El director de seguridad de la información (CISO) ha traspasado los límites tradicionales de la protección de sistemas y datos para asumir un rol mucho más estratégico dentro de las organizaciones. Y ese rol cobra mayor relevancia cuando sus acciones, decisiones y, sobre todo, sus juicios y opiniones se dan en el contexto de la exposición a amenazas.
Un ejemplo de ello fue la experiencia vivida por Timothy G. Brown, el CISO de SolarWinds, durante el ataque conocido como Sunburst, que ha derivado en que este puesto se mire desde una nueva perspectiva.
Para entender mejor qué sucedió con Brown y la empresa, hay que remontarnos a 2020, cuando SolarWinds fue víctima de un sofisticado ataque a la cadena de suministro perpetrado por el grupo de amenazas APT29, también conocido como Cozy Bear. Este grupo logró insertar un malware en las actualizaciones del software Orion, una herramienta ampliamente utilizada para la supervisión de infraestructura tecnológica.
El impacto fue devastador: se estima que 18,000 de los más de 33,000 clientes de SolarWinds, incluyendo organismos gubernamentales de Estados Unidos, resultaron comprometidos. El ataque no solo expuso vulnerabilidades críticas, sino que generó consecuencias legales obvias.
Un caso sin precedentes
Posterior al ataque, la Comisión de Bolsa y Valores de Estados Unidos (SEC) no solamente presentó cargos contra la empresa SolarWinds, sino que también sentó un precedente al señalar directamente al CISO Brown. Se le acusó de no haber comunicado adecuadamente los riesgos conocidos, de emitir declaraciones supuestamente engañosas respecto a las prácticas de ciberseguridad de la empresa y de contribuir a una falsa percepción de seguridad entre los inversionistas.
Esta decisión transformó por completo la manera en que se entiende el alcance de las funciones y las responsabilidades de un CISO, dejando claro que las implicaciones legales de su rol son tan críticas como las técnicas.
Desde entonces, la comunidad de ciberseguridad ha comenzado a replantearse los fundamentos del liderazgo del CISO, especialmente en lo que respecta a la gestión de las comunicaciones durante y después de un incidente. Ya no se trata únicamente de contener un ataque, sino de cómo se divulga públicamente una crisis, qué se dice en los canales formales e informales, cómo se documentan las decisiones y cuál es el grado de transparencia con los stakeholders. Cada palabra puede tener repercusiones legales, regulatorias y reputacionales.
La ruta para mitigar los riesgos
El caso de SolarWinds y su CISO han abierto la puerta a la reflexión y al análisis sobre qué deben hacer sus homólogos antes una situación similar. De esto se despenden cuatro estrategias clave que los CISO y sus organizaciones deben poner en práctica para mitigar riesgos derivados de una mala gestión de las comunicaciones.
La primera consiste en definir claramente el rol del CISO y establecer políticas. Si bien parece evidente, muchas organizaciones carecen de una descripción formal del puesto del CISO que contemple sus funciones, sus alcances y límites, su vinculación con otras áreas y sus responsabilidades legales. Definir con precisión el perfil de este importante puesto no solamente protege al profesional que lo ocupa, sino que proporciona a la organización un marco sólido para enfrentar incidentes.
La segunda estrategia apunta a establecer límites estrictos en las comunicaciones, tanto internas como externas. Los mensajes deben evitar afirmaciones vagas, triunfalistas o poco fundamentadas que puedan interpretarse como engañosas. En el caso de SolarWinds, una mala elección de palabras contribuyó a generar una falsa sensación de seguridad, lo cual fue considerado una falta grave por la SEC. De ahí que las comunicaciones del CISO deben ser siempre verificables, moderadas y alineadas con la evidencia documentada.
La tercera consiste en colaborar estrechamente con los departamentos legales y de cumplimiento normativo. Muchas organizaciones no tienen un protocolo claro sobre cómo deben gestionarse las comunicaciones tras un ataque. Por ello, el CISO debe asegurarse de que todos los mensajes estén revisados por el área legal, que se tenga en cuenta la normativa local e internacional vigente y que se documenten todas las interacciones clave. Esta alineación garantiza que no se incurra en omisiones o declaraciones potencialmente incriminatorias.
La cuarta sugiere evitar el uso de canales informales para discutir temas críticos. Canales como WhatsApp, Telegram o correos personales no deben ser utilizadas para tratar incidentes, ya que su contenido puede ser utilizado en litigios. Además, muchas veces estos no tienen estatus institucional, lo cual impide reconstruir el proceso de toma de decisiones. Toda la comunicación debe realizarse a través de medios oficiales, con una adecuada trazabilidad y respaldo documental.
La importancia de estas estrategias se refleja no sólo en el caso SolarWinds, sino también en otros ejemplos recientes. En 2016, Joe Sullivan, ex CISO de Uber, fue condenado por ocultar un ciberataque, alegando que actuaba por el bien de la empresa. La sentencia evidenció que ocultar o minimizar hechos también constituye un delito. Asimismo, en el sonado caso de Equifax, el mal manejo de las comunicaciones provocó un colapso de la confianza pública, sanciones regulatorias y una pérdida de valor bursátil significativa
Recomendaciones complementarias
Desde Minsait, se hacen tres recomendaciones que complementan las estrategias que ya hemos detallado anteriormente.
- Establecer una matriz RACI en ciberseguridad. En ella se debe especificar claramente quién toma las decisiones, quién aprueba, quién debe ser consultado y quién debe ser informado. Esta estructura evita la concentración de poder y responsabilidad en el CISO, permitiendo que las decisiones se compartan con otras áreas como legal, cumplimiento, riesgos o TI.
- Brindar capacitación legal continua a los líderes de ciberseguridad. No se trata de convertir al CISO en abogado, pero sí de dotarlo de conocimientos básicos sobre derecho corporativo, lineamientos regulatorios, contratos y gobernanza de datos. Esto les permitirá evaluar mejor los riesgos asociados a sus mensajes y actuar con mayor seguridad jurídica
- Documentar minuciosamente todas las decisiones y procesos vinculados a la ciberseguridad. Esto aplica especialmente durante y después de un incidente. El registro debe incluir reuniones clave, análisis de impacto, matrices de riesgo, planes de respuesta y participación de otros departamentos. Una buena documentación además de respaldar legalmente al CISO, también sirve como evidencia de cumplimiento ante entes reguladores.
Sin duda, la figura del CISO se encuentra en un punto de inflexión. El entorno actual, marcado por ataques cada vez más sofisticados, una presión regulatoria en aumento y una rigurosa exigencia de transparencia por parte de inversionistas y usuarios, ha ampliado el alcance de sus responsabilidades.
Casos como SolarWinds han demostrado que una comunicación imprecisa o informal puede ser tan peligrosa como una falla técnica. Por ello, es indispensable que el CISO actúe con responsabilidad, cuente con respaldo legal, esté integrado en la gobernanza corporativa y cuide cada palabra, tanto en lo público como en lo privado.
Add a Comment