El D&O y la importancia de la tecnología: 3 ejemplos de ciberataques

En los últimos años no han sido pocos los casos de consejeros delegados y presidentes que han tenido que renunciar a su cargo como consecuencia de una mala gestión de la tecnología en sus empresas. Caídas en los sistemas, ciberataques, extorsiones… Una larga lista de potenciales peligros cibernéticos hace que, cada vez más, los D&O deban prepararse para responder de forma adecuada y minimizando al máximo el impacto ante un problema de ciberseguridad.

Anteriormente, ya te explicamos la relación entre las pólizas de D&O y la exposición a ciberriesgos y tecnología. Estas pólizas están diseñadas para dar protección al patrimonio personal de la Alta Dirección ante posibles reclamaciones derivadas de errores u omisiones en sus funciones. Por ejemplo, decisiones que impliquen los sistemas informáticos, infraestructuras, gestión de datos a raíz del nuevo Reglamento General de Protección de Datos (RGPD) o ciber seguridad.

Hoy, además, te detallamos una serie de ejemplos que te ayudarán a concienciarte de importancia de estar debidamente protegido ante los peligros que esconde la tecnología.

3 ejemplos para entender la importancia que el D&O debe dar a la tecnología de su empresa

TSB: caídas en el servicio y en la web tras la migración de su sistema informático

A principios de septiembre, los problemas tecnológicos se cobraron una nueva víctima al más alto nivel en el mundo empresarial. Hasta ese momento, Paul Pester era Consejero Delegado de TSB, la filial en Reino Unido de Banco Sabadell (adquirida en agosto de 2015 por el banco español). Paul tuvo que dimitir de su cargo como consecuencia de los graves problemas que sus sistemas y servicios informáticos estaban causando a sus usuarios en los últimos meses. Se trataba de caídas del servicio y de la web que tuvo como detonante la migración a un sistema informático único entre ambos bancos.

Paul Pester ha sido el último de una serie de Consejeros Delegados y Presidentes que, en los últimos años, han tenido que renunciar a su posición como consecuencia de problemas tecnológicos, pero no ha sido el único. Veamos más ejemplos donde la tecnología cobra importancia.

British Airways: sustracción de datos personales a usuarios de su App

El impacto que puede tener una brecha de seguridad o caída de los sistemas excede  lo puramente financiero o económico, sino que también incluye otros aspectos relativos a la reputación, posibles multas y sanciones – tanto a la compañía como a sus responsables o la caída de la valoración por parte de accionistas debido a las dudas sobre la gestión de la propia compañía por parte de su management-.

Sirva como ejemplo el de British Airways, que a principios de este mes comunicó a todos aquellos viajeros que usaron los servicios web y su app entre el 21 de Agosto y el 5 de Septiembre de 2018 la posible sustracción de sus datos personales y financieros debido al hackeo de sus sistemas.

Al día siguiente del anuncio hecho por British Airways, el valor de la acción de su matriz International Airlines Group bajo más de un 5%, lo que supuso un importante impacto en el valor de su capitalización bursátil total.

En un informe realizado por KPMG, el 79% de los inversores profesionales que fueron encuestados confirmó que las posibilidades de invertir en una compañía que hubiese sufrido un ciberataque disminuían sustancialmente al entender que el management no prestaba suficiente atención a lo que consideran una parte fundamental de cualquier compañía en la actualidad.

Ashley Madison: extorsión y difusión de datos altamente sensibles

Asimismo, la gran mayoría de directivos y consejeros definen como una de sus grandes preocupaciones en su posición la posibilidad de perder o dañar la reputación de la compañía. Dicha reputación es un intangible fundamental por el que las empresas destinan capital, tanto humano como financiero, y uno de los que más fácil puede verse dilapidado en momentos como el actual, en el que las noticias se viralizan y ganan repercusión en cuestión de horas.

Como ejemplo, en julio de 2015 la web Ashley Madison anunció que sus sistemas habían sido hackeados por un grupo llamado “Impact Team”, el cual difundiría los datos personales de más de 30 millones de usuarios si la página web y los servicios de citas no eran clausurados en un plazo de tiempo determinado. La compañía no accedió a la extorsión y, finalmente, se publicaron los datos de los usuarios de la web. Hasta aquí podría parecer un ejemplo clásico de extorsión si no fuese porque la característica del servicio de esta web eran las citas y sus clientes, personas que buscaban relaciones fuera del ámbito de su matrimonio. Es decir, ¡información altamente sensible!

Como consecuencia, la cartera de clientes de Ashley Madison descendió bruscamente (+50%), su CEO dimitió por el escándalo y, por último, como resultado de la acción colectiva interpuesta contra la sociedad matriz, se acordó un pago de alrededor de 3 500 dólares por cada usuario afectado.

Mitigar la exposición al ciberriesgo, clave la reputación de la compañía (y el D&O)

Con estos ejemplos, parece claro que lo “tecnológico” no debe preocupar solamente a las personas y departamentos de tecnología, sino que los diferentes stakeholders esperan que la Alta Dirección también tenga como una de sus prioridades esta área. El impacto que puede sufrir una compañía puede ser múltiple: financiero, de credibilidad, de reputación…, tal y como ponen de manifiesto los ejemplos de TSB, British Airways o Ashley Madison.

Por ello, nuestra recomendación es la revisión por parte del management de los procedimientos y medidas adoptadas para mitigar su exposición e implantar planes de actuación ante posibles crisis derivadas de ataques o difusión de datos. Una rápida y adecuada comunicación puede ayudar a mitigar el impacto y que tanto la imagen como reputación de la compañía no se vea severamente afectada.