, a sus clientes. De poco sirve que ahora, 3 años después, les recomienden cambiar sus claves de acceso.

No entraré a valorar la tercera posibilidad.

En cualquier caso, esta noticia pone el foco en un tema que está “en el candelabro” últimamente, y que sin ir más lejos fue el tema central en una de las mesas redondas que se han desarrollado en las X jornadas STIC CCN-CERT que se han celebrado esta semana en Madrid organizadas por el CNI, y en las que por cierto S2 Grupo ha tenido un papel protagonista del que me siento muy orgulloso. Y el tema es el de la comunicación de los incidentes de seguridad por parte de las compañías. En la mesa redonda participaban diferentes actores que intervienen en la coordinación a nivel nacional de la ciberseguridad como son el CCN, el CNPIC, la Agencia Española de Protección de Datos y el Ministerio de Energía, Turismo y Agenda Digital, responsable éste último de la coordinación de la trasposición de la directiva NIS a la legislación española.

Y es que tanto la LPIC, como el ENS (tras las modificaciones que han modificado a su ámbito de aplicación), como el Reglamento General de Protección de Datos o como la propia Directiva NIS establecen entre otras obligaciones la de comunicar de manera diligente a las autoridades competentes en cada caso cualquier incidente de seguridad que tenga un impacto relevante sobre los servicios que prestan o sobre la información que manejan.

Y para que una compañía esté en condiciones de comunicar diligentemente un incidente tiene que ser capaz de saber lo que está ocurriendo “en tiempo real” en cualquiera de sus sedes y dependencias, y teniendo en cuenta los diferentes contextos que regulan las figuras legales citadas, podemos estar hablando de un ciberincidente, de un incidente físico, de una fuga de datos personales, o de la posible comisión de un delito dentro de su organización, lo que enlaza también con la necesidad que la reforma del Código Penal trasladó el año pasado de implantar sistemas de control interno que permitan detectar cualquier hecho irregular que esté ocurriendo en una compañía.

Vamos, que 2017 va a ser un año muy interesante y muy movido por diferentes motivos en nuestro sector. Hemos empezado por una mala noticia desde el punto de vista de la seguridad, y hemos terminado en una buena para los que nos dedicamos a esto. Hay que ser positivos ;)

Ver también en:

Comments

  1. Pues si que gestionan a tiempo las brechas de seguridad, aunque espero que con el RGPD esto se acabe y se gestione de forma profesional y tomándose más en serio la seguridad y los peligros que tienen los ciberdelitos.

  2. Las empresas americanas se pasan el RGPD por al Golden Gate. No en vano el Privacy Shield es la misma castaña que ya era el Safe Harbour,

    Y para las empresas patrias, no verán estos ojos una sanción económica del 4% de la facturación anual. Los estados hace tiempo que se bajaron los pantalones ante la gran empresa.