La Comisión de Bolsa y Valores de Estados Unidos (SEC) ha presentado una demanda contra SolarWinds y su Jefe de Seguridad de la Información (CISO), Timothy Brown, por supuestamente engañar a inversores y al público en relación con la divulgación de riesgos de seguridad.
La SEC ha acusado a la organización y a su CISO de exagerar las medidas de ciberseguridad de la empresa y de minimizar o no mencionar las amenazas reconocidas durante uno de los ataques más notorios que sufrió SolarWinds.
¿Qué significa esto para las empresas y los CISOs en todo el mundo?
La demanda de la SEC contra Timothy Brown seguramente generará preocupaciones entre los CISOs en todo el mundo. Preguntas sobre las responsabilidades personales inherentes al cargo de CISO, que ya fueron tema de debate con la condena del CISO de Uber, Joe Sullivan, el año pasado, seguramente resurgirán. Los CISOs en todo el mundo probablemente están reconsiderando sus estrategias de respuesta a la ciberseguridad en este momento y se preguntan cómo equilibrar los objetivos de negocio con las acciones estratégicas de seguridad.
Esto nos lleva de vuelta al aspecto más fundamental de la preparación y el liderazgo en ciberseguridad sobre el que siempre insistimos en Cyber Management Alliance: la respuesta y preparación ante incidentes.
En el panorama actual de amenazas, es imposible escapar de los ataques. Y si eres desafortunado, un ataque del tamaño de SolarWinds puede desequilibrarte en algún momento de tu carrera.
La conclusión obvia de la acción de la SEC será un compromiso significativamente mayor entre las juntas directivas y los CISOs en todas partes. Es casi seguro que los equipos ejecutivos de grandes organizaciones priorizarán una revisión de su postura de ciberseguridad y riesgos.
Sin embargo, la necesidad del momento es establecer marcos robustos de riesgo empresarial que puedan ayudar a evaluar eficaz y objetivamente las ciberamenazas y riesgos. Y luego actuar con base en el conocimiento de estos riesgos con suficiente preparación y entrenamiento.
Recomendaciones inmediatas
- Respuesta a incidentes cibernéticos: Un plan eficaz de respuesta a incidentes cibernéticos asegura que estés preparado para gestionar de manera rápida y eficiente las brechas o ataques. También demuestra el compromiso de tu organización con la ciberseguridad, fomentando la confianza entre las partes interesadas y los clientes. Sin tal planificación, permaneces vulnerable, arriesgando potencialmente la continuidad operativa y la confianza de las partes interesadas.
- Participación de la junta directiva: La acción de la SEC contra SolarWinds ha dejado claro que la seguridad ya no puede verse de forma aislada. No es solo un problema de CISO, incluso si la mayor parte de la carga recae sobre los hombros individuales del CISO. La Junta Directiva, el equipo de gestión sénior y los equipos ejecutivos tienen que involucrarse en la seguridad a un nivel completamente nuevo.
- Valoración del riesgo, evaluación e implementación de controles: La evaluación de riesgos de ciberseguridad es un componente esencial de tu postura de seguridad de la información. Solo a través de una evaluación sistemática de posibles amenazas y vulnerabilidades, obtendrás una visión correcta de los posibles riesgos que enfrentan tus activos y operaciones.
Para las pequeñas y medianas empresas en España, este caso resalta la importancia de una gestión transparente y proactiva de los riesgos de ciberseguridad. Demuestra la necesidad de contar con planes de respuesta ante incidentes bien desarrollados y la participación activa de la dirección de la empresa en la comprensión y el tratamiento de las cuestiones de seguridad informática, lo cual es vital para proteger no solo los datos y la infraestructura tecnológica de la empresa, sino también su reputación y viabilidad a largo plazo.