La SEC acusa a CISO de fraude en un caso histórico de ciberseguridad


Martillo del juez en el teclado con un fondo de monitor de pantalla de computadora brillante.

getty

En una medida histórica, la Comisión de Bolsa y Valores de EE. UU. (SEC) eliminó a SolarWinds SWI Corporation y a su ex director de seguridad de la información (CISO), Timothy Brown, de la investigación de la compañía que condujo al ciberataque de 2020. La compañía fue acusada de fraude y fraude interno. controlar las deficiencias relacionadas con sus prácticas de ciberseguridad.

Esta es la primera vez en la historia de la SEC que la SEC acusa al CISO de una empresa en relación con un incidente de ciberseguridad. Esta acción sin precedentes marca un punto de inflexión en el ámbito de la ciberseguridad, elevándola al mismo nivel de escrutinio y castigo que el uso de información privilegiada y otros delitos financieros.

El hackeo de SolarWinds de 2020 fue un ciberataque masivo que afectó a miles de organizaciones en todo el mundo. El ataque fue llevado a cabo por un grupo de piratas informáticos rusos que se infiltraron en los sistemas de SolarWinds e inyectaron código malicioso en su software Orion, una popular plataforma de gestión de TI. El código permitió a los piratas informáticos obtener acceso no autorizado a las redes de los clientes de SolarWinds y robar datos confidenciales.

El hackeo de SolarWinds fue uno de los ciberataques más sofisticados y extendidos de la historia. Los expertos en seguridad tardaron varios meses en comprender el alcance total del ataque. Aún se están evaluando los daños causados ​​por el ataque. Este truco tuvo un gran impacto en la forma en que las organizaciones piensan sobre la ciberseguridad.

La SEC alega que SolarWinds y Braun engañaron a los inversores sobre las prácticas de ciberseguridad de la empresa, no revelaron los riesgos de ciberseguridad conocidos y no tenían controles internos suficientes para prevenir y detectar ciberataques.

Según la denuncia de la SEC, SolarWinds y Brown supuestamente hicieron numerosas declaraciones falsas y engañosas sobre las prácticas de ciberseguridad de la empresa, que incluyen:

Exagerar los conocimientos y la experiencia en ciberseguridad de la empresa. Tergiversar la capacidad de la empresa para detectar y responder a ataques cibernéticos. No revelar los riesgos de ciberseguridad conocidos, incluidas las vulnerabilidades en los productos de software Orion de la empresa.

La SEC también alega que SolarWinds y Brown tenían controles internos insuficientes para prevenir y detectar ciberataques.

No implementar controles de seguridad adecuados para proteger los sistemas y datos de la empresa. No monitorear adecuadamente los sistemas de la empresa para detectar actividades sospechosas. No realizar evaluaciones de seguridad y análisis de vulnerabilidades con regularidad.

Los cargos de la SEC contra SolarWinds y su ex CISO, Timothy Brown, señalan un cambio importante en la forma de pensar de la agencia sobre la ciberseguridad. Esta es la primera vez que la SEC acusa a un individuo de mala conducta relacionada con la ciberseguridad. Los cargos conllevan el mismo nivel de posible investigación y castigo que el uso de información privilegiada y otros delitos financieros graves. Brown sería descalificado como funcionario y director, lo que podría causar un daño muy grave a su carrera y reputación.

Esto plantea la cuestión de cómo compensar y proteger a los CISO. Las empresas tienen acuerdos de indemnización estándar, pero ¿indemnizan y protegen completamente a los CISO? Las juntas directivas comienzan el proceso de identificación de expertos cibernéticos en la junta y ¿cómo definen esa experiencia? Al considerar esto, surgen las siguientes preguntas: ¿Los ciberexpertos de las juntas directivas serán objeto de demandas derivadas o recibirán un mayor escrutinio que otros miembros de las juntas directivas?

Este cambio de enfoque indica el creciente reconocimiento por parte de la SEC de que la ciberseguridad es más que una simple cuestión técnica. Las violaciones de la ciberseguridad pueden tener un impacto significativo en el desempeño financiero de una empresa, y la SEC ahora responsabiliza a las empresas y a sus ejecutivos por no tomar las medidas adecuadas para proteger sus sistemas y datos.

Es probable que el caso de SolarWinds tenga un efecto paralizador en otras empresas, haciéndolas conscientes de que pueden afrontar graves consecuencias si no se toman en serio la ciberseguridad. Es probable que esto impulse a empresas de todos los tamaños a aumentar sus inversiones en ciberseguridad para evitar el mismo destino que SolarWinds.

Además de los riesgos financieros, el caso de SolarWinds ilustra que no tomar las medidas adecuadas en materia de ciberseguridad puede plantear riesgos importantes para la reputación de una empresa y sus ejecutivos. Los cargos de la SEC dejan en claro que la ciberseguridad es ahora la principal prioridad de la SEC, y las empresas que no cumplan con las expectativas podrían enfrentar un daño significativo a su reputación.

Ideas y lecciones clave para las juntas directivas

Si es miembro de la junta directiva, puede aprender algunas conclusiones importantes de los cargos de la SEC contra SolarWinds y su ex CISO, Timothy Brown.

1. La ciberseguridad es una cuestión crítica que debe abordarse en los niveles más altos de gobierno corporativo. Los directores deben asumir un papel activo en la supervisión de la postura de ciberseguridad de la empresa y garantizar que existan suficientes recursos y experiencia para gestionar los riesgos cibernéticos. Como práctica recomendada, considere realizar una revisión trimestral del riesgo cibernético con toda la junta directiva.

2. Los directores deben responsabilizar a la gerencia por el desempeño en materia de ciberseguridad. Esto incluye garantizar que la gerencia tenga una comprensión clara de los riesgos cibernéticos de la empresa, que exista una sólida cultura de ciberseguridad y que la empresa esté tomando las medidas adecuadas para mitigar los riesgos cibernéticos. Incluye garantías. Es posible que los directores quieran pedirle a la gerencia que identifique niveles específicos de escalada. Por ejemplo, ¿a qué nivel asciende el equipo de TI al CISO?

3. Los consejeros deben ser conscientes de las posibles consecuencias jurídicas y financieras de un ciberataque. Los cargos de la SEC contra el CISO de SolarWinds indican que los directores pueden ser considerados personalmente responsables de las fallas de ciberseguridad.

A la luz de estas lecciones, es posible que los directores quieran considerar agregar los siguientes temas a la agenda de su próxima reunión de directorio:

1. La postura actual de ciberseguridad de la Compañía, incluida la evaluación de riesgos cibernéticos de la Compañía, la idoneidad de sus controles de ciberseguridad y la efectividad de sus programas de capacitación y concientización en ciberseguridad.

2. Una estrategia/plan de ciberseguridad para reducir los riesgos cibernéticos, invertir en recursos de ciberseguridad y responder a los ciberataques.

3. Revisar la asignación de recursos para la ciberseguridad/Asegúrese de que su empresa dedique recursos suficientes a la ciberseguridad, incluidos financiamiento, personal y capacitación.

4. Los directores tal vez quieran preguntar a la gerencia si la empresa cuenta con procesos sólidos para identificar, evaluar y gestionar los riesgos cibernéticos. Centrarse en prevenir infracciones es sólo una parte del proceso. También se requiere un plan de resiliencia posterior a una infracción. ¿Cuál es su plan para mitigar el ataque? ¿Cuál es su plan de respaldo para que su negocio vuelva a funcionar lo antes posible después de un ciberataque?

5. Es posible que los directores deban solicitar a la gerencia que realice ejercicios prácticos e implemente un plan de respuesta a ataques cibernéticos que incluya recuperación de datos, comunicaciones de crisis y procedimientos de presentación de informes regulatorios.

En general, los cargos de la SEC contra SolarWinds y Brown son un hito para la ciberseguridad. Este incidente envió un mensaje claro y aterrador de que las empresas y sus ejecutivos serán responsables de no tomar las medidas adecuadas para proteger sus sistemas y datos.



Fuente: https://www.forbes.com/sites/betsyatkins/2023/11/16/sec-charges-ciso-with-fraud-in-landmark-cybersecurity-case/