Uno de los principales frenos que existían tradicionalmente a la hora de gestionar adecuadamente un ciberataque tenía que ver -a mi juicio- con la presión que asumía el CISO de la empresa afectada por que se le hiciera internamente responsable de no haberlo podido prever o no haber sabido gestionarlo a tiempo. De hecho, en ocasiones el CISO, tras un ciberataque de cierta entidad, era despedido a modo de cabeza de turco en la creencia, en mi opinión equivocada, de que al prescindir de este profesional la empresa justificaba el incidente por un error puramente humano causado por uno de sus empleados, lo que podría mitigar el impacto reputacional de aquel.
En realidad, lo que se conseguía no era otra cosa que añadir más presión a un experto que, de por sí, ya se encuentra altamente presionado para poder resolver un incidente de seguridad que cada vez son mayores en número y más complejos técnicamente.
Lo explicaba muy bien Elena García, CISO de Indra, en la sesión co-organizada por Llorente y Cuenca y Ecix Tech el pasado 25 de octubre, cuando se refería a que “los únicos responsables de un ciberataque son los cibercriminales”.
Se puede decir más alto, pero no más claro. Las empresas deben tomar conciencia de las amenazas y riesgos a los que se enfrentan como consecuencia de la conectividad de la que disfrutan. Y donde profesionales como el CISO cobran cada vez mayor protagonismo (y no siempre retribución) por la complejidad de la ciberseguridad y por las dificultades que se encuentran para poder hacer bien su trabajo. Uno se dará cuenta de ello al leer el Libro Blanco del CISO.
En este sentido, la actual legislación sobre ciberseguridad parece proteger al CISO y eximirle (hasta cierto punto) de la responsabilidad exclusiva por la producción del incidente. En efecto, la nueva normativa consolida el principio de responsabilidad compartida, en el sentido de que, aunque el CISO pueda responder de sus actuaciones durante la gestión del incidente (del mismo modo que cualquier otro empleado con respecto al desempeño de sus tareas), la responsabilidad última por la toma de decisiones relacionadas con la implementación de medidas técnicas y organizativas adecuadas, suficientes y proporcionadas, así como la de supervisión de su eficacia, recae en el órgano de gobierno de la entidad, especialmente en el caso de entidades esenciales, importantes y críticas.
En efecto, la comúnmente conocida como Directiva NIS2, actualmente en fase de transposición al ordenamiento jurídico español, ya lo menciona en su artículo 32.6, cuando dice que ”los Estados miembros garantizarán que cualquier persona física responsable de una entidad esencial o que actúe como representante de ella con facultades para representarla, la autoridad para tomar decisiones en su nombre o la autoridad para ejercer control sobre ella tenga competencias para velar por que cumpla la presente Directiva. Los Estados miembros velarán por que dichas personas físicas puedan considerarse responsables por el incumplimiento de su deber de garantizar el cumplimiento de la presente Directiva”.
Así las cosas, las entidades de relevancia a los efectos de la norma no pueden descargar la responsabilidad de los ciberataques sufridos exclusivamente en el CISO, por cuanto la ciberserguridad viene siendo un riesgo empresarial y, por tanto, una responsabilidad de sus administradores por cuanto requiere una toma de decisiones que únicamente corresponde al órgano de gobierno dentro de su obligación de gestión diligente del negocio.
Así también lo ha considerado el Tribunal Supremo español, en su sentencia de 15 de febrero de 2022, cuando concluyó que:
“[Aunque] la cuestión controvertida planteaba serias dudas de derecho sobre la naturaleza de las obligaciones de seguridad en materia de protección de datos, de hecho se acoge la argumentación de la parte referida a que nos encontramos ante una obligación de medios y no de resultado”.
Es decir, en las obligaciones de medios el compromiso que se adquiere es el de adoptar las medidas técnicas y organizativas, así como desplegar una actividad diligente en su implantación y utilización que tienda a conseguir el resultado esperado, con medios que razonablemente puedan calificarse de idóneos y suficientes para su consecución. Precisamente por ello se las denomina obligaciones "de diligencia " o "de comportamiento".
La diferencia radica en la responsabilidad en uno y otro caso, pues mientras que en la obligación de resultado se responde ante un resultado lesivo por el fallo del sistema de seguridad, cualquiera que sea su causa y la diligencia utilizada, en la obligación de medios basta con establecer medidas técnicamente adecuadas e implantarlas y utilizarlas con una diligencia razonable.
Ahora bien, este alegato en favor del CISO no quiere decir que su actuación no quede sujeta a otro tipo de responsabilidades. En efecto, en determinados casos pueden concurrir ciertas circunstancias donde el impacto de sus acciones, u omisiones, vayan más allá de los límites empresariales y acaben por producir daños en terceros, incluyendo el propio mercado.
Así traté de explicarlo en un estudio, publicado por la Fundación Esys, en el que se analizaba el rol del CISO durante la gestión de incidentes de ciberseguridad graves, en particular en lo que se refiere al manejo de información privilegiada y el delito de insider trading, y poniéndolo en relación con el impacto que tal incidente puede tener en el propio valor de las acciones de la compañía, y la necesidad -incluso- de comunicárselo a la CNMV como hecho relevante en según qué situaciones.
Otros países también tienen en cuenta el rol estratégico que el papel del CISO tiene en la gestión de ciberincidentes, no sólo en el ámbito estrictamente técnico, sino propiamente empresarial. En este caso, la Federal Trade Comission estadounidense, en su naturaleza del órgano supervisor del buen funcionamiento del mercado, el pasado 30 de octubre interpuso una demanda ante un juzgado de Nueva York contra el CISO de la empresa Solarwinds, conocida por haber sido víctima de un grave ciberataque en octubre de 2022 que le supuso tener que pagar una indemnización de 26 millones de dólares, y que recientemente ha sido víctima de un nuevo incidente, conocido como Sunburst.
En este caso la FTC acusa al CISO y a la propia empresa de fraude a los inversores por no haber sido diligentes en la implementación de medidas de ciberseguridad y por no haber informado a sus accionistas ni mitigado adecuadamente, los riesgos y vulnerabilidades de ciberseguridad a los que se enfrentaba la compañía (“alleging they defrauded investors by talking up SolarWinds’ cybersecurity practices and downplaying or failing to disclose known risks”).
Como puede verse, los motivos que afectan a este supuesto no son eminentemente técnicos, sino económicos. Es decir, la omisión de información clara y completa acerca del estado real de la ciberseguridad de una compañía puede provocar graves perjuicios a los derechos de los inversores en tal empresa. Y es responsabilidad de la empresa garantizar que se protegen los derechos del mercado en general y de los inversores en particular.
Un nuevo ejemplo de que la ciberseguridad excede de lo técnico para convertirse en un elemento puramente empresarial y, en ocasiones, hasta de concurrencia en el mercado.