gestión
noviembre 2025
selecciónseptiembre 2019
formaciónnoviembre 2019
TRIBUNA
junio 2023
No es país para el CISO: responsabilidad empresarial del informático en un mundo hiperconectado
Ulysses Grundey,
director de Riesgo Reputacional y D&O de WTW España
El pasado 4 de mayo, un juez federal de Estados Unidos condenó a Joe Sullivan, exdirector de seguridad y sistemas (CISO) de Uber, a tres años de libertad condicional y a efectuar el pago de una multa de 50.000 dólares por no informar a la Comisión Federal de Comercio sobre una fuga de datos producida en los sistemas de la compañía en 2016. Una acusación por obstrucción a la justicia que ha servido para incrementar la concienciación entre los CISO sobre la responsabilidad que tienen debido a su desempeño profesional. Altos cargos del área de ciberseguridad de grandes empresas estadounidenses han escrito, de hecho, cartas abiertas de apoyo a Sullivan, expresando su preocupación por que su condena podría hacer que los CISO teman el escrutinio regulatorio y, por lo tanto, se excedan al revelar incidentes cibernéticos.
Este es apenas un ejemplo de los numerosos que se dan en todo el mundo. Los ataques cibernéticos y la presión para corregir las brechas de seguridad a pesar de las restricciones presupuestarias están elevando los niveles de estrés de los responsables de la ciberseguridad e informática de las empresas y sus preocupaciones sobre su propia responsabilidad personal.
Los ataques a los sistemas informáticos de las empresas a menudo vienen con interrupciones del negocio, daños reputacionales, investigaciones de reguladores y demandas. El CISO debe gestionar los riesgos de ciberseguridad y, al mismo tiempo, formar e informar al comité de dirección y al consejo de administración. No es para nada una posición fácil, y conlleva una gran responsabilidad. El CISO y otros altos ejecutivos del entorno digital en las compañías, como el director de Información (CIO) o el director de privacidad (DPO), desempeñan funciones estratégicas y de alta criticidad.
Durante años, muchos consejos de administración mostraron poco interés en la seguridad cibernética. La pandemia por Covid-19 aceleró la digitalización empresarial, incluyendo el trabajo remoto de forma masiva de equipos enteros, y eso hizo necesario implementar protecciones de seguridad adicionales para los empleados en su hogar complicando mantener los niveles óptimos de seguridad. Nuestros últimos análisis muestran que las tres principales preocupaciones de los gestores corporativos actualmente son, por este orden, los ciberataques, la pérdida de datos y la ciber-extorsión. Riesgos, todos ellos, relacionados con el mundo digital.
El nuevo contexto hace que el consejo de administración y los cargos técnicos deban aunar esfuerzos para alinear los objetivos de negocio con los objetivos de seguridad y defensa de los sistemas informáticos y de la información que maneja la empresa. Mantener este equilibrio empieza a ser uno de los principales retos en cualquier organización, ya que conlleva la introducción de cambios en su gobernanza. Es necesario dotar de mayor capacidad de decisión a los perfiles más técnicos. Esto supone que formen parte activa de los órganos de dirección. Pero a ellos también se les va a exigir una visión tan estratégica como técnica: en los objetivos de seguridad y defensa tienen que estar presentes los objetivos de negocio.
En este nuevo marco, los CISO pueden tener que responder con su patrimonio personal tras cada decisión que toman, pero no siempre quedan amparados por las pólizas de Responsabilidad Civil de Administradores y Directivos (D&O, por sus siglas en inglés) de las compañías para las que trabajan.
Las pólizas de D&O generalmente cubren a los administradores y directivos debidamente nombrados o elegidos. Aun no estando en el consejo de administración, como director, el CISO debe garantizar que comprende la estrategia de ciberseguridad de la empresa.
He aquí un punto clave: en los organigramas corporativos, un CISO puede identificarse como un empleado de nivel inferior que informa a la alta dirección (en inglés se suele denominar C-Suit). No existe una definición universal de "director", y los estatutos, los acuerdos de indemnización y la ley pueden no delinear claramente el rol del CISO y dónde encaja dentro de la jerarquía de la empresa.
La solución para asegurarse de que los CISO sean personas aseguradas bajo una póliza de D&O para, en primer lugar, por verificar la definición de persona asegurada de la póliza de D&O. Lo más probable es que el CISO no sea nombrado expresamente como persona asegurada. Si ese es el caso, revisemos los estatutos de la empresa u otros documentos organizativos para que este perfil cumpla con la definición de administrador o directivo debidamente designado, o de empleado con capacidad administradora o supervisora.
En segundo lugar, en la revisión de la póliza, hay que pararse en la definición de “error de gestión”, “acto incorrecto” o términos equivalentes. Es decir, de la frase que defina qué es lo que una persona de la empresa pueda estar haciendo de forma incorrecta para que un tercero pueda reclamar. En ocasiones, puede ser la cláusula más importante que determina si hay cobertura o no.
Como tercera cuestión relevante, es necesario revisar la cláusula de dolo, fraude y mala fe, que excluye la cobertura de reclamaciones que surjan por actos criminales o fraudulentos del asegurado. Afortunadamente, la mayoría de las pólizas de D&O incluyen una excepción para reclamaciones de esta índole y se adelantan gastos de defensa hasta sentencia firme.
Por último, debemos prestar atención a las cláusulas de la póliza de D&O que hagan referencia de una forma nominativa o excluyente a cuestiones relacionadas con el ciberriesgo. Y, tengamos en cuenta que el que aparezca una cobertura nominativa de ciber no es en absoluto signo que una buena cobertura. Puede servir para, simplemente, poner más trabas en la aceptación de una reclamación.
El mejor momento para garantizar que el seguro D&O de la empresa tenga una cobertura adecuada para el CISO y otros ejecutivos de ciberseguridad e información es durante la colocación o renovación de la póliza. Y, como en cualquier aspecto crítico, es recomendable trabajar con profesionales especializados en la asesoría de riesgos, capital y personas para evaluar la cobertura existente y determinar si se necesitan mejoras para mejorar la protección de los responsables de ciberseguridad y Tecnologías de la Información.
Aviso para navegantes: el seguro de D&O para estos perfiles sigue siendo una asignatura pendiente en muchas compañías, y se ha convertido en un requisito muy valorado por los CISO más reconocidos al considerar una propuesta de empleo.
Este es apenas un ejemplo de los numerosos que se dan en todo el mundo. Los ataques cibernéticos y la presión para corregir las brechas de seguridad a pesar de las restricciones presupuestarias están elevando los niveles de estrés de los responsables de la ciberseguridad e informática de las empresas y sus preocupaciones sobre su propia responsabilidad personal.
Los ataques a los sistemas informáticos de las empresas a menudo vienen con interrupciones del negocio, daños reputacionales, investigaciones de reguladores y demandas. El CISO debe gestionar los riesgos de ciberseguridad y, al mismo tiempo, formar e informar al comité de dirección y al consejo de administración. No es para nada una posición fácil, y conlleva una gran responsabilidad. El CISO y otros altos ejecutivos del entorno digital en las compañías, como el director de Información (CIO) o el director de privacidad (DPO), desempeñan funciones estratégicas y de alta criticidad.
Durante años, muchos consejos de administración mostraron poco interés en la seguridad cibernética. La pandemia por Covid-19 aceleró la digitalización empresarial, incluyendo el trabajo remoto de forma masiva de equipos enteros, y eso hizo necesario implementar protecciones de seguridad adicionales para los empleados en su hogar complicando mantener los niveles óptimos de seguridad. Nuestros últimos análisis muestran que las tres principales preocupaciones de los gestores corporativos actualmente son, por este orden, los ciberataques, la pérdida de datos y la ciber-extorsión. Riesgos, todos ellos, relacionados con el mundo digital.
El nuevo contexto hace que el consejo de administración y los cargos técnicos deban aunar esfuerzos para alinear los objetivos de negocio con los objetivos de seguridad y defensa de los sistemas informáticos y de la información que maneja la empresa. Mantener este equilibrio empieza a ser uno de los principales retos en cualquier organización, ya que conlleva la introducción de cambios en su gobernanza. Es necesario dotar de mayor capacidad de decisión a los perfiles más técnicos. Esto supone que formen parte activa de los órganos de dirección. Pero a ellos también se les va a exigir una visión tan estratégica como técnica: en los objetivos de seguridad y defensa tienen que estar presentes los objetivos de negocio.
En este nuevo marco, los CISO pueden tener que responder con su patrimonio personal tras cada decisión que toman, pero no siempre quedan amparados por las pólizas de Responsabilidad Civil de Administradores y Directivos (D&O, por sus siglas en inglés) de las compañías para las que trabajan.
Las pólizas de D&O generalmente cubren a los administradores y directivos debidamente nombrados o elegidos. Aun no estando en el consejo de administración, como director, el CISO debe garantizar que comprende la estrategia de ciberseguridad de la empresa.
He aquí un punto clave: en los organigramas corporativos, un CISO puede identificarse como un empleado de nivel inferior que informa a la alta dirección (en inglés se suele denominar C-Suit). No existe una definición universal de "director", y los estatutos, los acuerdos de indemnización y la ley pueden no delinear claramente el rol del CISO y dónde encaja dentro de la jerarquía de la empresa.
La solución para asegurarse de que los CISO sean personas aseguradas bajo una póliza de D&O para, en primer lugar, por verificar la definición de persona asegurada de la póliza de D&O. Lo más probable es que el CISO no sea nombrado expresamente como persona asegurada. Si ese es el caso, revisemos los estatutos de la empresa u otros documentos organizativos para que este perfil cumpla con la definición de administrador o directivo debidamente designado, o de empleado con capacidad administradora o supervisora.
En segundo lugar, en la revisión de la póliza, hay que pararse en la definición de “error de gestión”, “acto incorrecto” o términos equivalentes. Es decir, de la frase que defina qué es lo que una persona de la empresa pueda estar haciendo de forma incorrecta para que un tercero pueda reclamar. En ocasiones, puede ser la cláusula más importante que determina si hay cobertura o no.
Como tercera cuestión relevante, es necesario revisar la cláusula de dolo, fraude y mala fe, que excluye la cobertura de reclamaciones que surjan por actos criminales o fraudulentos del asegurado. Afortunadamente, la mayoría de las pólizas de D&O incluyen una excepción para reclamaciones de esta índole y se adelantan gastos de defensa hasta sentencia firme.
Por último, debemos prestar atención a las cláusulas de la póliza de D&O que hagan referencia de una forma nominativa o excluyente a cuestiones relacionadas con el ciberriesgo. Y, tengamos en cuenta que el que aparezca una cobertura nominativa de ciber no es en absoluto signo que una buena cobertura. Puede servir para, simplemente, poner más trabas en la aceptación de una reclamación.
El mejor momento para garantizar que el seguro D&O de la empresa tenga una cobertura adecuada para el CISO y otros ejecutivos de ciberseguridad e información es durante la colocación o renovación de la póliza. Y, como en cualquier aspecto crítico, es recomendable trabajar con profesionales especializados en la asesoría de riesgos, capital y personas para evaluar la cobertura existente y determinar si se necesitan mejoras para mejorar la protección de los responsables de ciberseguridad y Tecnologías de la Información.
Aviso para navegantes: el seguro de D&O para estos perfiles sigue siendo una asignatura pendiente en muchas compañías, y se ha convertido en un requisito muy valorado por los CISO más reconocidos al considerar una propuesta de empleo.
-
Consultoras de Recursos Humanos y de Formación
-
Consultoría y Selección
-
Executive Search
-
Outplacement
-
Empresas de Trabajo Temporal
-
Outsourcing
-
Software de RRHH
-
Formación: Escuelas de negocio / Universidades
-
Elearning
-
Coaching
-
Formación en Idiomas
-
Fuerzas de venta
-
Salud Laboral
-
Retribución Flexible
-
Relocation
-
Convenciones
-
Desarrollo Organizacional
-
Herramientas de RRHH
-
Wellness Corporate
-
Control Horario
-
Regalos y Recompensas
 |
|
|
|
|
|
|
|
|
|
|
|
tribunas |
||||
| entrevistas | reportajes | almuerzos | tribunas | noticias | proveedores | nombramientos | estudios | agenda | libros | el equipo | enlaces | mapa web | ||||
|
||||
|
© 2007 CUSTOMMEDIA S.L. edita EQUIPOS Y TALENTO | Equipo de redacción | Contacto | Política de privacidad |
||||
|
Av. Diagonal, 463 bis 5ª planta, Barcelona 08036 Tel. 93 4195152 Fax. 93 4101755 |
||||