Una opinión difícil de transmitir. Esto puede resumir el mensaje de la SEC (Comisión de Bolsa y Seguridad) a ciertos ejecutivos de Solarwinds después del ciberataque de 2020. De hecho, el organismo de control del mercado de valores ha emitido avisos de Wells (una carta dirigida a individuos o empresas para alertarlos sobre posibles violaciones de las leyes federales tras la investigación de la SEC y las medidas a tomar) que prevé la posibilidad de emprender acciones legales contra los ejecutivos de Solarwinds. incluido el director financiero (director financiero), Bart Kalsu y el CISO (director de seguridad de la información), Tim Brown. Solarwinds intenta contemporizar afirmando que un aviso de Wells "no es una acusación formal de irregularidades ni la determinación final de que el destinatario ha violado alguna ley".

Sin embargo, si la SEC emprende acciones legales y tiene éxito, podría tener varias consecuencias. “Si autorizara acciones contra cualquiera de estos individuos, podría solicitar una orden que les prohíba violar en el futuro las disposiciones de las leyes federales de seguridad sujetas a este tipo de acciones, imponiendo sanciones monetarias civiles y/o prohibición de cumplir como funcionario o director de una empresa pública y otras compensaciones equitativas dentro de la autoridad de la SEC”, dijo Solarwinds. en un documento. Esta posición sigue a otra opinión de Wells contra la propia compañía donde el regulador alegó "violaciones de ciertas disposiciones de seguridad según las leyes federales de EE. UU. relacionadas con nuestra información de ciberseguridad y declaraciones públicas, así como nuestros controles y procedimientos de divulgación interna". En un correo electrónico, el director ejecutivo de SolarWinds Sudhakar Ramakrishna dijo a los empleados que a pesar de las medidas extraordinarias adoptadas para cooperar e informar a la SEC, la agencia continúa adoptando posiciones que SolarWinds considera inconsistentes con los hechos. “Continuaremos explorando otras vías para resolver este asunto. antes de que la SEC tome una decisión final”. Y si la SEC finalmente decide emprender acciones legales, pretendemos defendernos enérgicamente”, escribió el ejecutivo en el correo electrónico, que la empresa también envió a los medios de comunicación.

Un debate sobre la responsabilidad de los CISO

Pero es el pequeño mundo de la ciberseguridad el más afectado por los últimos avisos de la SEC dirigidos al CISO. Una decisión inusual que aumenta la responsabilidad de los CISO en caso de incidente. "Por lo general, un aviso de Wells apuntaría a un director ejecutivo o director financiero por sospechas de esquemas Ponzi, fraude contable o manipulación del mercado, pero es poco probable que esto se aplique a un CISO", dice Jamil Farshchi, CISO de Equifax, en una publicación en LinkedIn, y agrega que de las violaciones que un CISO podría cometer es sólo la no divulgación de información material. “Por ejemplo, no informar sobre la gravedad de un incidente (…) o no hacerlo a tiempo, probablemente podría entrar en esta categoría”, continúa. Agnidipta Sarkar, ex CISO de la empresa farmacéutica Biocon, cree que “aunque esto no signifique que el CISO será acusado, es un nuevo paso. A partir de hoy, serán cada vez más responsables de las decisiones que tomaron o no tomaron”.

"Sin embargo, asignar responsabilidad únicamente al CISO o al CFO no siempre es justo o preciso", dice Ruby Mishra, CISO de KPMG India. “Para gestionar eficazmente la ciberseguridad, la empresa adopta un enfoque de varios niveles que involucra a varias partes interesadas y departamentos. Hacer al CISO o al director financiero el único responsable de un ciberataque puede hacernos olvidar la responsabilidad colectiva”, desliza el directivo. Este último señala que es difícil para individuos o empresas prevenir todos los ataques cibernéticos debido a técnicas sofisticadas y al panorama de amenazas que cambia rápidamente. "Antes de emitir el aviso, la SEC puede haber considerado varios factores, incluidas circunstancias y marcos legales específicos, o puede haber demostrado negligencia si el CISO no implementó "medidas de seguridad adecuadas, descuidó las políticas, pautas y prácticas de la SEC, o ignoró las conocidas". vulnerabilidades", añade.

Por su parte, SolarWinds afirmó en un comunicado enviado a los medios que "Sunburst", como denunció la firma, "fue un ataque altamente sofisticado e impredecible que, según el gobierno estadounidense, fue llevado a cabo por una superpotencia global utilizando técnicas en un tipo de amenaza que los expertos en ciberseguridad nunca antes habían visto”. La compañía también señala que las demandas contra SolarWinds y sus empleados podrían tener un efecto "paralizador" en la divulgación de vulnerabilidades. "La única forma de prevenir ataques sofisticados y generalizados por parte de estados como Sunburst es establecer asociaciones público-privadas con el gobierno", afirmó. dijo la empresa.