Responsabilidad de la junta directiva ante el riesgo de ciberseguridad. Recomendaciones.

En 2022 se alcanzó una cantidad récord de ataques cibernéticos. Hubo un incremento especialmente notable de aquellos basados en la obtención de credenciales de miembros de las plantillas, instalación de malware, phishing, smishing o denegación de servicio. Cabe destacar el interés que tienen los delincuentes por atacar a los empleados y su derivada de riesgo hacia la cadena de suministro. Este enfoque goza de gran éxito entre los amigos de lo ajeno, pues tiene mucho éxito (ROI) y es muy seguro para ellos.

Algunas de las empresas más grandes y conocidas del mundo fueron víctimas de ciberincidentes. Efectivamente, nadie está a salvo: Apple, Cisco, Meta, Samsung, Twitter y Uber, entre otras. Pero conviene no olvidar que también particulares y pymes son igualmente objetivo de ataques.

Por si fuera poco, los ciberataques se han vuelto cada vez más sofisticados y, a menudo, causan un daño inmenso a las empresas y los gobiernos de todo el mundo. En mayo de 2022, por ejemplo, el Gobierno de Costa Rica se vio obligado a declarar el estado de emergencia después de que un grupo criminal atacara a sus instituciones con un ransomware.

Las empresas sufren consecuencias significativas no solo por las brechas de información en sí, sino también por los litigios que a menudo se derivan de ellas. Por ilustrarlo con un ejemplo, el año pasado T-Mobile resolvió una demanda colectiva luego de una brecha de datos por 350 millones.

Los organismos gubernamentales y reguladores también han tomado nota del problema y están generando presiones para que las empresas respondan de manera efectiva a los incidentes de ciberseguridad. Entre dichas presiones destaca la imposición de fuertes multas en los casos en los que no demuestran la debida diligencia en la prevención de los mismos. Las juntas directivas de todo el mundo están en el punto de mira y se enfrentan a reclamaciones de accionistas, como es el caso, cada vez más habitual, en los EE. UU.
La causa principal es el presunto incumplimiento de los deberes de supervisión de la ciberseguridad de la dirección.

Según decisión firme de la corte estadounidense, los directivos pueden enfrentar responsabilidad personal por no prevenir daños, particularmente en circunstancias que involucren falta de diligencia o conocimiento de una situación de prestación deliberada de un bajo grado de cumplimiento (mala fe). La mala fe puede establecerse en base a alegaciones de que la junta ‘falló por completo’ en implementar sistemas de control o informes, o falta de supervisión o supervisión inadecuada de la ciberseguridad.

En un conocido caso, los demandantes entablaron una demanda tras producirse una brecha de seguridad de datos en Marriott International Inc., que expuso la información personal de hasta 500 millones de huéspedes de la cadena de hoteles. Los demandantes acusaban a la dirección por «no cumplir por completo con sus responsabilidades de supervisión, hacer la vista gorda ante violaciones de cumplimiento conocidas o conscientemente no remediar la falla de seguridad cibernética».

Contrasta aquí la estrategia de empresas del sector que están verdaderamente concienciadas y muestran ser altamente diligentes en trabajar todos los frentes de su amplia superficie de exposición.

Existen multitud de casos que demuestran la necesidad de que las empresas y sus directivos se mantengan alerta con respecto al riesgo de seguridad cibernética. Las decisiones subrayan ciertas «malas prácticas» que se deben evitar, incluida la falla de los comités con responsabilidades de supervisión de ciberseguridad para reportar periódicamente, para considerar adecuadamente las advertencias de la industria y para llevar a cabo la debida diligencia de seguridad cibernética apropiada al adquirir una empresa.

La ciberseguridad debe ser un riesgo considerado "Crítico" que las empresas y las juntas directivas deben administrar y supervisar de manera efectiva.

En las demandas se alegan violaciones del “derecho positivo” al referirse a los estándares de la industria promulgados por los organismos reguladores y los requisitos legales asociados.

A medida que más empresas estén sujetas a leyes y reglamentos que rigen las prácticas de ciberseguridad, las demandas se centrarán en alegaciones por incumplimiento de esos requisitos. Las reglas que se están proponiendo impondrían nuevos requisitos de seguridad cibernética a las empresas, incluidos informes periódicos sobre políticas y procedimientos para identificar y gestionar los riesgos de seguridad cibernética, el papel y la experiencia de la gerencia en la evaluación y gestión del riesgo de ciberseguridad, así como la implementación de políticas y procedimientos de seguridad.

La organización debe asegurarse de que la junta, o los comités designados con responsabilidades en seguridad cibernética, reciban los informes de gestión apropiados. Esos informes deben abordar, como mínimo: riesgos externos, ciberseguridad en relación con la cadena de suministro, el plan para implementar las protecciones adecuadas contra las ciberintrusiones, riesgos internos, programas de ciberseguridad y cobertura de ciberseguro, procedimientos y capacitación/concienciación relacionadas con la ciberseguridad.

Dada la proliferación de ciberataques altamente sofisticados y los recientes casos judiciales, que abordan los deberes de supervisión de la seguridad cibernética de una junta, las empresas deben permanecer enfocadas en el riesgo de ciberseguridad.

Al adoptar las medidas comentadas, se colocarán en la mejor posición para evaluar y hacer seguimiento adecuadamente de los problemas de seguridad cibernética y limitar la exposición legal y regulatoria asociada.

Actualización sobre la normativa NIST2 relativa a la Supervisión y rendición de cuentas del consejo de administración.

Por primera vez, NIS2 impone específicamente una obligación a los órganos de gestión, incluidos los (incluidos los miembros de C-Suite) para implementar y cumplir con medidas de seguridad reforzadas y alude a las posibles consecuencias de no hacerlo.

Según indica el diario oficial de la Unión Europea, «Los Estados miembros garantizarán que cualquier persona física responsable de una entidad esencial o que actúe como representante de ella con facultades para representarla, la autoridad para tomar decisiones en su nombre o la autoridad para ejercer control sobre ella tenga competencias para velar por que cumpla la presente Directiva. Los Estados miembros velarán por que dichas personas físicas puedan considerarse responsables por el incumplimiento de su deber de garantizar el cumplimiento de la presente Directiva.»

En este sentido desde Kymatio destacamos la necesidad de abordar:

(89).. «adoptar una gran variedad de prácticas básicas de ciberhigiene, como los principios de confianza cero, las actualizaciones de software, la configuración de dispositivos, la segmentación de la red, la gestión de la identidad y el acceso o la concienciación de los usuarios, y han de organizar formaciones para su personal y sensibilizar sobre las ciberamenazas. la captación ilegítima de datos confidenciales o las técnicas de ingeniería social.»