Entrevistamos a José María Rojí, socio de CMS Albiñana & Suárez de Lezo y especialista en gobierno corporativo, con motivo de la publicación por parte de CMS Albiñana & Suárez de Lezo y la Fundación ESYS de un informe sobre buen gobierno corporativo y ciberseguridad.
1. ¿En qué ha consistido el informe sobre buen gobierno corporativo y ciberseguridad realizado por CMS Albiñana & Suárez de Lezo, en colaboración con la Fundación ESYS y cuál ha sido su finalidad?
La Fundación ESYS es un referente en materia de seguridad y en CMS buscamos alianzas con los mejores para dar respuesta a las necesidades de nuestros clientes. El informe responde al objetivo de analizar con profundidad los retos y riesgos de la ciberseguridad y concienciar de su importancia y de las obligaciones que implica para los órganos de gobierno de las sociedades de capital.
El estudio tiene también un componente práctico al analizar cómo deben afrontar esta realidad los órganos de administración de nuestros clientes. Desde CMS venimos observando cómo la ciberseguridad cobra cada vez más relevancia y sus quiebras causan daños más importantes. Tenemos la convicción de que nuestro asesoramiento no puede ser meramente reactivo, ayudando a nuestros clientes cuando sufren un ataque, sino que tenemos que anticiparnos, contribuir a su protección profundizando en las mejores prácticas de acuerdo con los más altos estándares del gobierno corporativo, y compartiendo todo ello con nuestros clientes y con el mercado.
2. ¿Cuáles son esos nuevos retos que plantea la ciberseguridad en el ámbito societario?
El principal reto consiste en comprender que el crecimiento e implantación de lo tecnológico conlleva que la seguridad de los activos de la empresa se proteja en otra dimensión. Ya no se trata de proteger un perímetro, de puertas, cadenas y candados, de vigilancia física. Hoy los activos son digitales, están en servidores y en la nube, se accede desde los dispositivos profesionales y personales de nuestros empleados y colaboradores, pero también de nuestros clientes y proveedores. La protección trasciende del plano meramente tangible y exige unas herramientas, unas capacidades y una actitud nuevas. Los administradores tienen un deber de control de riesgos que es una manifestación muy relevante del deber de diligencia.
Un ataque cibernético puede resultar devastador para la sociedad en muchos planos y no todos los órganos de administración han valorado con la suficiente profundidad cómo afecta dicho riesgo a su empresa, ni pueden responder con tranquilidad hasta qué punto las sociedades que administran están protegidas y de qué recursos disponen para ello, ni qué planes tienen implementados para esas eventualidades. Poder responder satisfactoriamente a esas cuestiones es el gran reto de los órganos de administración.
3. ¿Hasta qué punto la crisis pandémica ha agravado la situación en este ámbito?
Más que de agravamiento hablaríamos de aceleración. La pandemia ha sido un catalizador de la digitalización y ha impulsado realidades como la venta online, el big data, la inteligencia artificial o el teletrabajo, con lo que implica en conectividad. Las empresas y los particulares hemos multiplicado nuestra presencia digital y nuestra actuación telemática. Mayor actividad cibernética implica más riesgos y exige mayor seguridad. La ciberseguridad tiene que desarrollarse en paralelo a la ciberactividad, si se queda atrás los daños pueden ser catastróficos. La ciberdelincuencia se multiplica y sofistica y ya hemos visto como, en los casos más graves, puede poner en jaque incluso a instituciones gubernamentales o a organismos dedicadas a la defensa o a la seguridad. No se pueden menospreciar las capacidades de los ciberdelincuentes ni confiar en que nuestra empresa no será atacada. La vulnerabilidad en este ámbito puede causar daños desastrosos. Tan importante como tener más presencia digital, como estar más conectado con empleados clientes y proveedores, como vender más en la telemáticamente, es gozar de un nivel de protección adecuado.
4. Dado que los riesgos en ciberseguridad actualmente son de alta probabilidad e impacto y cada vez son más sofisticados tecnológicamente ¿cuáles serían las medidas que, a su juicio, habría que proponer para aminorar los riesgos en las sociedades y los miembros del consejo de administración?
No hay un elenco de medidas estándar, dependerá, entre otros factores, del tamaño de la empresa, del sector en el que opere, de su nivel de digitalización o de la tipología y cantidad de datos que maneje. Lo que sí es común es que el órgano de administración ha de hacer propio el problema y su control, asegurándose de que hay una estructura con recursos adecuados, un mapa de riesgos cibernéticos desarrollado y completo, un sistema de control eficaz y actualizado, una implicación del conjunto de la empresa y de cada uno de sus componentes, una formación adecuada y útil, unos sistemas de alerta operativos, y unos planes de contingencias, de continuidad y de comunicación sólidos. Quienes profundicen en el informe elaborados desde CMS verán que se trata de una cuestión poliédrica con muchos planos y bastantes aristas, de hecho para realizarlo hemos constituido un equipo de socios y Of Counsel del Despacho tremendamente experimentado y con competencias múltiples y diversas: Ignacio Astarloa, Letrado de las Cortes Generales y ex Secretario de Estado de Seguridad, Andrés Recalde, Catedrático de Derecho Mercantil, José Luis Piñar, Catedrático de Derecho Administrativo y una autoridad en protección de datos y Enrique Remón, Fiscal en excedencia.
5. ¿Por qué los problemas de ciberseguridad en las compañías no atañen exclusivamente a los departamentos IT, y su impacto afecta más allá de su propio negocio y reputación?
La ciberseguridad es un reto integral en cuanto a su alcance y material en cuanto a su impacto. Todas las áreas y activos de la empresa y ésta en su conjunto son susceptibles de ser perjudicados por un ciberataque. La mayoría de los integrantes de la organización, cuando no todos, pueden constituir una brecha de seguridad. El impacto puede ser devastador en términos económicos para la propia empresa, de responsabilidad frente a terceros y de daño reputacional.
Un riesgo que afecta a toda la empresa y que puede suponer un daño de la magnitud señalada no puede ser una competencia exclusiva de IT, sino que su gestión y control debe residenciarse en el órgano de administración. El consejo, como máximo órgano de gobierno es el responsable último. El departamento de IT ayudará a implementar las soluciones adecuadas, pero será el órgano de administración quien, con su visión 360 grados y su perspectiva desde un plano superior que además debe proyectar la empresa hacia el futuro, dimensionará adecuadamente la importancia de la ciberseguridad, implicará con ello a toda la empresa e impondrá un estándar de exigencia al departamento de IT y a toda la organización acorde con la extraordinaria relevancia de la materia.
6. ¿Debería incorporarse el control de medidas de ciberseguridad en el Compliance de las organizaciones?
Buen gobierno corporativo, propósito empresarial, compliance, cumplimiento normativo, responsabilidad social corporativa, sostenibilidad; son principios y realidades que se van imponiendo en todas las empresas e instituciones, permeando desde una sociedad cada vez más comprometida y responsable. El compliance tiene un papel fundamental en la implantación de esas realidades y en la prevención de delitos.
La ciberseguridad debe integrarse en el conjunto de políticas de la empresa e indudablemente afectará a los sistemas y procedimientos de compliance. El cómo realizar dicha integración debe ser resuelto por cada empresa, tanto el compliance en general como la ciberseguridad son un traje a medida, no caben planteamientos genéricos que no contemplen las características y circunstancias concretas de cada sociedad adaptándose a ellas.
7. ¿La ciberseguridad precisa de un marco regulatorio propio, del estilo de un código legal de Seguridad de la Información?
Los abogados somos los primeros interesados en la calidad normativa. Las normas deben dar seguridad y para eso tienen que ser claras y preferiblemente pocas, fáciles de conocer, interpretar y cumplir por sus destinatarios. Partiendo de este principio, en general no somos partidarios de excesos regulatorios, pero qué duda cabe que nuevas realidades exigen respuestas normativas. Se trata de una decisión de política legislativa el optar por un código o norma de referencia en la materia. Indudablemente la codificación tiene un mayor impacto mediático y de concienciación, pone el foco sobre la importancia de la materia, pero también dificulta la integración con otras normas que le impactan como las propias del compliance, las de protección de datos, la de secretos empresariales, la de servicios de la sociedad de la información - por citar solo algunas -. La alternativa consistiría en modificar estas y otras normas en lo que fuera necesario para adaptarlas y actualizarlas a una realidad cibernética permanentemente cambiante.
Personalmente me inclinaría por esta segunda opción. Adicionalmente propugnaría que las normas que se dicten tengan el mayor alcance posible en cuanto a ámbitos objetivo, subjetivo y territorial. Lo digital es global, cuanto más global sea su regulación, mejor responderá a su realidad y necesidades.
8. Pensando en nuestro público compuesto principalmente por profesionales del mundo del Derecho (despachos, asesorías jurídicas de empresa, administraciones…) ¿por qué deberían apostar por contemplar la ciberseguridad como tema prioritario en el ámbito de actuación de las sociedades y sus consejos de administración?
Los profesionales del derecho debemos contemplar estos riesgos desde un doble plano. El más inmediato es que también somos víctimas potenciales de un ataque, y tenemos el deber de proteger no solo nuestro propio negocio sino también los datos, información y documentación de nuestros clientes y de terceros de los que somos custodios. Desde nuestra posición de asesores, velamos por la seguridad de nuestros clientes, por proteger su negocio para que puedan desarrollarlo tanto en beneficio propio como en el de la comunidad a la que sirven.
Los administradores confían en que les orientemos en el cumplimiento normativo, el control de riesgos, la gestión de responsabilidades y la mitigación de daños, y esperan de nosotros una actitud proactiva que les ayude a realizar su función con seguridad, anticipándonos a sus necesidades y respondiendo a sus inquietudes. Este es el objetivo que hemos perseguido al realizar el informe de ciberseguridad en colaboración con la Fundación ESYS, a cuyo presidente, Carlos López Blanco, quiero agradecer particularmente su iniciativa y aportación para el éxito de este proyecto.