La perspectiva del CISO Parte 1

El universo en expansión del CISO.
La perspectiva del CISO Parte 1

Navegar por la responsabilidad y el riesgo en un mundo de grandes ataques

La denuncia de la SEC contra SolarWinds y su CISO, junto con el veredicto de Uber de 2022, ha encendido una tormenta de discusión en torno a la evolución del papel del CISO y su creciente responsabilidad. Hoy en día, los CISO ya no están confinados a las trincheras técnicas, sino que son el centro de atención, navegando por un complejo panorama de mayor escrutinio, responsabilidades ampliadas y responsabilidad personal potencial. A continuación, se presentan algunas conclusiones a considerar respecto de ejecutivos de alto nivel en los momentos más difíciles.

Flechas

El caso SolarWinds: Un paradigma

El incidente de SolarWinds en USA, en el que un sofisticado ataque a la cadena de suministro se infiltró en el software de la empresa y afectó a numerosas agencias gubernamentales y empresas de Fortune 500, puso de manifiesto las deficiencias de los enfoques tradicionales de ciberseguridad. La denuncia de la SEC, que alegaba que el CISO Tim Brown y SolarWinds minimizaron deliberadamente los riesgos cibernéticos e inflaron su postura de seguridad, marcó un cambio significativo en el panorama jurídico. Este caso envió un mensaje claro: Los CISOS no solo son responsables de aplicar medidas de seguridad sólidas, sino también de ser transparentes sobre los riesgos cibernéticos y proactivos en su mitigación.

Teclado3x2

El veredicto de Uber

Con el creciente escrutinio y la ampliación del alcance de su función, los CISO se enfrentan a una posible responsabilidad personal por deficiencias de ciberseguridad. Los juristas sostienen que el veredicto de Uber y el caso SolarWinds podrían allanar el camino para un aumento de las demandas contra los CISO, tanto por parte de reguladores como de demandantes privados. Esto requiere una mayor conciencia de las obligaciones legales y las posibles consecuencias de la inacción o la negligencia.

Flechas11x2

Navegar por el laberinto de la mayor responsabilidad

Con el creciente escrutinio y la ampliación del alcance de su función, los CISO se enfrentan a una posible responsabilidad personal por deficiencias de ciberseguridad. Los juristas sostienen que el veredicto de Uber y el caso SolarWinds podrían allanar el camino para un aumento de las demandas contra los CISO, tanto por parte de reguladores como de demandantes privados.

Esto requiere una mayor conciencia de las obligaciones legales y las posibles consecuencias de la inacción o la negligencia.

Caballo2x2

De experto en tecnología a líder estratégico

Para adaptarse a este panorama en evolución, los CISO deben despojarse de la piel de expertos puramente técnicos y adoptar el papel de líderes estratégicos. Estas son algunas de las principales áreas de interés para el futuro CISO:

  • Gestión de riesgos: Los CISO deben evolucionar más allá de los controles técnicos y aplicar un marco integral de gestión de riesgos que identifique, evalúe y mitigue las amenazas a la ciberseguridad en todo el ecosistema, incluidas las relaciones con terceros.
  • Comprender su posición corporativa: Los días de jugar simplemente el papel de un experto en seguridad han terminado, y como tal, es imperativo que el nuevo CISO entienda que sus decisiones y acciones podrían tener ramificaciones legales significativas. Por lo tanto, la relación entre el CISO y el Consejo General se está convirtiendo en primordial y prestar más atención a esta sinergia solo beneficiará al CISO, así como a la resistencia legal y ética de la organización.
  • Defender la seguridad integrada: Los días de los programas de seguridad aislados han terminado. Los CISO deben defender la integración de la seguridad en todos los aspectos de la empresa, desde el desarrollo de productos hasta la gestión de la cadena de suministro. Para ello es necesaria la colaboración entre departamentos y una mentalidad de “la seguridad es lo primero" dentro de la organización.
  • Crear una cultura de transparencia: El caso de SolarWinds ha puesto de relieve la importancia de transparencia. Los CISOS deben fomentar un entorno en el que se promueva la comunicación abierta sobre los riesgos cibernéticos y en el que la información se comparta fácilmente con todas las partes interesadas, incluidos los consejos de administración.
  • Adoptar el aprendizaje continuo: El panorama de la ciberseguridad es dinámico y evoluciona constantemente con la aparición de nuevas amenazas y vulnerabilidades. Los CISO deben comprometerse con el aprendizaje continuo y la actualización de su base de conocimientos para mantenerse a la vanguardia y garantizar que sus organizaciones sigan siendo resistentes.

El papel del CISO se está transformando. Ya no se centran únicamente en las medidas técnicas, ahora se espera que los CISOS sean líderes estratégicos, expertos en gestión de riesgos y comunicadores eficaces. Ante el aumento del escrutinio y la responsabilidad potencial que se avecina, los CISO deben adoptar este panorama en evolución adoptando un enfoque holístico de la ciberseguridad, fomentando la transparencia, manteniendo una línea de comunicación clara y sin restricciones con el CEO, el Consejo General y la alta dirección, y permaneciendo ágiles frente a las amenazas en constante cambio. El futuro de la seguridad de las organizaciones descansa en gran medida (si no totalmente) sobre sus hombros, y su éxito será decisivo para sortear los retos y aprovechar las oportunidades de la era digital.

Nuevos requisitos de divulgación sobre ciberseguridad de la SEC: 2023 y más allá

En julio de 2023, la Securities and Exchange Commission (SEC) sacudió el panorama financiero y jurídico (USA) con su innovador mandato para que las empresas públicas revelaran los incidentes de ciberseguridad y las estrategias de gestión de riesgos. Esta medida histórica tenía como objetivo proporcionar a los inversores información crucial sobre las vulnerabilidades cibernéticas y los posibles impactos financieros, marcando un paso significativo hacia la transparencia en la era digital. Sin embargo, a medida que nos adentramos en 2024, abundan las preguntas sobre el futuro de estos requisitos y su impacto evolutivo tanto en las empresas como en los inversores y su expansión a otras geografías.

Group_119x2

2023: Navegando por la ola inicial

La fase inicial de esta nueva normativa, que entró en vigor el 18 de diciembre de 2023, se centró en dos aspectos clave:

  • Notificación de incidentes materiales de ciberseguridad: Las empresas deben revelar cualquier incidente considerado “material”. Esto incluye detalles sobre la naturaleza, el alcance, el momento y el posible impacto financiero del incidente.
  • Información anual sobre la gestión de riesgos de ciberseguridad: Dentro de los informes anuales, las empresas deben proporcionar información completa sobre sus estrategias de gestión de riesgos de ciberseguridad, prácticas de gobierno y metodologías de evaluación de riesgos.
Group_1110x2

Predecir el camino a seguir: 2024 y más allá

A medida que las empresas se sientan cómodas con los nuevos requisitos y los inversores ajusten sus expectativas, se espera que 2024 sea testigo de varias tendencias interesantes:

  1. Afinar el criterio de “materialidad”: Con las presentaciones iniciales en curso, la SEC podría publicar nuevas orientaciones o normas para aclarar la definición de incidente “material”. Esto proporcionará una mayor seguridad a las empresas a la hora de determinar cuándo es necesaria la divulgación.
  2. Profundizar en la respuesta a incidentes: Se espera que los inversores vayan más allá de los informes iniciales de incidentes, exigiendo información sobre la eficacia de la respuesta, los esfuerzos de reparación y las consecuencias a largo plazo. Las empresas tendrán que demostrar su preparación y capacidad de recuperación.
  3. La gobernanza y el liderazgo en el punto de mira: La implicación del Consejo de Administración en la ciberseguridad, la experiencia del CISO, la supervisión del Consejo General y la cultura de la ciberseguridad ocuparán probablemente un lugar central. Los inversores buscarán pruebas de un fuerte liderazgo y compromiso con la ciberresiliencia.
  4. Divulgación de datos y evaluación comparativa: Es probable que las empresas aprovechen la automatización y el análisis de datos para mejorar la detección de incidentes, la evaluación de riesgos y la preparación de la información. Podrían surgir comparaciones y mejores prácticas específicas del sector, lo que daría lugar a una información más adaptada y pertinente para los inversores.
  5. Ciberseguro y asignación de recursos: El papel de los seguros cibernéticos en la mitigación de riesgos y la respuesta podría recibir una mayor atención en las revelaciones. Además, los inversores podrían buscar información sobre cómo asignan las empresas los recursos para gestionar eficazmente los riesgos cibernéticos.
Group_118x2

Más allá del horizonte. Panorama normativo y colaboración mundial

2024 también puede ser testigo:

  • Posible reglamentación adicional de los Reguladores: La SEC, por ejemplo, podría afinar aspectos específicos de los requisitos, abordando áreas como la gestión de riesgos de proveedores externos o el tratamiento de datos sensibles.
  • Aumento del riesgo de litigios: Las empresas pueden enfrentarse a un aumento de los desafíos legales por una supuesta divulgación inadecuada o una mala gestión de los riesgos cibernéticos.
  • Esfuerzos de armonización global: La colaboración internacional para armonizar los requisitos de divulgación de información sobre ciberseguridad entre jurisdicciones podría cobrar impulso.

Los requisitos de divulgación sobre ciberseguridad son un paso crucial para aumentar la transparencia y la rendición de cuentas frente a las ciberamenazas en constante evolución. A medida que avanzamos hacia 2024, es probable que estos requisitos evolucionen, impulsados por la demanda de los inversores, los avances tecnológicos y la evolución de la normativa. Las empresas (tanto públicas como privadas) que adopten una gestión proactiva de los riesgos y den prioridad a una divulgación clara e informativa estarán bien posicionadas para navegar por este panorama dinámico y fomentar la confianza de los inversores en la era digital.

Nuevas tendencias en la gestión de riesgos de terceros

En el panorama en rápida evolución de la ciberseguridad, las organizaciones se enfrentan a multitud de retos a la hora de salvaguardar sus activos digitales. A medida que las empresas dependen cada vez más de proveedores externos para diversos servicios, la importancia de una Gestión de Riesgos de Terceros (GRTP) eficaz nunca ha sido tan crítica. Estas son algunas de las tendencias que esperamos ver y que deberían tenerse en cuenta a la hora de desarrollar estrategias y metodologías en torno a la GTRP.

  1. Mayor complejidad en los ecosistemas de proveedores: A medida que las organizaciones amplían sus operaciones, aumenta la complejidad de la gestión de ecosistemas de proveedores diversos y extensos. Asistiremos a un aumento de la demanda de servicios integrales de GTPR dirigidos a abordar la complejidad de las cadenas de suministro interconectadas y a garantizar una defensa sólida frente a las ciberamenazas en evolución.
  2. El cumplimiento de la normativa ocupa un lugar central: Con el panorama mundial de la protección de datos y las normas de privacidad cada vez más estrictas, las empresas de ciberseguridad desempeñarán un papel fundamental en ayudar a las organizaciones en la aplicación del cumplimiento dentro de sus redes de proveedores. Se espera un aumento de la demanda de servicios que evalúen y garanticen la adhesión de terceros a los marcos normativos, reduciendo el riesgo de consecuencias legales y financieras.
  3. Integración tecnológica para la eficiencia: La automatización y las tecnologías avanzadas están a punto de revolucionar la GTPR. Las empresas de ciberseguridad aprovecharán el poder de la inteligencia artificial y el aprendizaje automático para mejorar la eficiencia de las evaluaciones de riesgos, los procesos de supervisión y la planificación de la respuesta ante incidentes. La integración de soluciones de vanguardia permitirá la detección de amenazas y la respuesta en tiempo real, mitigando los riesgos antes de que se agraven.
  4. Planificación de la resistencia y la respuesta a incidentes: En respuesta a un panorama de amenazas en constante evolución, la GTPR se centrará no solo en la evaluación de 2024 riesgos, sino también en la creación de capacidades de resistencia y respuesta eficaz ante incidentes. Esperamos que se desarrollen y prueben planes de respuesta a incidentes aún más sólidos, que garanticen una respuesta ágil y coordinada a las ciberamenazas.
  5. Consideraciones sobre diversidad e inclusión de proveedores: Más allá de los riesgos de ciberseguridad, las organizaciones son cada vez más conscientes del impacto más amplio de sus proveedores en las operaciones comerciales y la reputación. Veremos cómo las organizaciones adaptan sus metodologías de seguridad y privacidad de datos para evaluar no solo los riesgos técnicos, sino también factores como la diversidad y la inclusión de los proveedores, en consonancia con sus objetivos más amplios de ASG. Como tales, las empresas de ciberseguridad deberán tener en cuenta estos factores a la hora de abordar las necesidades de la organización.
  6. Supervisión continua e intercambio de información sobre amenazas: Las medidas proactivas serán primordiales en la supervisión eficaz y continua de los proveedores externos por parte de una organización. Esto implica no solo evaluar la postura de riesgo actual, sino también anticiparse a las amenazas emergentes mediante el intercambio eficaz de inteligencia sobre amenazas dentro de las industrias.
  7. Iniciativas educativas para una mano de obra resistente: Reconociendo el papel de los factores humanos en los incidentes de ciberseguridad, es probable que las organizaciones tengan que implantar una educación más sólida y programas de formación. Estas iniciativas abarcarán cursos de concienciación, ejercicios de phishing simulado y mejores prácticas para una colaboración segura, fortaleciendo tanto a la organización cliente como a sus proveedores contra la ingeniería social y el error humano.

En conclusión, las tendencias en la gestión de riesgos de terceros son dinámicas y están estrechamente alineadas con la evolución del panorama de las amenazas. Las empresas de ciberseguridad seguirán desempeñando un papel fundamental a la hora de guiar a las organizaciones hacia un futuro en el que la resistencia, el cumplimiento y la innovación Tecnológica están a la vanguardia de las estrategias eficaces de GTPR. A medida que el ámbito digital continúa expandiéndose, la colaboración entre las organizaciones y los expertos en ciberseguridad se vuelve integral para navegar por el complejo y siempre cambiante terreno de la ciberseguridad.

Descargo de responsabilidad

Este artículo proporciona información general y no constituye asesoramiento jurídico. Para obtener orientación jurídica específica, consulte a profesionales del Derecho cualificados.

loader
Cargando...