Los directores de seguridad de la información (CISO) tienen un trabajo difícil simplemente protegiendo a sus empresas y a sus clientes, pero cada vez más tienen que preocuparse por protegerse a sí mismos también. La SEC primero aumentó las apuestas al promulgar reglas de divulgación integrales y recientemente agregó reglas que requieren que las empresas revelen incidentes de ciberseguridad dentro de los cuatro días posteriores a la determinación de que el incidente es material, y luego demandó al CISO.
El 30 de octubre de 2023, la Comisión de Bolsa y Valores (SEC) citó las “malas prácticas de ciberseguridad y el aumento de SolarWinds Corp. y su CISO, Tim Brown, están demandando a SolarWinds Corp. y su CISO, Tim Brown, por supuestamente hacer “falsas declaraciones, omisiones y esquemas que ocultaban ambos riesgos de ciberseguridad”. Según la denuncia de la SEC presentada en el Distrito Sur de Nueva York, estas acusaciones se basan en revelaciones hechas por el Sr. Brown en documentos internos, incluidas “declaraciones de seguridad” en su sitio web e informes presentados ante la SEC. De hecho, se comunicó a los inversores en algunas de las divulgaciones de información pública.
Esta acción de la SEC marca la primera vez que la SEC demanda a una empresa que ha sido víctima de un ataque cibernético (aunque en marzo, la SEC demandó a la empresa de software educativo Blackbaud por declaraciones engañosas sobre un ataque de ransomware de 2020 presentó una demanda y llegó a un acuerdo). al mismo tiempo). Esta es también la primera vez que la SEC demanda a un CISO (aunque nunca ha demandado a ninguna otra persona en este caso). La SEC acusó específicamente al CISO porque “tenía la responsabilidad principal de preparar y aprobar la declaración de seguridad antes de su publicación” y que “era responsable de crear y aprobar la declaración de seguridad, o un enlace a la declaración de seguridad, en SolarWinds”. prácticas de seguridad.” “distribuido a los clientes que solicitan información detallada.”
Además del alivio financiero, la SEC busca una prohibición permanente de funcionario y director contra el CISO de SolarWinds. El CISO de SolarWinds, junto con la empresa y otros ejecutivos, fue demandado en una demanda colectiva de valores que recientemente llegó a un acuerdo por 26 millones de dólares, y varios otros CISO han sido demandados en demandas civiles en los últimos años. hechos y el interés de la SEC, SolarWinds puede considerarse un caso especial.
Otro punto que parece ser el primero en la denuncia de la SEC contra SolarWinds y su CISO es el uso de la Sección 13 de la Exchange Act (que representa 6 de los 10 cargos de la denuncia). El equipo de defensa expresó la siguiente opinión: “[t]La SEC aplica la Sección 13(b)(2)(B) de la Ley de Bolsa de Valores de 1934 para exigir a las empresas públicas que diseñen sistemas de control contable interno que prohíban el acceso a los activos de la empresa sin la autorización de la administración “Activos” dentro del alcance de esta ley. se han expandido desde activos monetarios hasta el “entorno de red, el código fuente y los productos de tecnología de la información” de una empresa.
Esta acción sin precedentes de la SEC ha llamado la atención de los CISO de todo el mundo, lo que los ha llevado a reevaluar si cuentan con protecciones suficientes.
El impacto del seguro cibernético y D&O
Con respecto a la cobertura de CISO bajo pólizas cibernéticas, primero reconocemos que los CISO generalmente están asegurados bajo la mayoría de las pólizas cibernéticas como empleados del asegurado, siempre y cuando actúen dentro de su capacidad. Además, como asegurado, un CISO generalmente recibe cobertura de responsabilidad civil por reclamaciones (incluidas acciones regulatorias) realizadas contra el CISO alegando mala conducta en materia de seguridad o privacidad.
Sin embargo, lo preocupante es que la mayoría de las pólizas cibernéticas contienen algún tipo de cláusula de exclusión de violaciones de valores que podría excluir la cobertura de demandas o acciones regulatorias por violaciones reales o sospechadas de leyes o regulaciones de valores. Aunque algunas políticas cibernéticas ofrecen restricciones limitadas a las exenciones de las leyes de valores, las acciones regulatorias iniciadas bajo el Reglamento SP de la SEC por no notificar a los clientes sobre las políticas y prácticas de privacidad de la exención se han vuelto cada vez más difíciles de obtener y no están en el centro de la acción actual de la SEC contra SolarWinds. CISO. Como resultado, si bien se pueden seleccionar pólizas cibernéticas para brindar cobertura contra reclamos de consumidores y reguladores ajenos a la SEC, las pólizas D&O pueden ser más apropiadas para reclamos relacionados con valores.
El seguro D&O y la cobertura del seguro cibernético pueden ser mutuamente excluyentes hasta cierto punto, dependiendo de cómo cada seguro defina un “reclamo de póliza”. Sin embargo, hay que tener cuidado, ya que puede haber superposiciones (lo que no es necesariamente positivo si da lugar a reclamaciones de responsabilidad entre compañías de seguros) o lagunas.
Aunque los directores y funcionarios generalmente reciben una compensación adecuada por litigios, investigaciones e investigaciones sobre valores, los CISO han expresado recientemente su preocupación sobre si tienen derecho específico a esa compensación. Desafortunadamente, el estatus del CISO en la política D&O no siempre está completamente claro (razón por la cual cada vez se realizan más esfuerzos para aclararlo).
Para empresas privadas y organizaciones sin fines de lucro, las pólizas D&O generalmente nombran a todos los empleados de la organización como asegurados y no distinguen entre la cobertura brindada a ejecutivos y otros empleados. Estas organizaciones no necesitan cambiar proactivamente el lenguaje para garantizar que se aplique la cobertura básica. De manera relacionada, si bien las exclusiones cibernéticas se han vuelto comunes en las pólizas D&O privadas y sin fines de lucro, generalmente solo limitan la cobertura organizacional proporcionada por dichas pólizas y no afectan la cobertura del asegurado.
Para las empresas que cotizan en bolsa, el término “directores y funcionarios” se define en algunas pólizas de seguro para incluir funcionarios “debidamente elegidos o designados” a los que se hace referencia como “funcionarios” o nombres similares. Pero, ¿alguien que ostenta el título de funcionario es un “funcionario” o “funcionario” a efectos de compensación? Hay poca jurisprudencia sobre esta cuestión. Aunque este término incluye claramente a los funcionarios de nivel ejecutivo que están designados en la presentación de valores como funcionarios según la Sección 16 de la Ley de Bolsa de Valores de 1934, más allá de eso, la cuestión puede volverse menos clara. Si bien cada vez más empresas están designando a CISO como funcionarios del Artículo 16, algunas todavía no lo han hecho.
Generalmente, todos los “empleados” están asegurados bajo una póliza de seguro de una compañía pública con respecto a las reclamaciones de la póliza. Si bien es probable que las reclamaciones presentadas por accionistas o la SEC cumplan con la mayoría de las definiciones de reclamación de valores, pueden surgir problemas si la póliza de seguro solo cubre a los empleados como coacusados. Pero la conclusión es que en la mayoría de situaciones previsibles del tipo “SolarWinds”, los CISO generalmente están cubiertos aunque técnicamente no sean funcionarios de la Sección 16. También tenga en cuenta que las pólizas de seguro que brindan investigación previa a la reclamación y cobertura de investigación para el asegurado generalmente (pero no siempre) brindan dicha cobertura para todos los empleados.
Pueden surgir más problemas si una empresa emplea a un CISO, que se considera un contratista independiente pero tiene derecho a una compensación de la entidad. Es poco probable que esas personas reciban una compensación completa sin una garantía negociada.
Como se señaló anteriormente, a pesar de la disponibilidad de cobertura relacionada con reclamaciones de valores en las pólizas D&O, anticipamos reclamaciones que pueden involucrar a CISO no ejecutivos de empresas públicas donde la cobertura puede estar en cuestión.
Demandas no relacionadas con valores presentadas por consumidores y otras personas que alegan violaciones de la privacidad y nombran a CISO individuales. Si bien el seguro cibernético y otras pólizas de seguro pueden ser suficientes, los CISO pueden insistir en el seguro D&O como respaldo mínimo. litigios o investigaciones regulatorias no relacionadas con la SEC (como asuntos federales o estatales); Para las pólizas de seguro que indemnizan a los empleados sólo como coacusados en demandas de valores iniciadas por una agencia gubernamental que no sea el Fiscal General o la SEC, dichas demandas que no involucran a coacusados:
Como se explicó anteriormente, es probable que los dos primeros escenarios de reclamaciones estén cubiertos por una póliza cibernética. Sin embargo, para abordar terceros escenarios y otras preguntas e incertidumbres, cada vez hay más respaldos disponibles para aclarar la cobertura de CISO, desde explicaciones básicas hasta protecciones mejoradas, y pueden ser deseables.
Puntos importantes
Los riesgos potenciales para los CISO están aumentando rápidamente, pero puede estar seguro de que sus políticas cibernéticas y de D&O brindan suficiente protección, especialmente cuando la cobertura se adapta de manera óptima. Además, hay aclaraciones y mejoras disponibles que vale la pena considerar en colaboración con su corredor.
Descargo de responsabilidad
Willis Towers Watson espera que la información general proporcionada en esta publicación le resulte informativa y útil. La información contenida en este documento no pretende constituir asesoramiento legal o profesional y no se debe confiar en ella en lugar de consultar a su propio asesor legal. Si desea obtener más información sobre nuestra cobertura de seguro, no dude en contactarnos. En Norteamérica, Willis Towers Watson ofrece productos de seguros a través de entidades autorizadas, incluidas Willis Towers Watson Northeast Inc. (Estados Unidos) y Willis Canada Inc. (Canadá).
Fuente: https://www.wtwco.com/en-us/insights/2023/11/are-cisos-protected