Los CISO bajo la lupa: preparándose para la responsabilidad ejecutiva

Por Danny Bradbury • 10 de abril de 2025

El ex CISO de Uber, jose sullivan, no logró limpiar su nombre el mes pasado, reabriendo una discusión sobre los riesgos personales que enfrentan los altos ejecutivos debido a las violaciones de seguridad cibernética.

Sullivan había apelado una condena de octubre de 2022 por ocultar un delito grave tras sobornar a ciberdelincuentes que piratearon las cuentas de clientes de su exempleador. El ataque informático de 2016 comprometió la información personal de 57 millones de clientes y 600,000 conductores de Uber. Sullivan pagó a los delincuentes 100,000 dólares del programa de recompensas por errores de la compañía y les obligó a firmar un acuerdo de confidencialidad. Tampoco informó a la Comisión Federal de Comercio (FTC), obligación que le exigía un acuerdo de 2014 tras otro ataque informático.

Sullivan, quien había sido sentenciado a tres años de libertad condicional y una multa de $50,000 por la condena en mayo de 2023, apeló la sentencia. La apelación argumentó que no había cometido "encubrimiento ilícito" (el acto de ocultar un delito grave a la autoridad gubernamental) porque la NDA autorizó retroactivamente el hackeo. El tribunal rechazó este argumento, junto con algunas alegaciones de errores de procedimiento.

La firmeza del tribunal en este asunto vuelve a plantear el espectro de la responsabilidad ejecutiva personal por violaciones de ciberseguridad o la mala gestión de la respuesta a incidentes. Estas supuestas transgresiones se manifestaron de diversas formas.

Algunas deficiencias percibidas de los CISO se relacionan con declaraciones engañosas. La SEC demandó personalmente a Timothy G. Brown, CISO de SolarWinds, tras las filtraciones de datos de 2019 y 2020, argumentando que hizo declaraciones falsas sobre su ciberseguridad en documentos públicos, a pesar de que la empresa conocía sus debilidades. Posteriormente, un tribunal desestimó las acusaciones contra Brown.

Otros giran en torno a la propia falta de ciberseguridad. James Rellas, director ejecutivo del servicio de entrega de alcohol Drizly, no contaba con un ejecutivo dedicado a la ciberseguridad cuando una brecha de seguridad en su empresa expuso la información de 2.5 millones de clientes. Informe de la FTC de 2022. solicite responsabilizó no sólo a la empresa por comportamientos presuntamente negligentes en materia de ciberseguridad, sino también a él personalmente.

Una sanción personal impuesta a un CISO se centró en comportamiento fraudulento. Jun Ying, ex CISO de Equifax US Information Solutions, recibió una sentencia de prisión de cuatro meses Tras ejercer sus opciones sobre acciones antes de que se revelara públicamente una filtración de datos en la empresa en 2017, Ying, quien conocía la filtración al ejercer sus opciones, evitó pérdidas de más de 117,000 dólares mediante el uso de información privilegiada. El Departamento de Justicia lo obligó a reembolsar las pérdidas, junto con una multa, y fue condenado a cuatro meses de prisión.

Responsabilidad ejecutiva fuera de EE. UU.

No son solo los ejecutivos estadounidenses los que enfrentan responsabilidad personal por gestionar incidentes de ciberseguridad. Kim Jin-Hwan, responsable de privacidad de la agencia de viajes surcoreana Hana Tour Service, fue personalmente... multado 10 millones de wones coreanos por negligencia en una violación de seguridad en 2017 que afectó a 465,000 clientes.

Las regulaciones también han puesto el foco en la responsabilidad personal de los ejecutivos. La UE para 2022 NIS2 (2022) exige la rendición de cuentas de la alta dirección por el incumplimiento de la normativa de ciberseguridad, lo que permite la imposición de sanciones personales. Estas incluyen suspensiones temporales de ejecutivos considerados incapaces de cumplir con sus responsabilidades en materia de ciberseguridad.

Otro reglamento de la UE, la Ley de Resiliencia Operativa Digital (DORA), se centra en garantizar que las organizaciones financieras puedan mantener servicios críticos ante amenazas sistémicas. Permite multas de hasta un millón de euros a ejecutivos negligentes.

Desafíos para los CISO

El problema para los CISO radica en el efecto disuasorio que conlleva el riesgo de responsabilidad personal, advirtieron muchos en cartas al juez William Orrick III, quien presidió el caso original de Uber. La preocupación radica en que los CISO podrían sentirse incapaces de realizar su trabajo bajo la amenaza de responsabilidad personal.

Esta preocupación es válida si se considera la creciente superficie de ataque de la corporación promedio. Se anima a las empresas a mantenerse competitivas probando tecnologías en rápida evolución, como la IA, la tecnología móvil y la computación en la nube. Esto aumenta la carga de la supervisión ejecutiva. Si una persona que actúa de buena fe corre el riesgo de incurrir en responsabilidad personal ante ciberamenazas abrumadoras, esto puede desanimar a las personas a asumir el cargo.

Sin embargo, los incidentes punitivos aquí parecen basarse no tanto en las brechas de ciberseguridad en sí, sino en la gestión de la información de respuesta a incidentes antes y después del incidente. Sullivan no fue castigado por la brecha. Fue castigado porque intentó encubrirla. Otros conocían sus vulnerabilidades años antes de las brechas y tomaron poca o ninguna medida preventiva. Y adelantarse a las noticias de una brecha para sus propios fines de negociación de acciones es claramente una práctica de mala fe.

Cómo proteger a los ejecutivos

A medida que aumenta el riesgo de responsabilidad personal, las empresas que sigan marcos bien establecidos de ciberseguridad y gestión de riesgos podrán protegerse a sí mismas (y a su alta dirección) de ramificaciones regulatorias o legales.

La norma ISO 27001 es una herramienta esencial en este contexto, ya que es una norma internacional reconocida que demuestra la debida diligencia proactiva. La Ley de Protección de Datos de Ohio incluso ofrece una protección legal explícita para los programas de ciberseguridad que se ajustan razonablemente a la norma ISO 27001.

La norma ISO 27001 ofrece prácticas fundamentales que pueden ayudar a demostrar la debida diligencia y rigor al implementar medidas de ciberseguridad. Estas incluyen el establecimiento de un marco de gobernanza de ciberseguridad claro y documentado con la participación de la alta dirección y la implementación de planes de respuesta a incidentes documentados y basados en estándares. Otras medidas incluyen la realización periódica de capacitaciones, auditorías y procesos de mejora continua.

Se recomienda mantener una documentación exhaustiva para proporcionar evidencia de la supervisión ejecutiva y la gestión de riesgos, llevadas a cabo de la mejor manera posible por las capacidades del equipo de gestión.

Sin embargo, la palabra "equipo" es crucial. Los altos ejecutivos deben apoyar adecuadamente a los responsables de ciberseguridad, y se les deben depositar expectativas razonables. Con demasiada frecuencia, se espera que los CISO detengan todos los ataques sin una inversión significativa y sin el apoyo adecuado de una empresa centrada exclusivamente en el lanzamiento del próximo producto y la maximización de las ganancias. Este es un problema que requiere un cambio cultural.

danny bradbury

Danny Bradbury ha sido periodista impreso especializado en tecnología desde 1989 y escritor independiente desde 1994. Ha escrito para publicaciones nacionales en ambos lados del Atlántico y ha ganado premios por su trabajo de periodismo de investigación en ciberseguridad.

Lea más de Danny Bradbury

La seguridad cibernética 15 de enero de 2026

De la seguridad perimetral a la identidad como bandera de seguridad

De la seguridad perimetral a la identidad como seguridad

Hoy en día, es imposible ver un evento de seguridad sin ver la frase "confianza cero". Es una palabra de moda, sí, pero...

danny bradbury

La seguridad cibernética 18 December 2025

Cómo navegar por el laberinto de cumplimiento de IA en EE. UU.

Cómo navegar por el laberinto del cumplimiento normativo de la IA en EE. UU.

En materia de regulación, el término «Estados Unidos» es un oxímoron. Las leyes estatales están lejos de estar unificadas, y cada jurisdicción tradicionalmente...

danny bradbury

La seguridad cibernética 20 November 2025

Lo que las brechas de seguridad de Salesforce nos enseñan sobre la responsabilidad compartida

2025 no ha sido un buen año para los clientes de Salesforce. Un grupo criminal sin escrúpulos lanzó una serie de ataques contra sus clientes, afectando finalmente a...

danny bradbury