En los últimos años las filtraciones de datos en algunas de las corporaciones más grandes del mundo han hecho noticias. Pero las empresas más pequeñas son igualmente vulnerables y deben tomar pasos para proteger sus datos. Además, los negocios que sirven como proveedores a otros negocios enfrentan un mayor escrutinio de sus ciber preparaciones. El directorio desempeña un rol crítico en este esfuerzo, como explicó Jo Cicchetti, Presidenta del Grupo de Trabajo sobre la Privacidad de Datos y la Ciberseguridad de Carlton Fields durante una conversación reciente.
¿Por qué la ciberseguridad es una preocupación para el directorio?
La principal responsabilidad del Directorio es proteger los activos y intereses de la empresa en nombre de los accionistas y los ciber riesgos plantean amenazas serias para las operaciones del negocio y la reputación del negocio. Por lo tanto, el directorio debe tomar en cuenta los riesgos de la ciberseguridad como parte de sus deberes en la gestión de riesgos de la empresa.
¿Se puede describir los riesgos planteados por una filtración?
Si ocurre lo peor, la empresa podría sostener pérdidas financieras y de negocios, daños a su infraestructura y reputación. Los clientes, socios comerciales y reguladores podrían presentar acciones legales. Podría haber demandas colectivas de los clientes y el directorio podría enfrentar juicios derivados de accionistas, alegando que los directores no cumplieron su deber de cuidado y/o deber de lealtad a la corporación. Eso es sin mencionar las acciones de ejecución reglamentaria que podrían tomarse. Así, hay mucho en juego.
¿Qué debe saber el directorio sobre la ciberseguridad?
Los miembros del directorio no están encargados a hacerse especialistas en TI; no tienen la responsabilidad de la gestión día a día del tema. Pero el directorio necesita saber que se están manejando debidamente los ciber riesgos, que la empresa está tomando pasos para preparar para algún ciber ataque, que pide detectar ciber intrusiones y cuando ocurren, puede responder adecuadamente. Debe asegurarse que la administración tiene un plan de respuesta a incidentes. El directorio debe preguntar a sus gerentes, como el director legal, el director de privacidad y el director de seguridad informática preguntas específicas tales como: ¿Cómo se está administrando la seguridad de datos en la empresa? ¿Tenemos programas de seguridad de información por escrito (WISPs por sus siglas en inglés)? ¿Cuáles son las amenazas particulares para el negocio de la empresa? ¿Cuál marco de seguridad ocupa la empresa? ¿Cuáles son los riesgos para evitar, aceptar o mitigar y cuál es el plan relacionado a cada uno? ¿Cómo se están capacitando a los empleados? ¿Cómo administramos a nuestros proveedores? ¿Qué plan esta implementado para responder en caso de una filtración y quien esta encargo de ese plan? Esas son solo algunas de las preguntas, pero lo importante es que cada departamento de la empresa: legal, TI, RR.HH. y operaciones necesitan comunicar y trabajar en conjunto. No puede haber una mentalidad de silos.
¿Qué tan activo debe ser el rol del directorio con respecto a la ciberseguridad?
Los miembros del directorio deben tomar un rol regular y activo para asegurar que la gerencia reporte a ellos regularmente los temas de ciberseguridad y gobierno de datos. El tema debe aparecer en las agendas para sus reuniones trimestrales y alguien de TI o de la oficina del asesor legal general debe hacer un informe acerca de lo que ha pasado en el último trimestre. ¿Ha habido incidentes o eventos y como han manejado las situaciones que pudieran haber surgido? También se debe discutir el cumplimiento de los proveedores, así como cualesquiera amenazas que se producen del acceso por clientes y partes terceras a los sistemas informáticos de la empresa y como tratarlas. Además, el directorio necesita saber que los profesionales correctos están disponibles para asesorar a la empresa.
¿Quiénes son los profesionales correctos?
Una empresa necesita acceso a expertos en la tecnología, expertos forenses y asesoría legal acerca de la privacidad. No necesariamente tienen que formar parte del personal pero deben estar identificados y retenidos en caso que alguna vez se requieran sus servicios. Todos tienen que estar preparados y listos para actuar si se desarrolle un problema. También hay que tener un asesor legal externo incorporado. Las primeras 24 horas son críticas. Retener un profesional de relaciones públicas también es una buena idea.
¿De qué otra manera puede el directorio prevenir filtraciones de datos?
El directorio no puede prevenir filtraciones de datos, pero hay mucho que se puede hacer y el directorio necesita saber que se han tomado los pasos correctos. Por ejemplo, programas de capacitación de empleados son críticos porque muchas veces situaciones de filtración de datos surgen producto de errores o mala conducta de los empleados. Debe haber un protocolo o plan para incidentes y también es importante la diligencia debida y la supervisión de los proveedores. Proteger contra amenazas requiere una metodología multidisciplinaria que involucra el director legal, el director de seguridad informática y recursos humanos, todos trabajando en conjunto. Y los miembros del directorio necesitan hacer las preguntas correctas a estas personas, que podrían incluir: ¿Cuáles marcos de seguridad estamos usando? ¿Cuáles activos de la empresa son las ‘joyas de la corona’ que necesitan protegerse? ¿Cuáles son las implicancias legales de los incidentes de ciberseguridad y como los evitamos? ¿Cuáles riesgos debemos aceptar? ¿Contratamos seguros? ¿Cómo se están capacitando nuestros empleados? ¿Qué tipo de pruebas tenemos?
¿Qué rol debe desempeñar el seguro contra ciber riesgos dentro del plan general de la empresa?
En este momento el seguro contra ciber riesgos es un área en evolución. Es muy caro y no elimina la necesidad de una empresa de tener un plan de seguridad de datos y la debida implementación. La compañía de seguros que garantiza la póliza va a querer saber que la empresa está tomando los pasos correctos antes de asegurar el riesgo. Al final, si una empresa no ha hecho lo que indicó a la compañía de seguros que iba a hacer, su cobertura podría ponerse en peligro.
¿Qué impacto tienen las leyes de los estados acerca de las filtraciones en la estrategia de una empresa para las filtraciones de datos?
Hay un mosaico de 50 leyes de los estados. El departamento legal de una empresa debe entender lo requerimientos legales en cada uno de los 50 estados. Normalmente las empresas resuelven según la jurisdicción más difícil, establecimiento procedimientos que cumplen los requerimientos más rigurosos en lo posible. El proceso se complica más por el hecho que los estados también se difieren en como definen una filtración. Y las leyes cambian constantemente. Para empresas sin grandes recursos legales internos, los expertos externos, tales como abogados de privacidad y consultores de tecnología son críticos.
¿Hay alguna manera de eliminar el riesgo?
No hay una manera en que alguien, incluso una organización con todo el dinero y tiempo en el mundo, puede prevenir ataques 100 por ciento del tiempo. Incluso la Agencia de Seguridad Nacional (NSA por sus siglas en inglés) con sus recursos ilimitados, fue víctima de hackers. Las empresas solamente tienen que asegurarse que están tomando pasos razonables para tratar los riesgos y seguir informándose. Este es un área en que es muy importante mantener a la par con los vecinos.