Por Daniel Monastersky – Socio en Data Governance Latam y Director del Centro de Estudios en Ciberseguridad y Protección de Datos de la Universidad del CEMA (CECIB)
La Comisión de Valores y Bolsa (SEC) ha presentado cargos contra SolarWinds Corporation y su director de seguridad de la información, Timothy G. Brown, por presunto fraude en la revelación de prácticas de ciberseguridad y riesgos conocidos. Este caso, además de señalar las deficiencias de SolarWinds, plantea una reflexión sobre la creciente responsabilidad del Director de Seguridad de la Información (CISO) en las organizaciones modernas.
El reciente escándalo protagonizado por SolarWinds y su director de seguridad de la información, Timothy G. Brown, plantea una cuestión crucial: ¿hasta qué punto deben ser responsables los CISO y la alta dirección de la gestión de la ciberseguridad en las empresas?
El CISO, como custodio de la seguridad de la información, juega un papel vital en la protección contra amenazas cibernéticas. Sin embargo, este caso enfatiza la importancia de no solo tener a alguien en esta posición, sino de asegurarse de que su influencia y capacidad para impulsar el cambio sean efectivas. La falta de acción o comunicación clara desde la posición de CISO puede tener consecuencias devastadoras, como se evidencia en la acusación contra SolarWinds.
El caso demuestra que no basta con tener un CISO en los papeles, sino que es esencial que esta figura tenga el poder y la influencia para abordar y comunicar riesgos de manera efectiva en la empresa. La falta de acción o la subestimación de riesgos, como se alega en este caso, plantea serias dudas sobre la efectividad de la gestión de riesgos y la comunicación dentro de la empresa.
Esta situación subraya la necesidad de que los CISO no solo sean receptores pasivos de información sobre riesgos, sino que estén capacitados y respaldados para tomar medidas proactivas y comunicar de manera efectiva los riesgos cibernéticos a las esferas directivas. Su papel no es solo identificar amenazas, sino también asegurarse de que se tomen medidas adecuadas para abordarlas, garantizando una postura de ciberseguridad sólida y transparente.
Además, la responsabilidad legal y ética de los CISO en la protección de datos es cada vez mayor. Este caso ejemplifica cómo, en un entorno empresarial altamente digitalizado y con regulaciones de protección de datos en constante evolución, los CISO deben ejercer su papel de manera diligente y ética para proteger los activos críticos de una empresa.
El caso de SolarWinds destaca la importancia crítica de empoderar a los CISO y líderes de ciberseguridad, no solo para detectar y evaluar riesgos, sino también para comunicarlos efectivamente en todos los niveles de la organización. La transparencia y la acción proactiva en la gestión de riesgos cibernéticos son fundamentales para salvaguardar la integridad de las empresas y la confianza de los inversores en un mundo digital cada vez más interconectado.
