Resumen
- El compromiso de SolarWinds Orion fue seguido por la respuesta del gobierno, advertencias a los clientes, litigios de valores y un posterior registro de desestimación que aún dejó la calidad de la evidencia de las declaraciones de seguridad pública como un problema de gobernanza.
- ¿Quién tenía el control práctico sobre las declaraciones de riesgo, la evidencia de seguridad interna, las afirmaciones de remediación pública, las advertencias a los clientes, los informes de la junta y la prueba de que el lenguaje de seguridad coincidía con el registro real de integridad de la publicación?
- El problema de la rendición de cuentas no es solo que se comprometió un sistema de compilación; es si las descripciones de riesgo, las afirmaciones de control y las declaraciones de remediación estaban vinculadas a evidencia verificable en lugar de un lenguaje de confianza.
- Clientes, agencias, inversores, compradores de software, respondedores de incidentes, directores y líderes de seguridad necesitaban un registro que separara las alegaciones, los hallazgos, las afirmaciones de la empresa y la evidencia técnica independiente.
- El artículo mantiene separadas las alegaciones, las afirmaciones de la empresa, los registros regulatorios, los hallazgos técnicos, la postura judicial y las incógnitas residuales para que la rendición de cuentas se base en la evidencia en lugar de la fuerza narrativa.
El lenguaje de riesgo se convirtió en parte de la superficie de control
El lenguaje de riesgo se convirtió en parte de la superficie de control es el lugar correcto para comenzar porque el problema de la rendición de cuentas no es solo que se comprometió un sistema de compilación; es si las descripciones de riesgo, las afirmaciones de control y las declaraciones de remediación estaban vinculadas a evidencia verificable en lugar de un lenguaje de confianza.
El compromiso de SolarWinds Orion fue seguido por la respuesta del gobierno, advertencias a los clientes, litigios de valores y un posterior registro de desestimación que aún dejó la calidad de la evidencia de las declaraciones de seguridad pública como un problema de gobernanza. Por lo tanto, la cuestión pública de rendición de cuentas no es si la organización experimentó un incidente difícil; es si las personas fuera de la sala de control podían ver suficiente evidencia para entender qué cambió, quién controló ese cambio y qué riesgos permanecieron abiertos.
Para SolarWinds North America, Inc., la superficie de control práctica incluía declaraciones de riesgo, evidencia de seguridad interna, alegaciones de la SEC y postura de desestimación, advertencias a los clientes, integridad de la compilación, compromisos de Secure by Design, informes de la junta y prueba de remediación pública. Esas palabras nombran diferentes equipos y diferentes deberes de prueba.
Un equipo de seguridad puede tener registros, un equipo de producto puede tener evidencia de publicación o plataforma, un equipo legal puede controlar el lenguaje de las notificaciones, finanzas puede controlar las estimaciones de pérdidas y los equipos de cara al cliente pueden controlar las explicaciones que las personas afectadas pueden usar realmente. La rendición de cuentas aparece cuando esos fragmentos se unen en un solo registro en lugar de dejarse como memorias institucionales separadas.
Un límite de fuente para esta sección es Mandiant / FireEye, 2020-12-13, informe técnico del respondedor de incidentes (https://cloud.google.com/blog/topics/threat-intelligence/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor/). Es útil para el registro público en torno a las declaraciones de riesgo de seguridad de SolarWinds, el registro de litigios de la SEC y el registro de rendición de cuentas de evidencia de divulgación, pero no puede responder por sí solo a todas las preguntas de control interno, por lo que este artículo lo trata como evidencia para la afirmación que realmente puede respaldar.
El límite importa tanto como el hecho. El artículo trata el registro judicial y de la SEC como postura legal en lugar de como una auditoría forense. Un lector no debería tener que adivinar si una oración proviene de una divulgación de la empresa, un regulador, un tribunal, un cliente, un investigador técnico o un estándar del sector. Cuando el tipo de fuente es explícito, el artículo puede decir con menos dramatismo pero con más precisión: esto es lo que el registro prueba, esto es lo que sugiere y esto es lo que queda sin probar.
La misma disciplina cambia la remediación. Si la única reparación prometida es una garantía amplia, la próxima junta o cliente no puede probarla. Si la reparación está vinculada a evidencia de fuente, como SolarWinds, 2020-12-14, SEC Form 8-K (https://www.sec.gov/Archives/edgar/data/1739942/000162828020017451/swi-20201214.htm) y NSA, 2020-12-17, aviso de ciberseguridad (https://www.nsa.gov/Press-Room/News-Highlights/Article/Article/2451159/nsa-cybersecurity-advisory-malicious-actors-abuse-authentication-mechanisms-to/), entonces se le puede pedir a la organización fechas, alcance, excepciones, resultados de pruebas y dependencias restantes. Esa es la diferencia entre la recuperación reputacional y la recuperación responsable.
El registro de desestimación no certificó el entorno de compilación
El registro de desestimación no certificó el entorno de compilación es el lugar correcto para comenzar porque el problema de la rendición de cuentas no es solo que se comprometió un sistema de compilación; es si las descripciones de riesgo, las afirmaciones de control y las declaraciones de remediación estaban vinculadas a evidencia verificable en lugar de un lenguaje de confianza.
El compromiso de SolarWinds Orion fue seguido por la respuesta del gobierno, advertencias a los clientes, litigios de valores y un posterior registro de desestimación que aún dejó la calidad de la evidencia de las declaraciones de seguridad pública como un problema de gobernanza. Por lo tanto, la cuestión pública de rendición de cuentas no es si la organización experimentó un incidente difícil; es si las personas fuera de la sala de control podían ver suficiente evidencia para entender qué cambió, quién controló ese cambio y qué riesgos permanecieron abiertos.
Para SolarWinds North America, Inc., la superficie de control práctica incluía declaraciones de riesgo, evidencia de seguridad interna, alegaciones de la SEC y postura de desestimación, advertencias a los clientes, integridad de la compilación, compromisos de Secure by Design, informes de la junta y prueba de remediación pública. Esas palabras nombran diferentes equipos y diferentes deberes de prueba.
Un equipo de seguridad puede tener registros, un equipo de producto puede tener evidencia de publicación o plataforma, un equipo legal puede controlar el lenguaje de las notificaciones, finanzas puede controlar las estimaciones de pérdidas y los equipos de cara al cliente pueden controlar las explicaciones que las personas afectadas pueden usar realmente. La rendición de cuentas aparece cuando esos fragmentos se unen en un solo registro en lugar de dejarse como memorias institucionales separadas.
Un límite de fuente para esta sección es Mandiant / FireEye, 2020-12-24, análisis de malware (https://cloud.google.com/blog/topics/threat-intelligence/sunburst-additional-technical-details/). Es útil para el registro público en torno a las declaraciones de riesgo de seguridad de SolarWinds, el registro de litigios de la SEC y el registro de rendición de cuentas de evidencia de divulgación, pero no puede responder por sí solo a todas las preguntas de control interno, por lo que este artículo lo trata como evidencia para la afirmación que realmente puede respaldar.
El límite importa tanto como el hecho. La diferencia importante es entre las versiones afectadas, las instalaciones, los objetivos seleccionados y el compromiso posterior. Un lector no debería tener que adivinar si una oración proviene de una divulgación de la empresa, un regulador, un tribunal, un cliente, un investigador técnico o un estándar del sector. Cuando el tipo de fuente es explícito, el artículo puede decir con menos dramatismo pero con más precisión: esto es lo que el registro prueba, esto es lo que sugiere y esto es lo que queda sin probar.
La misma disciplina cambia la remediación. Si la única reparación prometida es una garantía amplia, la próxima junta o cliente no puede probarla. Si la reparación está vinculada a evidencia de fuente, como SolarWinds, 2021-03-01, Form 10-K (https://www.sec.gov/Archives/edgar/data/1739942/000173994221000043/swi-20201231.htm) y GAO, 2022-01-13, revisión federal (https://www.gao.gov/products/gao-22-104746), entonces se le puede pedir a la organización fechas, alcance, excepciones, resultados de pruebas y dependencias restantes. Esa es la diferencia entre la recuperación reputacional y la recuperación responsable.
Los clientes necesitaban advertencias que coincidieran con la exposición operativa
Los clientes necesitaban advertencias que coincidieran con la exposición operativa es el lugar correcto para comenzar porque el problema de la rendición de cuentas no es solo que se comprometió un sistema de compilación; es si las descripciones de riesgo, las afirmaciones de control y las declaraciones de remediación estaban vinculadas a evidencia verificable en lugar de un lenguaje de confianza.
El compromiso de SolarWinds Orion fue seguido por la respuesta del gobierno, advertencias a los clientes, litigios de valores y un posterior registro de desestimación que aún dejó la calidad de la evidencia de las declaraciones de seguridad pública como un problema de gobernanza. Por lo tanto, la cuestión pública de rendición de cuentas no es si la organización experimentó un incidente difícil; es si las personas fuera de la sala de control podían ver suficiente evidencia para entender qué cambió, quién controló ese cambio y qué riesgos permanecieron abiertos.
Para SolarWinds North America, Inc., la superficie de control práctica incluía declaraciones de riesgo, evidencia de seguridad interna, alegaciones de la SEC y postura de desestimación, advertencias a los clientes, integridad de la compilación, compromisos de Secure by Design, informes de la junta y prueba de remediación pública. Esas palabras nombran diferentes equipos y diferentes deberes de prueba.
Un equipo de seguridad puede tener registros, un equipo de producto puede tener evidencia de publicación o plataforma, un equipo legal puede controlar el lenguaje de las notificaciones, finanzas puede controlar las estimaciones de pérdidas y los equipos de cara al cliente pueden controlar las explicaciones que las personas afectadas pueden usar realmente. La rendición de cuentas aparece cuando esos fragmentos se unen en un solo registro en lugar de dejarse como memorias institucionales separadas.
Un límite de fuente para esta sección es CrowdStrike, 2021-01-11, análisis técnico (https://www.crowdstrike.com/en-us/blog/sunspot-malware-technical-analysis/). Es útil para el registro público en torno a las declaraciones de riesgo de seguridad de SolarWinds, el registro de litigios de la SEC y el registro de rendición de cuentas de evidencia de divulgación, pero no puede responder por sí solo a todas las preguntas de control interno, por lo que este artículo lo trata como evidencia para la afirmación que realmente puede respaldar.
El límite importa tanto como el hecho. Las afirmaciones de desarrollo seguro tienen que estar vinculadas a artefactos que un externo pueda probar o al menos auditar. Un lector no debería tener que adivinar si una oración proviene de una divulgación de la empresa, un regulador, un tribunal, un cliente, un investigador técnico o un estándar del sector. Cuando el tipo de fuente es explícito, el artículo puede decir con menos dramatismo pero con más precisión: esto es lo que el registro prueba, esto es lo que sugiere y esto es lo que queda sin probar.
La misma disciplina cambia la remediación. Si la única reparación prometida es una garantía amplia, la próxima junta o cliente no puede probarla. Si la reparación está vinculada a evidencia de fuente, como CISA, 2020-12-13, alerta gubernamental (https://www.cisa.gov/news-events/alerts/2020/12/13/active-exploitation-solarwinds-software) y GAO, 2021-05-25, testimonio congressional (https://www.gao.gov/products/gao-21-594t), entonces se le puede pedir a la organización fechas, alcance, excepciones, resultados de pruebas y dependencias restantes. Esa es la diferencia entre la recuperación reputacional y la recuperación responsable.
La evidencia interna tenía que sobrevivir al relato legal
La evidencia interna tenía que sobrevivir al relato legal es el lugar correcto para comenzar porque el problema de la rendición de cuentas no es solo que se comprometió un sistema de compilación; es si las descripciones de riesgo, las afirmaciones de control y las declaraciones de remediación estaban vinculadas a evidencia verificable en lugar de un lenguaje de confianza.
El compromiso de SolarWinds Orion fue seguido por la respuesta del gobierno, advertencias a los clientes, litigios de valores y un posterior registro de desestimación que aún dejó la calidad de la evidencia de las declaraciones de seguridad pública como un problema de gobernanza. Por lo tanto, la cuestión pública de rendición de cuentas no es si la organización experimentó un incidente difícil; es si las personas fuera de la sala de control podían ver suficiente evidencia para entender qué cambió, quién controló ese cambio y qué riesgos permanecieron abiertos.
Para SolarWinds North America, Inc., la superficie de control práctica incluía declaraciones de riesgo, evidencia de seguridad interna, alegaciones de la SEC y postura de desestimación, advertencias a los clientes, integridad de la compilación, compromisos de Secure by Design, informes de la junta y prueba de remediación pública. Esas palabras nombran diferentes equipos y diferentes deberes de prueba.
Un equipo de seguridad puede tener registros, un equipo de producto puede tener evidencia de publicación o plataforma, un equipo legal puede controlar el lenguaje de las notificaciones, finanzas puede controlar las estimaciones de pérdidas y los equipos de cara al cliente pueden controlar las explicaciones que las personas afectadas pueden usar realmente. La rendición de cuentas aparece cuando esos fragmentos se unen en un solo registro en lugar de dejarse como memorias institucionales separadas.
Un límite de fuente para esta sección es SolarWinds, 2021-01-11, actualización de la empresa (https://www.solarwinds.com/blog/new-findings-from-our-investigation-of-sunburst). Es útil para el registro público en torno a las declaraciones de riesgo de seguridad de SolarWinds, el registro de litigios de la SEC y el registro de rendición de cuentas de evidencia de divulgación, pero no puede responder por sí solo a todas las preguntas de control interno, por lo que este artículo lo trata como evidencia para la afirmación que realmente puede respaldar.
El límite importa tanto como el hecho. La divulgación de riesgos es útil solo cuando brinda a los lectores suficiente evidencia para comprender la incertidumbre. Un lector no debería tener que adivinar si una oración proviene de una divulgación de la empresa, un regulador, un tribunal, un cliente, un investigador técnico o un estándar del sector. Cuando el tipo de fuente es explícito, el artículo puede decir con menos dramatismo pero con más precisión: esto es lo que el registro prueba, esto es lo que sugiere y esto es lo que queda sin probar.
La misma disciplina cambia la remediación. Si la única reparación prometida es una garantía amplia, la próxima junta o cliente no puede probarla. Si la reparación está vinculada a evidencia de fuente, como CISA, 2020-12-13 en adelante, índice de directivas de emergencia (https://www.cisa.gov/news-events/directives) y Departamento de Justicia de EE. UU., 2021-01-06, declaración de la agencia (https://www.justice.gov/archives/opa/pr/department-justice-statement-solarwinds-update), entonces se le puede pedir a la organización fechas, alcance, excepciones, resultados de pruebas y dependencias restantes. Esa es la diferencia entre la recuperación reputacional y la recuperación responsable.
Los informes de la junta requerían trazabilidad, no eslóganes
Los informes de la junta requerían trazabilidad, no eslóganes es el lugar correcto para comenzar porque el problema de la rendición de cuentas no es solo que se comprometió un sistema de compilación; es si las descripciones de riesgo, las afirmaciones de control y las declaraciones de remediación estaban vinculadas a evidencia verificable en lugar de un lenguaje de confianza.
El compromiso de SolarWinds Orion fue seguido por la respuesta del gobierno, advertencias a los clientes, litigios de valores y un posterior registro de desestimación que aún dejó la calidad de la evidencia de las declaraciones de seguridad pública como un problema de gobernanza. Por lo tanto, la cuestión pública de rendición de cuentas no es si la organización experimentó un incidente difícil; es si las personas fuera de la sala de control podían ver suficiente evidencia para entender qué cambió, quién controló ese cambio y qué riesgos permanecieron abiertos.
Para SolarWinds North America, Inc., la superficie de control práctica incluía declaraciones de riesgo, evidencia de seguridad interna, alegaciones de la SEC y postura de desestimación, advertencias a los clientes, integridad de la compilación, compromisos de Secure by Design, informes de la junta y prueba de remediación pública. Esas palabras nombran diferentes equipos y diferentes deberes de prueba.
Un equipo de seguridad puede tener registros, un equipo de producto puede tener evidencia de publicación o plataforma, un equipo legal puede controlar el lenguaje de las notificaciones, finanzas puede controlar las estimaciones de pérdidas y los equipos de cara al cliente pueden controlar las explicaciones que las personas afectadas pueden usar realmente. La rendición de cuentas aparece cuando esos fragmentos se unen en un solo registro en lugar de dejarse como memorias institucionales separadas.
Un límite de fuente para esta sección es SolarWinds, 2021-05-07, actualización de la empresa (https://www.solarwinds.com/blog/an-investigative-update-of-the-cyberattack). Es útil para el registro público en torno a las declaraciones de riesgo de seguridad de SolarWinds, el registro de litigios de la SEC y el registro de rendición de cuentas de evidencia de divulgación, pero no puede responder por sí solo a todas las preguntas de control interno, por lo que este artículo lo trata como evidencia para la afirmación que realmente puede respaldar.
El límite importa tanto como el hecho. El artículo trata el registro judicial y de la SEC como postura legal en lugar de como una auditoría forense. Un lector no debería tener que adivinar si una oración proviene de una divulgación de la empresa, un regulador, un tribunal, un cliente, un investigador técnico o un estándar del sector. Cuando el tipo de fuente es explícito, el artículo puede decir con menos dramatismo pero con más precisión: esto es lo que el registro prueba, esto es lo que sugiere y esto es lo que queda sin probar.
La misma disciplina cambia la remediación. Si la única reparación prometida es una garantía amplia, la próxima junta o cliente no puede probarla. Si la reparación está vinculada a evidencia de fuente, como CISA, 2021-05-13, guía de recuperación (https://www.cisa.gov/news-events/news/cisa-releases-eviction-guidance-help-organizations-remove-russian-state-sponsored-threats) y FBI, 2021-03-18, testimonio en el Senado (https://www.justice.gov/ola/understanding-and-responding-solar-winds-supply-chain-attack-federal-perspective), entonces se le puede pedir a la organización fechas, alcance, excepciones, resultados de pruebas y dependencias restantes. Esa es la diferencia entre la recuperación reputacional y la recuperación responsable.
La respuesta del gobierno amplió la audiencia de rendición de cuentas
La respuesta del gobierno amplió la audiencia de rendición de cuentas es el lugar correcto para comenzar porque el problema de la rendición de cuentas no es solo que se comprometió un sistema de compilación; es si las descripciones de riesgo, las afirmaciones de control y las declaraciones de remediación estaban vinculadas a evidencia verificable en lugar de un lenguaje de confianza.
El compromiso de SolarWinds Orion fue seguido por la respuesta del gobierno, advertencias a los clientes, litigios de valores y un posterior registro de desestimación que aún dejó la calidad de la evidencia de las declaraciones de seguridad pública como un problema de gobernanza. Por lo tanto, la cuestión pública de rendición de cuentas no es si la organización experimentó un incidente difícil; es si las personas fuera de la sala de control podían ver suficiente evidencia para entender qué cambió, quién controló ese cambio y qué riesgos permanecieron abiertos.
Para SolarWinds North America, Inc., la superficie de control práctica incluía declaraciones de riesgo, evidencia de seguridad interna, alegaciones de la SEC y postura de desestimación, advertencias a los clientes, integridad de la compilación, compromisos de Secure by Design, informes de la junta y prueba de remediación pública. Esas palabras nombran diferentes equipos y diferentes deberes de prueba.
Un equipo de seguridad puede tener registros, un equipo de producto puede tener evidencia de publicación o plataforma, un equipo legal puede controlar el lenguaje de las notificaciones, finanzas puede controlar las estimaciones de pérdidas y los equipos de cara al cliente pueden controlar las explicaciones que las personas afectadas pueden usar realmente. La rendición de cuentas aparece cuando esos fragmentos se unen en un solo registro en lugar de dejarse como memorias institucionales separadas.
Un límite de fuente para esta sección es SolarWinds, 2020-12-14, SEC Form 8-K (https://www.sec.gov/Archives/edgar/data/1739942/000162828020017451/swi-20201214.htm). Es útil para el registro público en torno a las declaraciones de riesgo de seguridad de SolarWinds, el registro de litigios de la SEC y el registro de rendición de cuentas de evidencia de divulgación, pero no puede responder por sí solo a todas las preguntas de control interno, por lo que este artículo lo trata como evidencia para la afirmación que realmente puede respaldar.
El límite importa tanto como el hecho. La diferencia importante es entre las versiones afectadas, las instalaciones, los objetivos seleccionados y el compromiso posterior. Un lector no debería tener que adivinar si una oración proviene de una divulgación de la empresa, un regulador, un tribunal, un cliente, un investigador técnico o un estándar del sector. Cuando el tipo de fuente es explícito, el artículo puede decir con menos dramatismo pero con más precisión: esto es lo que el registro prueba, esto es lo que sugiere y esto es lo que queda sin probar.
La misma disciplina cambia la remediación. Si la única reparación prometida es una garantía amplia, la próxima junta o cliente no puede probarla. Si la reparación está vinculada a evidencia de fuente, como CISA, NSA, FBI, 2021-04-15, atribución y aviso (https://www.cisa.gov/news-events/alerts/2021/04/15/nsa-cisa-fbi-joint-advisory-russian-svr-targeting-us-and-allied) y Comité Selecto de Inteligencia del Senado de EE. UU., 2021-02-23, registro de audiencia (https://www.intelligence.senate.gov/2021/02/18/hearings-open-hearing-hearing-hack-us-networks-foreign-adversary/), entonces se le puede pedir a la organización fechas, alcance, excepciones, resultados de pruebas y dependencias restantes. Esa es la diferencia entre la recuperación reputacional y la recuperación responsable.
La garantía de software pasó de la confianza a la evidencia de artefactos
La garantía de software pasó de la confianza a la evidencia de artefactos es el lugar correcto para comenzar porque el problema de la rendición de cuentas no es solo que se comprometió un sistema de compilación; es si las descripciones de riesgo, las afirmaciones de control y las declaraciones de remediación estaban vinculadas a evidencia verificable en lugar de un lenguaje de confianza.
El compromiso de SolarWinds Orion fue seguido por la respuesta del gobierno, advertencias a los clientes, litigios de valores y un posterior registro de desestimación que aún dejó la calidad de la evidencia de las declaraciones de seguridad pública como un problema de gobernanza. Por lo tanto, la cuestión pública de rendición de cuentas no es si la organización experimentó un incidente difícil; es si las personas fuera de la sala de control podían ver suficiente evidencia para entender qué cambió, quién controló ese cambio y qué riesgos permanecieron abiertos.
Para SolarWinds North America, Inc., la superficie de control práctica incluía declaraciones de riesgo, evidencia de seguridad interna, alegaciones de la SEC y postura de desestimación, advertencias a los clientes, integridad de la compilación, compromisos de Secure by Design, informes de la junta y prueba de remediación pública. Esas palabras nombran diferentes equipos y diferentes deberes de prueba.
Un equipo de seguridad puede tener registros, un equipo de producto puede tener evidencia de publicación o plataforma, un equipo legal puede controlar el lenguaje de las notificaciones, finanzas puede controlar las estimaciones de pérdidas y los equipos de cara al cliente pueden controlar las explicaciones que las personas afectadas pueden usar realmente. La rendición de cuentas aparece cuando esos fragmentos se unen en un solo registro en lugar de dejarse como memorias institucionales separadas.
Un límite de fuente para esta sección es SolarWinds, 2021-03-01, Form 10-K (https://www.sec.gov/Archives/edgar/data/1739942/000173994221000043/swi-20201231.htm). Es útil para el registro público en torno a las declaraciones de riesgo de seguridad de SolarWinds, el registro de litigios de la SEC y el registro de rendición de cuentas de evidencia de divulgación, pero no puede responder por sí solo a todas las preguntas de control interno, por lo que este artículo lo trata como evidencia para la afirmación que realmente puede respaldar.
El límite importa tanto como el hecho. Las afirmaciones de desarrollo seguro tienen que estar vinculadas a artefactos que un externo pueda probar o al menos auditar. Un lector no debería tener que adivinar si una oración proviene de una divulgación de la empresa, un regulador, un tribunal, un cliente, un investigador técnico o un estándar del sector. Cuando el tipo de fuente es explícito, el artículo puede decir con menos dramatismo pero con más precisión: esto es lo que el registro prueba, esto es lo que sugiere y esto es lo que queda sin probar.
La misma disciplina cambia la remediación. Si la única reparación prometida es una garantía amplia, la próxima junta o cliente no puede probarla. Si la reparación está vinculada a evidencia de fuente, como NSA, 2020-12-17, aviso de ciberseguridad (https://www.nsa.gov/Press-Room/News-Highlights/Article/Article/2451159/nsa-cybersecurity-advisory-malicious-actors-abuse-authentication-mechanisms-to/) y Sudhakar Ramakrishna, 2021-02-23, testimonio escrito (https://www.intelligence.senate.gov/wp-content/uploads/2024/08/sites-default-files-documents-os-sramakrishna-022321.pdf), entonces se le puede pedir a la organización fechas, alcance, excepciones, resultados de pruebas y dependencias restantes. Esa es la diferencia entre la recuperación reputacional y la recuperación responsable.
Las afirmaciones públicas necesitaban separación de fuentes
Las afirmaciones públicas necesitaban separación de fuentes es el lugar correcto para comenzar porque el problema de la rendición de cuentas no es solo que se comprometió un sistema de compilación; es si las descripciones de riesgo, las afirmaciones de control y las declaraciones de remediación estaban vinculadas a evidencia verificable en lugar de un lenguaje de confianza.
El compromiso de SolarWinds Orion fue seguido por la respuesta del gobierno, advertencias a los clientes, litigios de valores y un posterior registro de desestimación que aún dejó la calidad de la evidencia de las declaraciones de seguridad pública como un problema de gobernanza. Por lo tanto, la cuestión pública de rendición de cuentas no es si la organización experimentó un incidente difícil; es si las personas fuera de la sala de control podían ver suficiente evidencia para entender qué cambió, quién controló ese cambio y qué riesgos permanecieron abiertos.
Para SolarWinds North America, Inc., la superficie de control práctica incluía declaraciones de riesgo, evidencia de seguridad interna, alegaciones de la SEC y postura de desestimación, advertencias a los clientes, integridad de la compilación, compromisos de Secure by Design, informes de la junta y prueba de remediación pública. Esas palabras nombran diferentes equipos y diferentes deberes de prueba.
Un equipo de seguridad puede tener registros, un equipo de producto puede tener evidencia de publicación o plataforma, un equipo legal puede controlar el lenguaje de las notificaciones, finanzas puede controlar las estimaciones de pérdidas y los equipos de cara al cliente pueden controlar las explicaciones que las personas afectadas pueden usar realmente. La rendición de cuentas aparece cuando esos fragmentos se unen en un solo registro en lugar de dejarse como memorias institucionales separadas.
Un límite de fuente para esta sección es CISA, 2020-12-13, alerta gubernamental (https://www.cisa.gov/news-events/alerts/2020/12/13/active-exploitation-solarwinds-software). Es útil para el registro público en torno a las declaraciones de riesgo de seguridad de SolarWinds, el registro de litigios de la SEC y el registro de rendición de cuentas de evidencia de divulgación, pero no puede responder por sí solo a todas las preguntas de control interno, por lo que este artículo lo trata como evidencia para la afirmación que realmente puede respaldar.
El límite importa tanto como el hecho. La divulgación de riesgos es útil solo cuando brinda a los lectores suficiente evidencia para comprender la incertidumbre. Un lector no debería tener que adivinar si una oración proviene de una divulgación de la empresa, un regulador, un tribunal, un cliente, un investigador técnico o un estándar del sector. Cuando el tipo de fuente es explícito, el artículo puede decir con menos dramatismo pero con más precisión: esto es lo que el registro prueba, esto es lo que sugiere y esto es lo que queda sin probar.
La misma disciplina cambia la remediación. Si la única reparación prometida es una garantía amplia, la próxima junta o cliente no puede probarla. Si la reparación está vinculada a evidencia de fuente, como GAO, 2022-01-13, revisión federal (https://www.gao.gov/products/gao-22-104746) y Mandiant / FireEye, 2020-12-13, informe técnico del respondedor de incidentes (https://cloud.google.com/blog/topics/threat-intelligence/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor/), entonces se le puede pedir a la organización fechas, alcance, excepciones, resultados de pruebas y dependencias restantes. Esa es la diferencia entre la recuperación reputacional y la recuperación responsable.
El expediente del inversor tenía que distinguir las alegaciones de los hechos
El expediente del inversor tenía que distinguir las alegaciones de los hechos es el lugar correcto para comenzar porque el problema de la rendición de cuentas no es solo que se comprometió un sistema de compilación; es si las descripciones de riesgo, las afirmaciones de control y las declaraciones de remediación estaban vinculadas a evidencia verificable en lugar de un lenguaje de confianza.
El compromiso de SolarWinds Orion fue seguido por la respuesta del gobierno, advertencias a los clientes, litigios de valores y un posterior registro de desestimación que aún dejó la calidad de la evidencia de las declaraciones de seguridad pública como un problema de gobernanza. Por lo tanto, la cuestión pública de rendición de cuentas no es si la organización experimentó un incidente difícil; es si las personas fuera de la sala de control podían ver suficiente evidencia para entender qué cambió, quién controló ese cambio y qué riesgos permanecieron abiertos.
Para SolarWinds North America, Inc., la superficie de control práctica incluía declaraciones de riesgo, evidencia de seguridad interna, alegaciones de la SEC y postura de desestimación, advertencias a los clientes, integridad de la compilación, compromisos de Secure by Design, informes de la junta y prueba de remediación pública. Esas palabras nombran diferentes equipos y diferentes deberes de prueba.
Un equipo de seguridad puede tener registros, un equipo de producto puede tener evidencia de publicación o plataforma, un equipo legal puede controlar el lenguaje de las notificaciones, finanzas puede controlar las estimaciones de pérdidas y los equipos de cara al cliente pueden controlar las explicaciones que las personas afectadas pueden usar realmente. La rendición de cuentas aparece cuando esos fragmentos se unen en un solo registro en lugar de dejarse como memorias institucionales separadas.
Un límite de fuente para esta sección es CISA, 2020-12-13 en adelante, índice de directivas de emergencia (https://www.cisa.gov/news-events/directives). Es útil para el registro público en torno a las declaraciones de riesgo de seguridad de SolarWinds, el registro de litigios de la SEC y el registro de rendición de cuentas de evidencia de divulgación, pero no puede responder por sí solo a todas las preguntas de control interno, por lo que este artículo lo trata como evidencia para la afirmación que realmente puede respaldar.
El límite importa tanto como el hecho. El artículo trata el registro judicial y de la SEC como postura legal en lugar de como una auditoría forense. Un lector no debería tener que adivinar si una oración proviene de una divulgación de la empresa, un regulador, un tribunal, un cliente, un investigador técnico o un estándar del sector. Cuando el tipo de fuente es explícito, el artículo puede decir con menos dramatismo pero con más precisión: esto es lo que el registro prueba, esto es lo que sugiere y esto es lo que queda sin probar.
La misma disciplina cambia la remediación. Si la única reparación prometida es una garantía amplia, la próxima junta o cliente no puede probarla. Si la reparación está vinculada a evidencia de fuente, como GAO, 2021-05-25, testimonio congressional (https://www.gao.gov/products/gao-21-594t) y Mandiant / FireEye, 2020-12-24, análisis de malware (https://cloud.google.com/blog/topics/threat-intelligence/sunburst-additional-technical-details/), entonces se le puede pedir a la organización fechas, alcance, excepciones, resultados de pruebas y dependencias restantes. Esa es la diferencia entre la recuperación reputacional y la recuperación responsable.
Un mejor sistema de divulgación preservaría las contradicciones
Un mejor sistema de divulgación preservaría las contradicciones es el lugar correcto para comenzar porque el problema de la rendición de cuentas no es solo que se comprometió un sistema de compilación; es si las descripciones de riesgo, las afirmaciones de control y las declaraciones de remediación estaban vinculadas a evidencia verificable en lugar de un lenguaje de confianza.
El compromiso de SolarWinds Orion fue seguido por la respuesta del gobierno, advertencias a los clientes, litigios de valores y un posterior registro de desestimación que aún dejó la calidad de la evidencia de las declaraciones de seguridad pública como un problema de gobernanza. Por lo tanto, la cuestión pública de rendición de cuentas no es si la organización experimentó un incidente difícil; es si las personas fuera de la sala de control podían ver suficiente evidencia para entender qué cambió, quién controló ese cambio y qué riesgos permanecieron abiertos.
Para SolarWinds North America, Inc., la superficie de control práctica incluía declaraciones de riesgo, evidencia de seguridad interna, alegaciones de la SEC y postura de desestimación, advertencias a los clientes, integridad de la compilación, compromisos de Secure by Design, informes de la junta y prueba de remediación pública. Esas palabras nombran diferentes equipos y diferentes deberes de prueba.
Un equipo de seguridad puede tener registros, un equipo de producto puede tener evidencia de publicación o plataforma, un equipo legal puede controlar el lenguaje de las notificaciones, finanzas puede controlar las estimaciones de pérdidas y los equipos de cara al cliente pueden controlar las explicaciones que las personas afectadas pueden usar realmente. La rendición de cuentas aparece cuando esos fragmentos se unen en un solo registro en lugar de dejarse como memorias institucionales separadas.
Un límite de fuente para esta sección es CISA, 2021-05-13, guía de recuperación (https://www.cisa.gov/news-events/news/cisa-releases-eviction-guidance-help-organizations-remove-russian-state-sponsored-threats). Es útil para el registro público en torno a las declaraciones de riesgo de seguridad de SolarWinds, el registro de litigios de la SEC y el registro de rendición de cuentas de evidencia de divulgación, pero no puede responder por sí solo a todas las preguntas de control interno, por lo que este artículo lo trata como evidencia para la afirmación que realmente puede respaldar.
El límite importa tanto como el hecho. La diferencia importante es entre las versiones afectadas, las instalaciones, los objetivos seleccionados y el compromiso posterior. Un lector no debería tener que adivinar si una oración proviene de una divulgación de la empresa, un regulador, un tribunal, un cliente, un investigador técnico o un estándar del sector. Cuando el tipo de fuente es explícito, el artículo puede decir con menos dramatismo pero con más precisión: esto es lo que el registro prueba, esto es lo que sugiere y esto es lo que queda sin probar.
La misma disciplina cambia la remediación. Si la única reparación prometida es una garantía amplia, la próxima junta o cliente no puede probarla. Si la reparación está vinculada a evidencia de fuente, como Departamento de Justicia de EE. UU., 2021-01-06, declaración de la agencia (https://www.justice.gov/archives/opa/pr/department-justice-statement-solarwinds-update) y CrowdStrike, 2021-01-11, análisis técnico (https://www.crowdstrike.com/en-us/blog/sunspot-malware-technical-analysis/), entonces se le puede pedir a la organización fechas, alcance, excepciones, resultados de pruebas y dependencias restantes. Esa es la diferencia entre la recuperación reputacional y la recuperación responsable.
Las incógnitas residuales definen la próxima revisión
Las incógnitas residuales definen la próxima revisión es el lugar correcto para comenzar porque el problema de la rendición de cuentas no es solo que se comprometió un sistema de compilación; es si las descripciones de riesgo, las afirmaciones de control y las declaraciones de remediación estaban vinculadas a evidencia verificable en lugar de un lenguaje de confianza.
El compromiso de SolarWinds Orion fue seguido por la respuesta del gobierno, advertencias a los clientes, litigios de valores y un posterior registro de desestimación que aún dejó la calidad de la evidencia de las declaraciones de seguridad pública como un problema de gobernanza. Por lo tanto, la cuestión pública de rendición de cuentas no es si la organización experimentó un incidente difícil; es si las personas fuera de la sala de control podían ver suficiente evidencia para entender qué cambió, quién controló ese cambio y qué riesgos permanecieron abiertos.
Para SolarWinds North America, Inc., la superficie de control práctica incluía declaraciones de riesgo, evidencia de seguridad interna, alegaciones de la SEC y postura de desestimación, advertencias a los clientes, integridad de la compilación, compromisos de Secure by Design, informes de la junta y prueba de remediación pública. Esas palabras nombran diferentes equipos y diferentes deberes de prueba.
Un equipo de seguridad puede tener registros, un equipo de producto puede tener evidencia de publicación o plataforma, un equipo legal puede controlar el lenguaje de las notificaciones, finanzas puede controlar las estimaciones de pérdidas y los equipos de cara al cliente pueden controlar las explicaciones que las personas afectadas pueden usar realmente. La rendición de cuentas aparece cuando esos fragmentos se unen en un solo registro en lugar de dejarse como memorias institucionales separadas.
Un límite de fuente para esta sección es CISA, NSA, FBI, 2021-04-15, atribución y aviso (https://www.cisa.gov/news-events/alerts/2021/04/15/nsa-cisa-fbi-joint-advisory-russian-svr-targeting-us-and-allied). Es útil para el registro público en torno a las declaraciones de riesgo de seguridad de SolarWinds, el registro de litigios de la SEC y el registro de rendición de cuentas de evidencia de divulgación, pero no puede responder por sí solo a todas las preguntas de control interno, por lo que este artículo lo trata como evidencia para la afirmación que realmente puede respaldar.
El límite importa tanto como el hecho. Las afirmaciones de desarrollo seguro tienen que estar vinculadas a artefactos que un externo pueda probar o al menos auditar. Un lector no debería tener que adivinar si una oración proviene de una divulgación de la empresa, un regulador, un tribunal, un cliente, un investigador técnico o un estándar del sector. Cuando el tipo de fuente es explícito, el artículo puede decir con menos dramatismo pero con más precisión: esto es lo que el registro prueba, esto es lo que sugiere y esto es lo que queda sin probar.
La misma disciplina cambia la remediación. Si la única reparación prometida es una garantía amplia, la próxima junta o cliente no puede probarla. Si la reparación está vinculada a evidencia de fuente, como FBI, 2021-03-18, testimonio en el Senado (https://www.justice.gov/ola/understanding-and-responding-solar-winds-supply-chain-attack-federal-perspective) y SolarWinds, 2021-01-11, actualización de la empresa (https://www.solarwinds.com/blog/new-findings-from-our-investigation-of-sunburst), entonces se le puede pedir a la organización fechas, alcance, excepciones, resultados de pruebas y dependencias restantes. Esa es la diferencia entre la recuperación reputacional y la recuperación responsable.
El registro responsable es un mapa de evidencia
El registro responsable es un mapa de evidencia es el lugar correcto para comenzar porque el problema de la rendición de cuentas no es solo que se comprometió un sistema de compilación; es si las descripciones de riesgo, las afirmaciones de control y las declaraciones de remediación estaban vinculadas a evidencia verificable en lugar de un lenguaje de confianza. El compromiso de SolarWinds Orion fue seguido por la respuesta del gobierno, advertencias a los clientes, litigios de valores y un posterior registro de desestimación que aún dejó la calidad de la evidencia de las declaraciones de seguridad pública como un problema de gobernanza.
Por lo tanto, la cuestión pública de rendición de cuentas no es si la organización experimentó un incidente difícil; es si las personas fuera de la sala de control podían ver suficiente evidencia para entender qué cambió, quién controló ese cambio y qué riesgos permanecieron abiertos.
Para SolarWinds North America, Inc., la superficie de control práctica incluía declaraciones de riesgo, evidencia de seguridad interna, alegaciones de la SEC y postura de desestimación, advertencias a los clientes, integridad de la compilación, compromisos de Secure by Design, informes de la junta y prueba de remediación pública. Esas palabras nombran diferentes equipos y diferentes deberes de prueba.
Un equipo de seguridad puede tener registros, un equipo de producto puede tener evidencia de publicación o plataforma, un equipo legal puede controlar el lenguaje de las notificaciones, finanzas puede controlar las estimaciones de pérdidas y los equipos de cara al cliente pueden controlar las explicaciones que las personas afectadas pueden usar realmente. La rendición de cuentas aparece cuando esos fragmentos se unen en un solo registro en lugar de dejarse como memorias institucionales separadas.
Un límite de fuente para esta sección es NSA, 2020-12-17, aviso de ciberseguridad (https://www.nsa.gov/Press-Room/News-Highlights/Article/Article/2451159/nsa-cybersecurity-advisory-malicious-actors-abuse-authentication-mechanisms-to/). Es útil para el registro público en torno a las declaraciones de riesgo de seguridad de SolarWinds, el registro de litigios de la SEC y el registro de rendición de cuentas de evidencia de divulgación, pero no puede responder por sí solo a todas las preguntas de control interno, por lo que este artículo lo trata como evidencia para la afirmación que realmente puede respaldar.
El límite importa tanto como el hecho. La divulgación de riesgos es útil solo cuando brinda a los lectores suficiente evidencia para comprender la incertidumbre. Un lector no debería tener que adivinar si una oración proviene de una divulgación de la empresa, un regulador, un tribunal, un cliente, un investigador técnico o un estándar del sector. Cuando el tipo de fuente es explícito, el artículo puede decir con menos dramatismo pero con más precisión: esto es lo que el registro prueba, esto es lo que sugiere y esto es lo que queda sin probar.
La misma disciplina cambia la remediación. Si la única reparación prometida es una garantía amplia, la próxima junta o cliente no puede probarla. Si la reparación está vinculada a evidencia de fuente, como Comité Selecto de Inteligencia del Senado de EE. UU., 2021-02-23, registro de audiencia (https://www.intelligence.senate.gov/2021/02/18/hearings-open-hearing-hearing-hack-us-networks-foreign-adversary/) y SolarWinds, 2021-05-07, actualización de la empresa (https://www.solarwinds.com/blog/an-investigative-update-of-the-cyberattack), entonces se le puede pedir a la organización fechas, alcance, excepciones, resultados de pruebas y dependencias restantes. Esa es la diferencia entre la recuperación reputacional y la recuperación responsable.
Expediente de evidencia para el lector
El artículo utiliza las siguientes fuentes públicas como archivo de lectura para las declaraciones de riesgo de seguridad de SolarWinds y el registro de evidencia de divulgación. Cada fuente se trata con límites: las declaraciones de la empresa prueban lo que la empresa dijo o informó, los registros judiciales prueban la postura legal, los registros regulatorios prueban la acción oficial o la alegación, las publicaciones técnicas prueban la mecánica observada dentro de su alcance y los documentos de estándares proporcionan puntos de referencia de control en lugar de hallazgos retroactivos.
- Mandiant / FireEye, 2020-12-13, informe técnico del respondedor de incidentes:https://cloud.google.com/blog/topics/threat-intelligence/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor/
- Mandiant / FireEye, 2020-12-24, análisis de malware:https://cloud.google.com/blog/topics/threat-intelligence/sunburst-additional-technical-details/
- CrowdStrike, 2021-01-11, análisis técnico:https://www.crowdstrike.com/en-us/blog/sunspot-malware-technical-analysis/
- SolarWinds, 2021-01-11, actualización de la empresa:https://www.solarwinds.com/blog/new-findings-from-our-investigation-of-sunburst
- SolarWinds, 2021-05-07, actualización de la empresa:https://www.solarwinds.com/blog/an-investigative-update-of-the-cyberattack
- SolarWinds, 2020-12-14, SEC Form 8-K:https://www.sec.gov/Archives/edgar/data/1739942/000162828020017451/swi-20201214.htm
- SolarWinds, 2021-03-01, Form 10-K:https://www.sec.gov/Archives/edgar/data/1739942/000173994221000043/swi-20201231.htm
- CISA, 2020-12-13, alerta gubernamental:https://www.cisa.gov/news-events/alerts/2020/12/13/active-exploitation-solarwinds-software
- CISA, 2020-12-13 en adelante, índice de directivas de emergencia:https://www.cisa.gov/news-events/directives
- CISA, 2021-05-13, guía de recuperación:https://www.cisa.gov/news-events/news/cisa-releases-eviction-guidance-help-organizations-remove-russian-state-sponsored-threats
- CISA, NSA, FBI, 2021-04-15, atribución y aviso:https://www.cisa.gov/news-events/alerts/2021/04/15/nsa-cisa-fbi-joint-advisory-russian-svr-targeting-us-and-allied
- NSA, 2020-12-17, aviso de ciberseguridad:https://www.nsa.gov/Press-Room/News-Highlights/Article/Article/2451159/nsa-cybersecurity-advisory-malicious-actors-abuse-authentication-mechanisms-to/
- GAO, 2022-01-13, revisión federal:https://www.gao.gov/products/gao-22-104746
- GAO, 2021-05-25, testimonio congressional:https://www.gao.gov/products/gao-21-594t
- Departamento de Justicia de EE. UU., 2021-01-06, declaración de la agencia:https://www.justice.gov/archives/opa/pr/department-justice-statement-solarwinds-update
- FBI, 2021-03-18, testimonio en el Senado:https://www.justice.gov/ola/understanding-and-responding-solar-winds-supply-chain-attack-federal-perspective
Este expediente de evidencia es deliberadamente más amplio que un solo aviso de violación porque las declaraciones de riesgo de seguridad de SolarWinds, el registro de litigios de la SEC y el registro de rendición de cuentas de evidencia de divulgación afectaron a más de una audiencia. El registro público debe respaldar a los clientes que necesitan acción práctica, a los gerentes que necesitan un plan de reparación, a los reguladores que necesitan alcance y a los lectores que necesitan saber qué afirmaciones siguen siendo inciertas.
Preguntas para la revisión de la junta
El archivo de revisión debe nombrar al propietario práctico de cada decisión, la fecha en que se tomó la decisión, la evidencia utilizada y la audiencia que dependía de ella. Sin esa estructura, el mismo incidente puede ser relatado más tarde como un problema técnico, una disputa legal, un problema de servicio al cliente o un problema financiero sin una base estable para decidir qué relato es completo.
Un registro de rendición de cuentas útil también preserva la incertidumbre. Debe decir lo que se sabe a partir de las declaraciones de la empresa, lo que se sabe a partir de los registros gubernamentales o judiciales, lo que se sabe a partir de los respondedores de incidentes externos y lo que queda inferido. Esa separación protege a los lectores de una falsa precisión y protege a la organización de tratar la confianza temprana como prueba.
El control importante no es una respuesta heroica después del hecho. Es la capacidad de mostrar, mientras el evento aún está en movimiento, qué evidencia cambiaría una decisión. Si un aviso al cliente, un informe de la junta, un reclamo de seguro o una actualización regulatoria fueran diferentes después de una revisión de registros más, esa dependencia debería ser visible en el registro.
Para este caso específico, una revisión de la junta debe preguntar quién tenía el control práctico sobre las declaraciones de riesgo, la evidencia de seguridad interna, las afirmaciones de remediación pública, las advertencias a los clientes, los informes de la junta y la prueba de que el lenguaje de seguridad coincidía con el registro real de integridad de la publicación. La respuesta no debe ser solo una narrativa. Debe incluir evidencia fechada, propietarios nombrados, audiencias afectadas, compromisos de cara al cliente y una lista de hechos que la organización aún no podía probar cuando se creó el registro público.

