Más allá de las políticas de ciberseguridad ante riesgos cibernéticos

"16:30h de un viernes, el fin de semana está a punto de comenzar, algunos cabos sueltos que atar antes de desconectarse y luego tiempo para relajarse después de una semana intensa de reuniones de la junta directiva y decisiones difíciles. Ley de Murphy, justo cuando quiero hacer algo rápido, el ordenador se bloquea. Después de esperar un rato y algunos clics del ratón, el ordenador no responde. Apagarlo y dejarlo hasta el lunes por la mañana parece la opción sensata. Sin embargo, en la pantalla de mi móvil aparece la cara del Director de IT, no recuerdo que me hubiera llamado directamente nunca antes, y menos un viernes por la tarde. Los siguientes 30 segundos me golpearon como un mazo, los sistemas de IT se han visto comprometidos y se exige el pago de un rescate para poder recuperar el acceso”.

Tal escenario y el temor al mismo están aumentando de forma muy rápida. No cabe duda de que el fin de semana de nuestro director ficticio fue de todo, menos relajante. Las pólizas ciber ofrecen servicios de primera respuesta para controlar la crisis y recuperar el acceso, lo que puede incluir el nombramiento de expertos forenses en IT, negociadores expertos en rescates, expertos en relaciones públicas y abogados. Aunque el ataque cibernético real puede resolverse con éxito, queremos a explorar la repercusión que puede llegar a tener en las pólizas de D&O.

Hoy en día existe una aceptación general de que los incidentes cibernéticos son un riesgo empresarial cotidiano. En muchos casos, ha habido un cambio de mentalidad pasando de preguntarnos "¿y si nos afecta un ataque cibernético?" a “¿cuándo nos afectará un ciberataque?”

Nuestro pensamiento inicial con respecto a la exposición a reclamaciones puede ser que es la empresa la que enfrenta el riesgo de las personas afectadas por la violación de datos, ya sean consumidores, proveedores o clientes, y el riesgo de las autoridades reguladoras por incumplimientos de las obligaciones en materia de protección de datos.

No obstante, aplicando argumentos procesales surgidos en los últimos años en EE. UU., no escapa la posibilidad de que la responsabilidad personal de los Consejeros y Directivos (D&O) pronto tenga relevancia ante los tribunales españoles como consecuencia de un ciberataque, si los accionistas consideran que los D&O han causado un perjuicio a la sociedad por sus actos u omisiones.

La Ley de Sociedades de Capital impone a las D&O un deber de diligencia, así como la obligación de adoptar las medidas necesarias para la buena gestión y control de la sociedad. La ley también determina que los D&O son responsables ante la sociedad y los accionistas por actos u omisiones contrarios a la ley, los estatutos o los deberes inherentes de un D&O.

Como ya hemos dicho, los ciberataques son cada vez más previsibles. Dado el posible daño financiero y de reputación derivado de un ataque, la planificación de la prevención y la mitigación debe ser una prioridad de los Comités de Dirección y no dejarse exclusivamente en manos del departamento de IT. Se podría argumentar que la falta de planificación o la planificación insuficiente contra los riesgos cibernéticos a nivel directivo constituye una violación del deber de diligencia inherente de D&O y da lugar a potenciales reclamaciones de los accionistas contra los D&O.

La historia en los EE. UU. muestra que las acciones colectivas de accionistas contra los D&O han enfrentado obstáculos ante los tribunales, pero los notorios acuerdos alcanzados en las reclamaciones contra Yahoo y Equifax destacan que los D&O son un objetivo de los demandantes en relación con incidentes cibernéticos. Las declaraciones falsas y engañosas con respecto a las medidas de seguridad y la divulgación tardía de violaciones de datos constituyeron algunos de los argumentos presentados contra las referidas empresas y sus D&O.

Mitigar el riesgo de las aseguradoras

Un ataque cibernético en sí mismo no es una indicación de que una empresa haya fallado en sus procedimientos de ciberseguridad. El crimen organizado siempre va un paso por delante y desarrolla nuevas técnicas para perpetrar sus actos. Además, ser víctima de un ciberataque suele ser el resultado de un error humano que permite a los atacantes acceder a los sistemas, un error que no se puede atribuir directamente a los D&O.

De la misma manera que las aseguradoras pueden mitigar los riesgos derivados directamente de un ciberataque bajo las pólizas ciber, la exposición de los D&O derivada de un ciberincidente requiere que las aseguradoras conozcan a sus clientes y obtengan información suficiente en la fase de suscripción para garantizar que la compañía y los D&O asegurados potenciales forman parte de una organización con una sólida cultura de ciberseguridad. Los aspectos clave para determinar la posible exposición de los D&O a una reclamación derivada de un incidente cibernético son:

  • ¿Ha habido incidentes cibernéticos previos?
  • ¿Qué medidas de seguridad existen? (Firewalls, protección contra malware, política de contraseñas, autenticación con doble factor, etc.).
  • ¿Con qué frecuencia se revisan y actualizan las medidas de seguridad?
  • ¿La empresa realiza auditorías para saber qué datos maneja?
  • ¿Cuenta la empresa con un plan de respuesta a una crisis?
  • ¿Existen programas de capacitación para alertar al personal sobre los riesgos cibernéticos y cómo mitigar el riesgo?

Conclusión

Los D&O tienen el deber de diligencia en la gestión de una empresa. En un entorno donde los riesgos cibernéticos son un riesgo conocido y publicitado, será difícil para los D&O justificar cualquier conducta que no le dé importancia a la protección de una empresa contra incidentes cibernéticos cuando se analice en el contexto de los deberes inherentes de un D&O.

Un período prolongado de inactividad como resultado de un ataque cibernético no solo afectará la rentabilidad, sino que el daño a la reputación también podría tener impacto a más largo plazo. Una actitud pasiva de los D&O hacia la seguridad cibernética podría significar que la empresa no solo se enfrentará a posibles reclamaciones de las partes afectadas por las brechas en materia de protección de datos, sino que los D&O también podrían estar sujetos a accionistas descontentos. Si bien prevemos dificultades con tales acciones (causalidad, cuantificación de pérdidas, etc.), tenemos que considerar que muy a menudo, cuando EE.UU. lidera las tendencias de litigio, el resto del mundo lo sigue.

De momento, en España, la jurisprudencia reciente ha establecido que las sociedades (y a su vez los administradores y directivos) tienen una obligación de medios en relación con la protección de datos y la ciberseguridad. No basta con diseñar medios técnicos y organizativos necesarios, también es necesario implantarlos correctamente y utilizarlos adecuadamente, advirtiendo que la empresa también será responsable de la falta de diligencia en su uso, entendida como diligencia razonable según las circunstancias del caso.