ClickCease Aviso legal de la SEC a SolarWinds: Responsabilidad en materia de ciberseguridad

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Aviso legal de la SEC a los ejecutivos de SolarWinds: Responsabilidad en materia de ciberseguridad

Joao Correia

13 de julio de 2023 - Evangelista técnico

En una medida que ha conmocionado al sector de la ciberseguridad, la Comisión del Mercado de Valores de EE.UU. (SEC) ha expedido avisos a los directivos de SolarWinds, uno de los principales proveedores de software de gestión de TI. Los avisos están relacionados con la respuesta de la empresa al ciberataque de 2020 contra su infraestructura, que tuvo repercusiones de gran alcance en miles de clientes, incluidos organismos gubernamentales y empresas de todo el mundo.

 

Los avisos de Wells, recibidos por empleados y directivos actuales y anteriores de SolarWinds, incluidos el director financiero y el director de sistemas de información, indican que el personal de la SEC ha tomado la decisión preliminar de recomendar la presentación de una demanda civil contra los destinatarios. Las acusaciones se refieren a violaciones de determinadas disposiciones de las leyes federales de valores de EE.UU., según consta en la presentación de SolarWinds ante la SEC.

 

Aunque no se trata de una acusación formal de irregularidad ni de una determinación definitiva de infracción de la ley, una Notificación Wells es señal de una posible acción legal. Si la SEC se impone en un juicio, las consecuencias podrían ir desde medidas cautelares contra futuras infracciones y sanciones pecuniarias civiles hasta la prohibición de ejercer como directivo o consejero de una empresa pública.

 

SolarWinds, conocida por su plataforma de monitorización de redes y aplicaciones Orion, fue víctima de un ciberataque orquestado supuestamente por un actor de amenazas afiliado a Rusia. El ataque consistió en distribuir actualizaciones modificadas a los usuarios del software.

 

En realidad, no es la primera notificación Wells que se envía sobre este asunto. Una anterior había sido enviada a la propia SolarWinds, alegando violaciones de las leyes federales de valores de EE.UU. en relación con la divulgación de información sobre ciberseguridad, declaraciones públicas y controles internos. La acción sobre esta notificación sigue pendiente.

 

La medida de la SEC de emitir una Notificación Wells a un CISO es inusual y podría anunciar una nueva era de responsabilidades potenciales para los profesionales de la ciberseguridad. Tradicionalmente, este tipo de notificaciones se han emitido a directores generales o directores financieros en casos de esquemas Ponzi, fraude contable o manipulación del mercado. Sin embargo, un CISO podría violar las leyes al no revelar información material, como la gravedad de un incidente o no revelarla a tiempo. Sin embargo, atribuir la culpa únicamente al CISO o al CFO puede no ser siempre justo o exacto, ya que la gestión de la ciberseguridad a menudo implica a varias partes interesadas y departamentos.

 

Las acciones de la SEC pueden haberse visto influidas por diversos factores, como circunstancias específicas, marcos jurídicos o negligencia demostrada si el CISO no aplicó las medidas de seguridad adecuadas, desatendió las políticas, directrices y prácticas de la SEC o ignoró vulnerabilidades conocidas.

 

SolarWinds, por su parte, ha afirmado que el ataque, bautizado como "Sunburst", fue un ataque altamente sofisticado e imprevisible llevado a cabo por una superpotencia mundial utilizando técnicas novedosas. La empresa también advirtió de que las acciones legales contra ella y sus empleados podrían tener un efecto disuasorio sobre las revelaciones de infracciones.

 

Esta situación se hace eco de un caso similar en Finlandia, donde el ex director general de una clínica de psicoterapia fue condenado a una pena de prisión suspendida por malas prácticas de ciberseguridad.. La empresa no había cumplido los requisitos del GDPR relativos a la seudonimización y el cifrado de los datos de los pacientes, lo que dejó la información sensible expuesta a robos y accesos no autorizados. El director general y los responsables de TI eran conscientes de los problemas de seguridad y de la violación de datos, pero optaron por ocultar las pruebas relacionadas con las violaciones y los intentos de chantaje en lugar de denunciar el incidente a las autoridades.

 

En un guiño a otras grandes investigaciones del pasado, no relacionadas con la informática, "no es el crimen, es el encubrimiento".

 

El caso de SolarWinds y el ejemplo finlandés subrayan la creciente importancia de la ciberseguridad y las posibles consecuencias jurídicas de la negligencia en este ámbito. Sirve de duro recordatorio a todas las empresas y a sus ejecutivos de que la ciberseguridad no es solo una cuestión técnica, sino una responsabilidad jurídica y ética

 

Aunque aún está por ver cómo se desarrollará esta situación, está claro que la ciberseguridad ya no es sólo una cuestión de TI. Es un riesgo empresarial crítico que requiere la atención y supervisión de los más altos niveles de dirección. A medida que el panorama legal sigue evolucionando, las empresas y sus ejecutivos deben mantenerse informados y proactivos en su enfoque de la ciberseguridad para evitar posibles repercusiones legales. El informe señala un cambio hacia una mayor responsabilidad de los profesionales de la ciberseguridad y pone de relieve las posibles consecuencias jurídicas de no protegerse adecuadamente contra los ciberataques y no responder a ellos.

 

Como dice el refrán, "más vale prevenir que curar". En el contexto de la ciberseguridad, esto significa invertir en medidas de seguridad sólidas, fomentar una cultura de concienciación sobre la seguridad y garantizar la transparencia y la prontitud en la respuesta a los incidentes. Estas acciones no sólo ayudarán a proteger contra las amenazas cibernéticas, sino también a mitigar el riesgo de acciones legales en caso de violación.

 

Al final, el objetivo debe ser crear un entorno digital seguro en el que las empresas puedan prosperar y los clientes puedan confiar en que sus datos están a salvo. El caso de SolarWinds sirve para recordar lo mucho que está en juego y la necesidad de una vigilancia continua frente a las ciberamenazas en constante evolución.

 

Resumen
Aviso legal de la SEC a los ejecutivos de SolarWinds: Responsabilidad en materia de ciberseguridad
Nombre del artículo
Aviso legal de la SEC a los ejecutivos de SolarWinds: Responsabilidad en materia de ciberseguridad
Descripción
Explore la conexión entre SolarWindis y el ciberataque de 2020, que tuvo repercusiones de gran alcance en miles de clientes, incluidas agencias gubernamentales y empresas de todo el mundo.

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín