Responsabilidad del Consejo en Relación al Riesgo Cibernético

Hemos descrito en qué consiste una buena gobernanza del riesgo cibernético, datos y tecnología de información. En esta segunda parte nos referimos a la preocupación de las autoridades –qué esperan de los consejos en cuanto a seguridad-, así como a las acciones legales que pueden afectar a los miembros del Consejo. Como en España se ha regulado la responsabilidad de las empresas y del propio Consejo de administración, y la responsabilidad cibernética es un riesgo real, resulta necesario concretar cómo puede afectar al Consejo y cuáles son las obligaciones del mismo.

Lo que sigue hay que entenderlo adaptado a la dimensión de la empresa; en empresas de gran tamaño, el Consejo tratará con los directivos responsables de cibernética y seguridad; en otras, lo hará con empleados que lleven a cabo estas funciones, directamente; y en caso de estar subcontratado el servicio, se buscará la forma en que el Consejo pueda cerciorarse de que los procesos implementados sobre estos temas son adecuados.

Como decíamos en la parte primera, estas cuestiones están muy desarrolladas en Estados Unidos. Para dar una idea del alcance que tiene, el riesgo cibernético de las empresas lo miran el Departamento de Justicia, el Departamento de Seguridad Nacional, la Comisión del Mercado de Valores (SEC), la Autoridad de Regulación de la Industria Financiera, y el Fiscal General, entre otros. Consideran que las amenazas a determinadas empresas pueden afectar a la seguridad nacional.

El origen de la palabra cibernético viene del griego “kyberman” de la que deriva la palabra “gobierno”; es, pues, etimológicamente la forma más precisa de gobierno de una entidad o empresa.

  1. Obligaciones y riesgos de los miembros del Consejo
  • En el ámbito empresarial, el término ciberseguridad se refiere a salvaguardas técnicas, físicas, administrativas y de organización que la empresa implementa para proteger información personal, secretos comerciales, propiedad intelectual, redes, activos e infraestructura. Estas salvaguardas se relacionan con los intereses de los accionistas, clientes, y con los intereses públicos sobre seguridad y el buen funcionamiento de la economía.
  • La responsabilidad del Consejo es de “riesgo de supervisión”, ya que no gestiona los riesgos de ciberseguridad. El Consejo supervisa el sistema corporativo que asegura que la gestión se realiza efectiva y adecuadamente.
  • Las reclamaciones individualizadas contra consejeros se han ido extendiendo en Estados Unidos. Lo comentamos porque lo que ocurre en Estados Unidos acaba pasando también en Europa, aunque hay una exagerada judicialización de prácticamente cualquier asunto corporativo. Sin embargo, hay fuertes iniciativas legales en Europa como la reciente sobre protección de datos.
  • Las demandas contra Consejos de administración se suelen basar en:
    – Que no se implementa ni se sigue adecuadamente el programa de ciberseguridad.
    – Falta de atención a la protección de activos clave; descuido respecto a posibles riesgos de ciberataques; falta de reacción ante alertas.
    -Mala implementación y mantenimiento de controles internos para proteger a consumidores o a la información de que se dispone.
    – Cuando ha ocurrido un evento, mala comunicación advirtiendo a los posibles perjudicados que la seguridad informática ha fallado, y las posibles consecuencias de ello.
    – Permitir que la empresa proporcione información falsa a través de sus sistemas, que pueda confundir a los clientes.
  • Las asesorías jurídicas de las empresas tratan de proteger a los consejeros de acciones legales por los motivos anteriores. Entre las cuestiones que se plantean están:
    – Si hay cláusulas de no responsabilidad en la documentación sobre gobernanza. Esta es una cuestión que depende de los tribunales, y fundamentalmente de que haya unos procesos y unos medios que muestren la voluntad de control por los Consejos, y que no haya dejación de responsabilidades por los consejeros.
    – Sobre la publicidad, cuando se produce un evento que afecta a la seguridad informática, hay diversidad de opiniones. Si tiene consecuencias sobre clientes la opinión más frecuente es que hay que comunicarlo. Este tema es muy delicado, y conviene reflexionar sobre él y tener unos criterios.
    – Es necesaria una implicación cuidadosamente planeada de los consejeros en la supervisión de la ciberseguridad, para protegerse frente a demandas personales por perjuicios que se pudieran producir.
    – Lo anterior se consigue mediante procesos internos que sirvan como evidencia de la diligencia del Consejo en supervisar en profundidad el sistema cibernético de la empresa.
  • Entre las formas operativas con las que puede justificar el Consejo su interés, están:
    – Dedicar reuniones y tiempo a presentaciones por parte de las personas responsables de ciberseguridad, y discutirlas, llegando a conclusiones que muestren que el consejo comprende el alcance de estos riesgos.
    – Conducir a los empleados a la implementación del plan de ciberseguridad, identificando responsabilidades.
    – Seguir la efectividad de dicho plan a través de controles internos y/o externos.
    – Asignar recursos adecuados para evitar riesgos y, en su caso, remediar incidencias.
    – Las reflexiones y discusiones del Consejo o comité al respecto deben documentarse y un resumen de las mismas debe quedar como evidencia de la diligencia puesta por el Consejo en el tema.

Lo anterior vale también cuando el servicio está subcontratado, y puede ampliarse como sigue:

  1. Conocimiento por parte del Consejo
  • En empresas donde la dimensión así lo justifique, los consejeros deberían tener contacto con el responsable de seguridad informática, pues aunque depende del director de informática, tiene una visión más cercana al riesgo que se quiere evitar. También puede programarse en el Consejo alguna reunión con expertos externos sobre el tema que conozcan la situación de la empresa en cuanto a seguridad informática.
  • El Consejo puede tratar estos temas de manera más detallada dentro de uno de los comités, quizás el de riesgos. El comité de auditoría está demasiado cargado para añadirle otra nueva función; pero quizás una vez al año podría dar una opinión al comité del Consejo donde se trata esta cuestión. También el consejo puede plantearse, entre los criterios para renovar a sus miembros, que un consejero tenga conocimientos específicos sobre la tecnología actual que afecta a la ciberseguridad.
  • Los directivos y responsables deberían utilizar estructuras de análisis de riesgos específicas, para establecer y medir la posición del banco. El National Institute for Standards and Technology tiene una guía titulada: “Framework for Improving Critical Infrastructure Cybersecurity” que nos da una idea de en qué puede consistir esta estructura.
  • No estaría de más una sesión formativa en la que el Consejo entrara en profundidad en la ciberseguridad. Podría ser una única sesión bien programada que permitiera una inmersión en el tema, y debería ser muy práctica, sobre el caso concreto de la empresa de que se trate.

  1. Plan de implementación, seguimiento y recursos
  • Se trata de pasar de la idea que tiene el Consejo sobre seguridad, concretada en un plan, a implantarlo, alineando las decisiones del Consejo con la ejecución por los directivos a los que corresponda llevarlo a cabo. Entre las cuestiones a incluir en el plan están:
  • Informes con una apreciación de cómo están los sistemas y redes de la empresa.
  • Promover el celo de los empleados sobre el riesgo de seguridad, en las acciones de formación. Aunque se apunta a veces la conveniencia de incentivos por celo en el cumplimiento, no lo vemos así, y debería quedar lo más claro posible lo que se quiere por parte del Consejo, y esperar que se cumpla. La prevención de un daño en la ciberseguridad va más allá de la formación pues puede ocurrir por distracción y falta de cuidado, o mala voluntad del empleado. Extendiendo algo más este argumento, podemos decir que el comportamiento humano es tan importante como las tecnologías de seguridad para defenderse contra una amenaza cibernética. Construir una cultura de vigilancia es uno de los elementos principales de la seguridad.
  • Dedicar atención a los riesgos de externos, ya que se han dado casos significativos de daños en sistemas realizados desde los sistemas de proveedores. Vendedores, clientes, proveedores, socios, filiales, están dentro del perímetro de la ciberseguridad.
  • Tener preparado un plan de respuesta ante posibles incidentes, haciendo ejercicios de simulación.
  • El seguimiento del plan de gestión del ciber-riesgo, que abarca a toda la empresa, tiene una parte de tarea del Consejo y otra de los directivos –o empleados en caso de empresas de menor dimensión- , ya que los controles internos es algo que tienen que manejar los que gestionan directamente el riesgo cibernético. La relación entre Consejo y ejecutivos se detalla en nuestra nota anterior. Tendrán que hacer pruebas y certificar y validar que se cumple, pues el Consejo no puede llegar a este grado de control. Estas cuestiones se refieren no sólo a medidas de salvaguarda, sino a si se cumplen tiempos programados de implantar una aplicación, y de respuesta ante posibles caídas en los sistemas.
  • La asignación de recursos para ciberseguridad debe hacerse con una información completa sobre probabilidades de riesgos. Esta cuestión es difícil y requiere un equilibrio entre evitar un coste excesivo, y una dotación suficiente que no pueda dar lugar a responsabilidades por no haber dotado adecuadamente de recursos a la organización para una seguridad efectiva. La calidad y resistencia al fraude de los sistemas precisa un buen diseño, apropiado a nuestras necesidades, y las nuevas amenazas no tienen que venir necesariamente escaladas con un coste en los sistemas de protección.
  1. Las métricas de riesgo cibernético

Un trabajo inicial sobre gobernanza y responsabilidad del Consejo consiste en revisar la posición e ideas del Consejo respecto a cómo perciben los riesgos cibernéticos en su entidad.

Una guía sobre este tema podría seguir seis pasos: Determinar la situación de riesgos; acuerdo en el Consejo sobre el enfoque de supervisión sobre tecnología de información; identificar los asuntos más relevantes para la empresa; pasar de iniciativas a una supervisión efectiva; darle un enfoque de gestión del riesgo; y adoptar un proceso continuo y medir los resultados.

Es frecuente someter un cuestionario a los consejeros,  preguntándoles sobre seguridad de los datos, aplicaciones en servicios centrales, privacidad de la información, redes sociales, servicio de nube y alquileres de software, y la manera en que se aborda el proceso de negocio. En nuestra opinión las preguntas no deberían ser demasiado concretas o específicas  para que pueda responderlas un consejero; ni, por otra parte, condicionar la opinión dando por válidas estrategias que pueden no tener aplicación para una empresa en concreto. Por otra parte no se debería caer en formular preguntas demasiado generales que se contesten  con un sí o un no. Parece más adecuado identificar previamente los riesgos probables y definir cuál es la situación de la empresa, como una explicación necesaria al Consejo; y luego ir tocando cuestiones concretas.

Sobre cómo medir el riesgo cibernético hay distintas parcelas. En cuanto a infraestructura, la métrica ha de establecerse en porcentajes y números, por ejemplo de operaciones cubiertas en tiempo real por un monitor y un sistema de alerta; o incidencias registradas en distintas áreas. También, el acceso y la vulnerabilidad de los sistemas de la empresa a un tercero con quién se trabaja en aplicaciones móviles. Las métricas pueden ser de porcentaje de empleados con formación en políticas y prácticas relacionadas con estas aplicaciones; o el porcentaje de datos que van vía móvil protegidos por una tecnología de encriptamiento. En “big data” las métricas son de analítica de datos, y cómo esta analítica impacta en la estrategia de la empresa.

La importancia de las redes sociales puede medirse por número de seguidores, actividad, y también cuantificando la publicidad negativa, o el porcentaje de empleados con conocimientos sobre estas redes.

  1. Ideas adicionales como conclusión
  • Nuestra conclusión es que los consejeros deben asumir que la ciberseguridad es un riesgo que puede afectar a prácticamente cualquier aspecto de la empresa; por tanto, el enfoque debe estar basado en los principios sobre los que trabaja el Consejo: gobernanza, riesgo, cumplimiento. Los miembros del Consejo necesitan ciertos conocimientos de cuáles son esos riesgos y cómo pueden gestionarse. Y, por último, a iniciativa del Consejo, los directivos de la empresa –o los empleados correspondientes para empresas más pequeñas- deben gestionar el riesgo cibernético dentro de una estructura de gestión y unos procesos establecidos y supervisados por el Consejo.
  • Nos inclinaríamos a prestar más atención a la forma de medir la efectividad de la ciberseguridad, que a la formalidad del cumplimiento normativo en este ámbito. La efectividad debe medirse en relación a las características de la empresa, sistemas y negocio.
  • En los desarrollos recientes de estos temas se apunta a que el Consejo no debe enfocar solamente la prevención de un evento en la ciberseguridad, sino tener un protocolo de actuación en caso de que ocurra. Se habla de “ciber defensa” y de “ciber resiliencia” o capacidad para mitigar los efectos de un daño en los sistemas.
  • Esa combinación de prevención y resiliencia se logra a través de tres líneas. Una, enfocada a los propios sistemas informáticos y su diseño para evitar una disrupción masiva en los mismos. Otra, hacia los procesos operativos que soportan el negocio y las relaciones de la empresa. Y la tercera, la ya mencionada, de la cultura de vigilancia por parte del personal.

 

Globalfinaz te permite calcular el precio de un seguro de riesgos ciberneticos de forma online en el siguiente enlace. https://www.responsabilidadconsejerosydirectivos.com/calcular-seguro-riesgos-ciberneticos/. El Seguro de riesgos ciberneticos esta diseñado para responder antes las diferentes modalidades de ciberriesgos no cubiertos por los seguros tradicionales de responsabilidad civil y daños propios.

Si eres administrador, consejero o directivo de tu empresa, necesitas proteger tu patrimonio personal.

No importa el tamaño de tu empresa

Grande, mediana o pequeña, con 5 o 100 trabajadores, familiar, con uno o varios socios o que cotice en bolsa.

No importa el tipo de sociedad

Sociedad anónima, sociedad limitada, SLU, CB, cooperativa, asociación, ONG, colegio profesional…

Porque a veces cosas inesperadas ocurren, aunque tú lo hagas todo bien.

Calcula ahora el coste de tu seguro

Este campo es requerido.
Este campo requiere nueve números.
Este campo requiere un correo válido.
Este campo es requerido.
Este campo es requerido.
Acepto la nota legal y RGPD
Por favor, lee y acepta el aviso legal y RGPD.

Recibe nuestros artículos en tu correo

  • No enviamos nunca SPAM
  • No daremos tu correo a nadie
  • No recibirás publicidad de ningún tipo
  • Solo recibirás las noticias que se publiquen aquí

Nombre *

Email *