Manténgase informado con actualizaciones gratuitas
Simplemente regístrate en Seguridad cibernética myFT Digest: entregado directamente a su bandeja de entrada.
El primer jefe cibernético que se opuso a un esfuerzo de la Comisión de Bolsa y Valores de Estados Unidos para responsabilizarlo personalmente por un hackeo masivo ruso ha pedido a los reguladores globales que aprueben leyes de seguridad cibernética más estrictas.
Tim Brown, director de seguridad de la información de SolarWinds, se enfrentó a un demanda histórica que lo acusó a él y a la empresa de engañar a los inversores al no revelar “riesgos conocidos” y representar de forma inexacta las medidas de seguridad de la empresa.
En declaraciones al Financial Times en su primera entrevista desde que la demanda fue desestimada en gran medida por un tribunal federal en julio, Brown advirtió que las regulaciones cibernéticas globales todavía están “en constante cambio”, lo que “añade absolutamente estrés en todo el mundo” a los jefes cibernéticos.
“Cuando no tienes reglas que seguir, es muy difícil seguirlas”, dijo Brown. “Muy pocos miembros del personal de seguridad harían algo que no estuviera bien, pero sólo hay que decirnos qué es lo correcto para poder hacerlo”, añadió.
SolarWinds era una empresa de cadena de suministro de TI con sede en Austin poco conocida hasta que fue atacada por piratas informáticos rusos como parte de un Amplia campaña de espionaje. en 2020.
La demanda de la SEC se produjo en medio de un impulso por parte del organismo para abordar de manera más agresiva los riesgos cibernéticos bajo el mandato del presidente Gary Gensler, así como fuertes señales por parte de él mismo y de otras autoridades de que los individuos podrían ser responsable para trucos.
El año pasado, el ex director de seguridad de Uber, Joe Sullivan, fue sentenciado por las autoridades estadounidenses a tres años de libertad condicional y una multa de 50.000 dólares por encubrir una violación de datos de 2016. Fue el primer procesamiento penal de un ejecutivo de la empresa por el manejo de datos. incumplimiento.
La SEC introdujo nuevas reglas cibernéticas el año pasado en torno a la divulgación de violaciones de datos, además de obligar a las empresas públicas a delinear elementos de sus procesos, estrategias y gobernanza de gestión de riesgos cibernéticos en sus informes anuales.
Brown dijo que tenía esperanzas de que las regulaciones cibernéticas globales estuvieran en la dirección correcta. Dijo que los profesionales de la seguridad se beneficiarían de un equivalente cibernético de la Ley Sarbanes-Oxley, aprobada en 2002 después del escándalo de Enron.
“Hay que recordar que los problemas cibernéticos tienen entre 20 y 30 años. Otras cuestiones regulatorias tienen cientos de años. . . Así que nos estamos poniendo al día con la madurez de ese modelo”, añadió.
La demanda, que citó comunicaciones internas entre Brown y otros empleados de SolarWinds, ha sido vista como un hito para la industria. Los abogados que representan a los profesionales de la seguridad han advertido que existe un riesgo. “espeluznante” Los esfuerzos internos de los ciberprofesionales para mejorar la seguridad de la empresa por temor a que sus comentarios puedan ser sacados de contexto y utilizados en su contra.
El juez de distrito Paul Engelmayer dictaminó en julio que el intento de la SEC de aplicar reglas contables a los procesos de seguridad cibernética era “insostenible”. Desestimó la mayoría de los reclamos contra SolarWinds y Brown, pero confirmó un reclamo de fraude de valores basado en una declaración publicada por SolarWinds en su sitio web corporativo.
Un portavoz de SolarWinds dijo en un comunicado que la compañía planeaba impugnar el cargo restante, que, según dijo, era “fácticamente inexacto”. La SEC se negó a hacer comentarios.
Brown dijo que la demanda, aunque personalmente incómoda, había ayudado a dar voz a los profesionales de seguridad corporativa a nivel ejecutivo.
“Esto ejerce presión, pero también es un punto de inflexión”, afirmó. “Ha elevado el puesto (director de seguridad de la información) y se ha asegurado de que las juntas directivas estén teniendo estas conversaciones”.
Brown se unió este mes al consejo asesor de la firma israelí de gestión de crisis Cytactic, pero dijo que todavía estaba comprometido a permanecer en su puesto en SolarWinds.
“En cuanto al incidente en SolarWinds: ocurrió bajo mi supervisión. ¿Fui yo el responsable final? Bueno, no, pero sucedió bajo mi mando y quiero hacerlo bien”, dijo.
La compañía reportó 193 millones de dólares en ingresos en los tres meses hasta junio, frente a los 246 millones de dólares del mismo período de 2020, antes de que se revelara el hack. Las acciones han comenzado a recuperarse de sus mínimos en 2022, pero aún han bajado más del 40 por ciento desde el llamado incidente Sunburst.
