Ciberseguridad: responsabilidad de administradores y directivos

24.08.17 News 2017, Noticias 2017

Es profusa y creciente la legislación que exige mayores requisitos y cautelas para el ejercicio del cargo de administrador de las sociedades mercantiles en España, así como en muchos países de nuestro entorno. El vigente Código Penal que consagra la responsabilidad penal de las personas jurídicas y de sus administradores, lo sean de hecho o de derecho, así como el deber de debida diligencia del administrador, tal y como está recogido en la vigente Ley de Sociedades de Capital para el Gobierno Corporativo, constituyen las piedras angulares del nuevo concepto de responsabilidad de los administradores.

En este contexto parece por lo tanto lógico pensar que con el endurecimiento de los requisitos para ejercer el cargo de administrador y las demandas sociales de Buen Gobierno y de Transparencia en un entorno cada vez más competitivo y cambiante, las habilidades exigidas al administrador son notablemente distintas a aquellas que constituían características esenciales para el ejercicio de dicho cargo a finales del pasado siglo.

El administrador así como las personas en las cuales delega su responsabilidad, fundamentalmente el CEO, que en la mayoría de los casos es administrador de hecho de la mercantil, deben tener una visión dinámica y crítica de su función para evitar riesgos y aprovechar las efímeras ventanas de oportunidad que aparecen en los negocios.

En esta tesitura y ante la alarmante proliferación de los ciberataques a nivel global que afectan a todo tipo de organizaciones, la valoración y el control de la ciberseguridad se han convertido en una necesidad prioritaria en el campo de la gestión empresarial. Los ciberataques adoptan infinidad de formas e irán mutando de una forma rápida e inmisericorde para afinar más y así comprometer de manera eficaz los activos tangibles e intangibles de empresas y de todo tipo de instituciones.

El fraude del CEO

Como consecuencia del hecho de que el CEO es por definición la persona que en la mayoría de los casos tiene a su cargo la tutela de los activos más valiosos de la compañía , ha proliferado de forma notable el conocido como ”fraude del CEO”. Este puede adoptar diferentes formas, si bien básicamente se trata de una suplantación del CEO para apropiarse de forma indebida de activos de valor (activos financieros, planos, diseños, contratos u otra documentación estratégica).

La suplantación se puede realizar por diferentes vías: teléfono, correo electrónico ficticio, whatsapp o bien utilizando un software malicioso (malware) a través del cual los delincuentes pueden recabar información de las actividades de la compañía y/o incluso actuar desde el correo electrónico del propio CEO mediante la técnica phising. Habitualmente estas actuaciones llevan aparejado un conocimiento previo y exhaustivo de la empresa, de sus directivos y del propio CEO a través de las redes sociales u otra información de internet. Es común que el falso CEO presente una persona “de confianza “que es la que gestionará la rapiña de los activos en cuestión generalmente con uno solo de los directivos de la empresa.

Posibles medidas contra los ciberataques

Estos procesos, están diseñados ad hoc y coinciden con períodos en los que se puede conocer la ausencia por diferentes motivos (viaje profesional, asistencia a ferias, vacaciones, baja laboral) del auténtico CEO. Si bien todas las organizaciones son vulnerables desde el punto de vista de la seguridad, existen determinadas medidas que pueden reducir considerablemente los indeseados efectos de un ciberataque:

1) Existencia de una adecuada segregación de funciones con controles eficaces para la gestión de los activos clave de la organización.

2) Las actuaciones del CEO deben estar sometidas a rigurosos controles en aras de una mayor transparencia y seguridad.

3) Los datos de operaciones relevantes que afecten o puedan afectar a activos fundamentales de la compañía deben estar encriptados y limitados a un número prefijado de usuarios de nivel.

4) La compañía debe realizar revisiones periódicas de su nivel de cumplimiento de las medidas de ciberseguridad y de protección de datos.

5) En los puestos de responsabilidad, es necesario evaluar la moralidad profesional de los candidatos.

6) Resulta fundamental la formación continua a todos los niveles de las políticas de seguridad de la información.

Hasta aquí una sucinta relación de las diferentes medidas que se pueden adoptar para evitar o mitigar los daños de un ciberataque desde el punto de vista operativo. Resulta imprescindible sin embargo concluir, que la adopción de medidas de protección de la información no es una opción, es una obligación legal desde el punto de vista de los administradores en tanto en cuanto deben actuar con la debida diligencia y promover políticas internas que favorezcan el control de las operaciones y eviten la comisión de delitos. La ciberseguridad se constituye así en un elemento estratégico fundamental en las agendas de los órganos de administración de las sociedades mercantiles.


Max Gosch, abogado y auditor de cuentas Uhy Fay & Co Madrid

Contacto

Martin Schneider

Director Comunicación

+34 91 353 09 24
Enviar un e-mail