Se encuentra usted aquí

La Ley de Sociedades de Capital exige deber de diligencia de los miembros de los consejos de administración frente a los ciberataques

Lo dice el artículo 225 de la Ley de Sociedades de Capital en su apartado primero donde indica que los administradores deberán desempeñar el cargo y cumplir los deberes impuestos por las leyes y los estatutos con la diligencia de un ordenado empresario.

En el apartado segundo se señala que “los administradores deberán tener la dedicación adecuada y adoptarán las medidas precisas para la buena dirección y el control de la sociedad”.

Desde esta perspectiva, el papel del administrador es poner los medios adecuados para evitar que los ataques puedan generar más daño del debido.

La digitalización en el ámbito empresarial ha adquirido en los últimos años un papel protagonista y por ello ha impactado de forma directa en las necesidades y requerimientos de las organizaciones en materia de ciberseguridad.

Desde CMS Albiñana y Suárez de Lezo y Fundación ESYS abordan en el informe “Buen gobierno y ciberseguridad: deberes y responsabilidades de las sociedades y de los miembros del Consejo de Administración”, que indica cuál debe ser el papel de los órganos de administración de las compañías para hacer frente a los nuevos retos que plantea la ciberseguridad.

Para José María Rojí, socio de mercantil de este despacho “los deberes que genera la condición de administrador son obligaciones de medios, no de resultados. No se puede garantizar que no tengamos ciberataques, pero si garantizar que, atendiendo al riesgo real que tengo, hemos puesto las medidas adecuados“.

“La gestión de los riesgos cibernéticos debe formar parte de la actividad de los órganos de administración, quienes, en el ejercicio de su deber de control, supervisarán el que los órganos directivos propongan y ejecuten los planes necesarios para proteger a la empresa y con ella a sus ‘stakeholders’ [partes interesadas] de esta tipología de riesgos”, comenta.

Este experto señala que “todos los sistemas son vulnerables en cierta medida. Ese cuidado dependerá del tamaño de mi empresa y del valor de los bienes a proteger. En el caso de que tuviera datos personales especialmente sensibles, habrá que tener un especial cuidado en protegerlos».

José María Rojí, socio de mercantil de CMS Albiñana.

 

Otra obligación de los administradores supone habilitar a sus profesionales para que desarrollen planes de comunicación y de contingencia para mitigar esos daños y buscar la continuidad del negocio. «En empresas muy digitalizadas a veces no es sencillo continuar con la actividad. pero es necesario tener una solución alternativa para poder seguir operativos a nivel empresarial”.

Una tercera obligación es “comunicar internamente para mitigar los daños externamente a las autoridades y colaborar en resolver este tipo de asuntos, así como la relación con terceros, proveedores, clientes y otros interlocutores para que conozcan realmente la magnitud de la situación”.

Estos tres planos de responsabilidad “como me protejo, como mitigo ese daño y como se comunica adecuadamente son manifestaciones del deber de diligencia. Cada uno ello tendrá sus propias obligaciones subsidiarias”.

LA IMPORTANCIA DEL COMPLIANCE PENAL

Rojí cree que es difícil que tenga responsabilidad penal, salvo en casos muy extremos “pero es evidente que no haber implementado un ‘Compliance’ penal en la empresa puede no exonerar de las penas que pueda tener la compañía, no directamente el administrador, como consecuencia de delitos cometidos por sus empleados”.

Lo que si queda claro con este estudio es que el nivel de concienciación sobre estos temas “es aún diverso, las grandes empresas del Ibex u otras similares ya han implementado sus políticas de riesgos, pero la mayor parte del tejido empresarial aún no tiene esa mentalidad de proteger sus activos”

La publicación de este informe se realiza en un momento en que la incidencia de los ciberataques está aumentando cada día de forma considerable, tendencia que confirman estudios recientes realizados por organismos y entidades especializados como el Centro Criptológico Nacional CCN-CERT, el Instituto Nacional de Ciberseguridad INCIBE o La Agencia Española de Protección de Datos.

Según el informe estos ataques pueden suponer importantes daños materiales, cuantiosos deberes indemnizatorios, la imposición de sanciones, la pérdida de propiedad intelectual y planes de negocio, la revelación de secretos empresariales, o la pérdida y/o revelación de datos de carácter personal, junto a un grave impacto reputacional, y también la quiebra de la continuación del negocio, si son exitosos y no hay un adecuado plan de contingencias.

Por su parte, Maite Arcos, directora general de la Fundación ESYS, subraya el compromiso de la Fundación que dirige en ayudar a las empresas y la sociedad en afrontar los riesgos de seguridad en el presente contexto digital.

En este sentido, afirma que “ninguna empresa, sea el sector o el tamaño que sea, está fuera del alcance de este tipo de riesgos. Y ESYS está comprometida con la generación de una cultura corporativa de la seguridad desde el diseño”.

Para Roji “la acumulación de responsabilidades atribuidas a las empresas en nombre de la ciberseguridad obliga a revisar su organización corporativa y las reglas de funcionamiento internos, así como el papel que, en ese marco, corresponde al órgano de administración”.

También indica que “las violaciones de seguridad facilitan los ciberataques, exponen a las entidades a posibles robos de datos y dan pie a suplantaciones de identidad”.

Desde este despacho se insiste en que el establecimiento de modelos de prevención de delitos constituye una eficaz herramienta para proteger la posición jurídico-penal de la persona jurídica, así como la de los administradores, en caso de la comisión de un delito dentro de la organización porque dicha medida vendría a acreditar el cumplimiento del debido deber de control respecto de la actuación de la sociedad.

Maite Arcos, directora general de la Fundación ESYS.

NECESIDAD DE DESARROLLAR UN PLAN DE ACCIÓN DE RESPUESTA

Al final lo que el estudio señala es definir un plan de acción donde el órgano de administración de cada empresa debe reconocer como una competencia propia derivada de su deber de diligencia el control de los riesgos cibernéticos, implicándose en que se instrumenten las medidas precisas para proteger a la sociedad y sus stakeholders.

Eso significa que deberá asignar responsabilidades y competencias en la materia de modo que la sociedad disponga de la estructura adecuada para abordar el reto de la ciberseguridad.

“En función de la actividad y tamaño de la entidad, se deberá contar con personas internas con conocimientos y experiencia específicas en materia de ciberseguridad, quienes a su vez deberán contar cuando sea preciso con el asesoramiento externo necesario”, comenta este jurista.

También se indica que “dentro de las competencias a asignar, está la de revisar el marco normativo concreto aplicable a la entidad y su grupo en función de su actividad, sector y dimensión. Dada la creciente proliferación de normas y recomendaciones en la materia, conviene actualizar dicho análisis periódicamente, evitando que quede desfasado”, indica.

Asignadas las responsabilidades, deberá elaborarse un mapa de riesgos y un sistema de controles, integrándolos en el conjunto de sistemas de la empresa.

Si como consecuencia de dichos riesgos y controles debe modificarse la estructura de personas y recursos asignados o los niveles de responsabilidad, el órgano de administración deberá adoptar las medidas necesarias al efecto.

Otra cuestión importante es que las acciones anteriores no son por sí mismas suficiente si no involucran al conjunto de la organización concienciándola de la importancia de la ciberseguridad y de la relevancia de que cada uno de los miembros de la organización cumplan con sus obligaciones en la materia, sabedores de que las cadenas siempre se rompen por el eslabón más débil.

Como norma general, en este tipo de modelos se pretende que siempre que haya un incidente de ciberseguridad que lo justifique, deberán establecerse los sistemas de revisión de la estructura control y reporting, del mapa de riesgos y de los distintos planes enunciados, así como de los procedimientos de concienciación y formación de todos los empleados.

 
Miércoles, 25 Mayo, 2022