Riesgos de litigios de ciberseguridad: las cuatro principales preocupaciones para los CISO

La amenaza de los litigios es suficiente para quitarle el sueño a cualquier empresario, y la creciente prevalencia de la la legislación y regulación de protección de datos, privacidad y ciberseguridad, está aumentando la presión para los CISO.

Según la última Encuesta Anual de Tendencias en Litigios de Norton Rose Fulbright, realizada a más de 250 abogados generales y profesionales de litigios internos, la ciberseguridad y la protección de datos estarán entre los principales impulsores de nuevas disputas legales durante los próximos años. Dos tercios de los encuestados dijeron que se sentían más expuestos a este tipo de disputas en 2021, frente a menos de la mitad en 2020, mientras que los ataques más sofisticados, la menor supervisión de los empleados/contratistas en entornos remotos y la preocupación por la cantidad de datos de los clientes se citaron como factores atenuantes.

Claramente, los riesgos de litigio son muy reales para los CISO y sus organizaciones, pero ¿cuáles son las mayores áreas de preocupación y qué pueden hacer al respecto?

Las violaciones de datos atraen demandas judiciales

En los últimos 18 meses a dos años, las posibilidades de que una organización se enfrente a un litigio tras una filtración de datos han aumentado significativamente, sobre todo cuando se percibe que una empresa no ha gestionado bien una filtración, afirma el abogado y socio de Cordery Jonathan Armstrong, especializado en asuntos legales de tecnología y cumplimiento. "Con una gran brecha de datos ahora, el litigio es una probabilidad, no una posibilidad", añade.

Aunque la propensión a emprender acciones legales varía en función de la geografía, la continua magnitud de los ciberataques ha dado lugar a afirmaciones más explícitas por parte de los gobiernos, la industria y los organismos reguladores sobre lo que constituye una seguridad deficiente, lo que abre la puerta a más acciones legales, explica a CSO Alex Jinivizian, vicepresidente de estrategia y desarrollo corporativo de eSentire. "Algunas de las violaciones de datos más destacadas —Equifax, Marriott, Target, la Oficina de Gestión de Personal de EE.UU.— han dado lugar a importantes demandas contra esas empresas relacionadas con pérdidas de datos confidenciales de empleados o clientes, causadas por estándares deficientes en materia de higiene de la seguridad", afirma.

Las implicaciones pueden ser considerables para las empresas, advierte Armstrong. "Los daños y perjuicios solicitados en estos momentos en diferentes casos son elevados . Por ejemplo, TikTok se enfrenta a una demanda en los Países Bajos por valor de 1.500 millones de euros, y también hay demandas de valor similar en otros países, como el Reino Unido y Alemania. Los litigios relacionados con los datos también han sido una característica de la vida corporativa de Estados Unidos durante muchos años", nos recuerda.

Los CISO, en el punto de mira

El riesgo de litigio no se limita a las empresas. Los propios CISO se enfrentan a acciones legales por incumplimiento de sus obligaciones cuando no se tomaron las medidas suficientes para prevenir una violación, o cuando las consecuencias de la filtración se gestionaron mal, según indica Simon Fawell, socio de Signature Litigation LLP.

Jinivizian está de acuerdo: "El papel del CISO nunca ha sido más crítico para las medianas y grandes empresas, y potencialmente está más en el punto de mira como responsable de los incidentes de seguridad y las violaciones de datos, como ilustra la demanda colectiva en curso contra el CISO de SolarWinds y otros ejecutivos, tras el devastador ataque a la cadena de suministro en 2020", afirma.

Esto también se evidencia en los cargos contra el CSO de Uber por supuestamente tratar de encubrir un pago de ransomware relacionado con el ataque de 2016 que comprometió los datos de millones de usuarios y conductores, añade Armstrong.

Si un CISO actúa como director de una empresa, entonces podría enfrentarse a acciones de los accionistas por incumplimiento del deber tras las violaciones de datos y privacidad basadas en el daño al valor de la empresa, dice Fawell. "Las acciones de los accionistas contra los directores han ido en aumento en el Reino Unido y, cuando una violación de datos ha provocado una caída del valor para los accionistas, se están considerando cada vez más las demandas contra los directores. Esto refleja la tendencia en otras jurisdicciones, como en EE.UU., donde los CISO ya han sido objeto de demandas de alto perfil por incumplimiento del deber".

Pérdida de secretos comerciales y daños a la reputación

Las consecuencias potenciales de la violación de datos o de los litigios sobre privacidad incluyen multas significativas, sanciones civiles y penales, daños a la reputación y un precio de las acciones afectado negativamente. Todo ello puede afectar a las organizaciones y a los CISO de forma individual y combinada. Cuando se pierde información importante, el daño puede ser extremadamente alto, explica Alasdair Marshall, asociado de Signature Litigation LLP. "Por ejemplo, si un intermediario o agente tuviera un incidente de violación y perdiera secretos comerciales o información que es potencialmente muy perjudicial para la reputación de otra empresa, eso podría llevar a un litigio importante". En los últimos años, los incidentes de los Papeles de Panamá y de Credit Suisse han puesto de manifiesto el creciente número de personas que buscan obtener información sensible y publicarla en el mercado".

Además, defender un litigio puede ser costoso y llevar mucho tiempo, dice Marshall. "Aunque el sistema inglés permite que la parte ganadora recupere los costes legales de la perdedora, es raro que la cantidad gastada en honorarios legales y costes auxiliares se recupere en su totalidad. Los litigios también requieren una atención significativa del CISO y del consejo de administración, que se centraría de forma más productiva en el crecimiento y la protección del negocio de cara al futuro".

Asímismo, los litigios pueden tener implicaciones directas en los asuntos de ciberseguros, afectando a cosas como las excepciones de cobertura, las renovaciones y los nuevos negocios. Las empresas y los CISO que se recuperan más rápidamente son los que ponen a sus clientes en primer lugar siendo transparentes, haciendo lo que sea necesario para ayudar a los clientes afectados a minimizar el impacto y compartiendo los pasos que planean tomar para asegurarse de que no vuelva a suceder, dice Russ Kirby, CISO de ForgeRock.

Normativa y requisitos

Los factores geográficos son especialmente importantes en relación con los riesgos de pleitos a los que se enfrentan los CISO y sus organizaciones, coinciden los expertos. Por ejemplo, la amenaza de las demandas colectivas masivas por infracciones a gran escala ha disminuido en cierta medida en el Reino Unido tras la decisión del Tribunal Supremo en el caso Lloyd contra Google, que detuvo una demanda colectiva de "exclusión voluntaria" bajo los marcos procesales existentes, y puso de manifiesto las dificultades para presentar demandas masivas de datos con arreglo a las normas inglesas, afirma Fawell. "Aunque la decisión no ha bloqueado por completo la posibilidad de interponer demandas colectivas en casos de privacidad de datos y sigue habiendo una serie de demandas en los tribunales ingleses que están formuladas de forma diferente, y que podrían tener éxito, es un revés bastante importante para los demandantes", añade.

Dicho esto, la presión para que los individuos afectados por las violaciones de datos sean compensados es cada vez mayor y no sería sorprendente ver algún tipo de régimen de acción colectiva de exclusión para los casos de privacidad de datos en un futuro relativamente cercano, dice Fawell. "En el Reino Unido ya se ha introducido un régimen de exclusión voluntaria para las demandas de competencia, y la privacidad de los datos sería el siguiente ámbito lógico para un enfoque similar". Aunque la amenaza de las demandas colectivas masivas ha disminuido en el Reino Unido por el momento, la amenaza de los litigios individuales sigue siendo muy evidente, especialmente cuando los datos corporativos de alto valor están potencialmente comprometidos, añade. "El GDPR (y la legislación británica relacionada) ha llevado a una conciencia mucho mayor de los problemas de privacidad de datos y a un mayor enfoque en las cláusulas contractuales en los acuerdos comerciales".

En cuanto a Estados Unidos, las cosas pueden volverse igual o incluso más complicadas, dice el ex CISO Jack O'Meara, que dirige los servicios de apoyo a los litigios en la consultora Guidehouse. "Por ejemplo, un CISO que trabaje en un contratista de la base industrial de defensa de Estados Unidos tiene que cumplir con el Reglamento Federal de Adquisición de Defensa (DFARS) 252.204-7012, que protege la información de defensa cubierta y los informes de incidentes cibernéticos, mientras que un CISO que trabaje para una institución financiera en Nueva York tiene que cumplir con los requisitos de ciberseguridad del Departamento de Servicios Financieros del Estado de Nueva York 23 NYCRR 500 para las empresas de servicios financieros".

Mientras tanto, un juez aprobó recientemente un acuerdo colectivo de 17,6 millones de dólares presentado por los demandantes de Kemper Insurance, que alegaban violaciones de la Ley de Privacidad del Consumidor de California, mientras que la Comisión de Valores y Bolsa (SEC) ha propuesto nuevas normas de divulgación obligatoria de la ciberseguridad para las empresas que cotizan en bolsa, junto con políticas y procedimientos cibernéticos escritos, informes mejorados y gestión de registros para las empresas de capital privado y de inversión.

En última instancia, los CISO estadounidenses deben conocer los requisitos específicos de ciberseguridad contenidos en los contratos de sus empresas, añade O'Meara. "Hay demasiados reglamentos y requisitos para mencionarlos en este artículo, pero un CISO necesita conocer los aplicables a su industria y regiones geográficas".

Mitigar los riesgos de litigio

Para mitigar y reducir los riesgos de litigio, los CISO deben examinar primero si su programa de seguridad es "defendible" bajo un duro escrutinio y capaz de cambiar y adaptarse a las nuevas amenazas, dice Kirby. "Por ejemplo, si no puede resistir las preguntas sobre si sus protocolos siguen las leyes locales y los estándares de la industria, debe actuar rápidamente para abordar esas brechas".

Fawell cita cinco preguntas que resultan útiles para calibrar la eficacia de un plan de respuesta a las infracciones desde una perspectiva litigante:

1. ¿Quiénes son los principales proveedores de servicios a los que hay que llamar?
2. ¿Cuáles son las líneas de comunicación internas? ¿Quién toma la decisión de instruir a los abogados y otros asesores clave? ¿Es el CISO o requiere otras aprobaciones?
3. Si el sistema no funciona, ¿cómo se comunica de forma segura el personal clave que se ocupa de la brecha?
4. ¿Qué tipo de violación o incumplimiento es más probable que afecte a la empresa y quiénes son las contrapartes con mayor probabilidad de verse afectadas?
5. ¿Qué exigen las cláusulas de privacidad de datos en los contratos con las contrapartes? ¿Existen requisitos de notificación en esos contratos?

"La planificación puede ir desde, como mínimo, asegurarse de que las respuestas a las preguntas anteriores y a otras se han tenido en cuenta y que son conocidas por las personas clave que se encargarán de la gestión de una brecha, hasta realizar un simulacro completo de brecha para poner a prueba los procesos", añade Fawell.

O'Meara dice que el CISO debería ser capaz de proporcionar políticas y procedimientos documentados, incluyendo artefactos de cumplimiento, capturas de pantalla de los ajustes de configuración de seguridad, registros de cortafuegos, registros de auditoría de acceso, formularios de solicitud de acceso a sistemas informáticos y aplicaciones de los usuarios, y registros de formación de seguridad de los empleados, cuando se solicite.

Armstrong recomienda que los CISO se pongan en contacto con abogados que estén acostumbrados a manejar este tipo de riesgos y pleitos antes de que se produzca un incidente. "Cuando se produce un incidente, es importante no tratar de resolverlo como un vaquero solitario", dice.

En la misma línea, O'Meara sugiere que las empresas estadounidenses se asocien con los abogados internos para entender los riesgos de litigio y los impactos y ramificaciones asociados.

También es esencial que los CISO estén familiarizados con los términos de las pólizas de seguro cibernético de una empresa, principalmente lo que está o no está cubierto y los requisitos de notificación en caso de una violación, dice Fawell. "En general, las aseguradoras deberían ser uno de los primeros puertos de escala. No sólo es importante asegurarse de que la cobertura con la que se cuenta; las aseguradoras suelen ser también una buena fuente de información y asesoramiento sobre cómo manejar ciertos aspectos de una violación".

Además, los responsables de seguridad deben tener cuidado con la información que se registra (y la que no se registra) inmediatamente después de una violación de datos, continúa Fawell. "Es importante mantener una pista de auditoría clara de las decisiones tomadas y el porqué. Sin embargo, mientras se aborda una situación inmediatamente complicada, no es raro que se registren por escrito comentarios poco acertados (a menudo de personal de alto nivel), lo que puede ser poco útil en procedimientos legales posteriores. Es especialmente importante que todo el mundo entienda qué comunicaciones pueden tener la protección del privilegio legal en las jurisdicciones pertinentes y cuáles no".

Armstrong ha visto cómo se desarrolla esto último. "El secreto profesional es fundamental. Por lo general, los litigantes solicitan muy pronto ver los memorandos, las comunicaciones y los informes forenses internos. Si no se establece el privilegio correctamente, es probable que se tenga que revelar todo el material".

Siempre que sea posible, es sensato celebrar una reunión en persona entre el personal clave para establecer unas líneas de comunicación claras y garantizar que la pista de auditoría detalle con precisión y claridad el proceso de respuesta, aconseja Fawell.