Blog del CCI

lunes, 27 de junio de 2016

¿El fin de la rendición de cuentas?

Con seguridad, parecemos estar viviendo una nueva era económica para el ciberdelito. Muchos han sido los casos de empresas ‘ciberafectadas’ en los últimos tiempos. Una de ellas, sobre la que pusimos el foco el año pasado, es la británica TalkTalk. El 26 de octubre de 2015 (“Boletín” de CCI número 126) mencionábamos a TalkTalk en los siguientes términos: “Tras el escándolo del operador móvil TalkTalk, la prensa británica ha informado que el Instituto de Consejeros señala los ciberataques como una de sus mayores preocupaciones, urgiendo al gobierno del Reino Unido a tomar las medidas necesarias para atajar este problema”. Hoy tenemos la certeza de que las autoridades británicas han escuchado la demanda del mundo corporativo, dado que el Parlamento, a través de la Comisión de Cultura, Medios y Deportes de la Cámara de los Comunes acaba de emitir un informe  -encuéntrelo en nuestra sección ‘Documentos’-  sobre el caso TalkTalk en el cual expone una serie de interesantes conclusiones. ¡Permítame compartirlas con Uds!

En primer lugar el informe dice que “Aunque el responsable, en última instancia, de la ciberseguridad de una empresa es su consejero delegado, sería muy extraño que aquel tuviese que dimitir tras un ataque”. ¿Es esto cierto? ¿Recuerdan los diputados británicos la serie de consejeros delegados que han dimitido en la última década, algunos de los cuales han sido mencionados en esta tribuna en repetidas ocasiones? Y, lo que es más, “la responsabilidad última recae en el consejero delegado”; pero ¿qué pasa con el resto del consejo de administración? ¿Significa todo esto, en último término, el fin de la rendición de cuentas?

No conforme con eso, el informe continua “La ciberseguridad debería recaer en alguien capaz de asumir la responsabilidad del día a día, con la supervisión del consejo de administración, y a quien pudiera sancionarse plenamente en el caso de que la empresa no hubiera dado los pasos necesarios para protegerse de un ciberataque”. En el informe se mencionan, directamente, las figuras del CIO y la del Director de Seguridad, como posibles candidatos; pero, de nuevo, ¿significa esto que la persona a cargo de la ciberseguridad ha de ser considerada, meramente, como el sujeto “castigable”?

¡Puede que los diputados británicos tengan algo más que arreglar que el resultado del referendum vivido la semana pasada!

Al menos, han estado de acuerdo en establecer alguna medida para promover la concienciación [por la ciberseguridad] de los consejeros delegados [a pesar de seguir liberando al consejo de adminsitración de toda responsabilidad]: “Para garantizar que este tema [la ciberseguridad] recibe la debida atención por parte del consejero delegado antes de que estalle una crisis, una parte de su remuneración debería estar ligada al grado de eficacia del programa de ciberseguridad de la empresa, de un modo que determine el consejo de administración”.

Mientras, éste sigue pareciendo un buen momento para ser un ciberdelincuente: el inframundo digital crece, la red eléctrica y otras infraestructuras están siendo atacadas, haciendo verdad la idea de que Stuxnet no fue sino el pistoletazo de salida, y el desarrollo de las ‘smart OT' siguen trayendo recompensas y consecuencias.

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!

No hay comentarios :

Publicar un comentario