La violación de Marriott demuestra lo inadecuadas que son las divulgaciones sobre ciberriesgos

Marriott esperó 11 semanas para revelar que se había comprometido el registro de 383 millones de clientes, lo que dejó al descubierto al menos 25 millones de números de pasaporte y 8 millones de tarjetas de pago. ¿Se imagina a Marriott esperando 11 semanas para dar a conocer sus cifras de beneficios trimestrales? Eso no sería aceptable, ¿por qué esperar tanto para revelar este incidente? La violación de Marriott ofrece cuatro lecciones clave para los altos directivos y los reguladores: (i) la divulgación de los ciberriesgos sigue siendo inadecuada; (ii) los eventos especiales, como las fusiones y la reducción de costes asociados, pueden provocar ciberinfracciones; (iii) el ciberriesgo sistémico en el sistema está aumentando; y (iv) las juntas directivas siguen sin estar preparadas o calificadas para hacer frente al ciberriesgo.

••• Otro año y otro hackeo y lo que parece una espera muy larga para enterarse de que ocurrió. Hace poco, Marriott esperó 11 semanas para revelar que[383 millones de registros de clientes](https://news.marriott.com/2019/01/marriott-provides-update-on-starwood-database-security-incident/) se había visto comprometido y había dejado al descubierto al menos 25 millones de números de pasaporte y 8 millones de tarjetas de pago. ¿Se imagina a una empresa como Marriott esperando 11 semanas para dar a conocer sus cifras de beneficios trimestrales? Eso no sería aceptable, ¿por qué esperar tanto para revelar este tipo de incidentes? La violación de Marriott ofrece cuatro conclusiones que pueden resultar útiles tanto para los altos directivos como para los reguladores: 1) la divulgación de los ciberriesgos sigue siendo inadecuada; 2) los eventos especiales, como las fusiones y la reducción de costes asociados, pueden provocar ciberinfracciones; 3) el ciberriesgo sistémico en el sistema está aumentando; y 4) las juntas directivas siguen sin estar preparadas o calificadas para hacer frente al ciberriesgo. **Divulgación inadecuada** La única manera de hacer que las empresas se tomen en serio el ciberriesgo es imponer requisitos de divulgación estrictos y hacer cumplir esas normas de forma activa.[La orientación actual de la SEC es, en el mejor de los casos, vaga](https://www.sec.gov/rules/interp/2018/33-10459.pdf). No tenemos conocimiento de ningún requisito existente en la legislación de valores que se refiera explícitamente a los riesgos de ciberseguridad y a los ciberincidentes. Lamentablemente, las directrices de la SEC no impidieron que Marriott esperara casi tres meses para revelar un hackeo relacionado con cientos de millones de registros de clientes de Marriott. La SEC sí persiguió [dos](https://www.sec.gov/news/press-release/2018-213) [aplicación](ttps://www.sec.gov/news/press-release/2018-71) acciones contra las empresas por no revelar las ciberinfracciones, pero estas medidas coercitivas impusieron acuerdos relativamente pequeños y no afectaron materialmente a los resultados de las empresas. En nuestra opinión, a menos que la sanción sea significativa, los altos funcionarios de la mayoría de las empresas simplemente ignorarán el ciberriesgo. Hemos analizado las declaraciones públicas y las divulgaciones de ciberriesgos asociadas de Marriott. La violación de datos se detectó el 8 de septiembre de 2018. Marriott presentó la 10-Q que cubría el período que finalizó el 30 de septiembre de 2018 el 6 de noviembre de 2018. Aunque Marriott dedicó dos párrafos completos a la amenaza de ciberataques en este documento, no se menciona la violación masiva de datos ni se revela ningún impacto económico para la empresa. Luego, Marriott presentó un formulario 8-K el 30 de noviembre de 2018 en el que revelaba el ciberataque. Se supone que se debe presentar un formulario 8-K en un plazo de tres días después del acto corporativo importante correspondiente y, para otros tipos de noticias, la empresa es capaz de actuar con rapidez. Por ejemplo, cuando el senador Mitt Romney renunció al consejo de administración de Marriott el 8 de noviembre de 2018, se presentó un formulario 8-K el 9 de noviembre de 2018. A continuación, examinamos detenidamente el análisis de Marriott sobre las posibles consecuencias económicas. El ciberseguro promocionado como factor atenuante por la dirección de Marriott podría quedar nulo y sin efecto si las aseguradoras consideran que esta violación de datos se debió a una operación coordinada de recopilación de información por parte de China y alcanzó el umbral de «actividad bélica». Además, también creemos que Marriott podría estar expuesto a las normas europeas de privacidad de datos del RGPD debido a esta infracción, aunque la dirección o los medios de comunicación no han mencionado esta exposición, que sepamos. (Según el RGPD, las infracciones deben denunciarse en un plazo de 72 horas. Mientras al menos un cliente de Marriott resida legalmente en la UE, se aplicará este requisito.) **Las consecuencias de la reducción de costes de las fusiones** Cuando examinamos detalladamente la violación de datos de Marriott, descubrimos que se había producido en los sistemas de Starwood y no en los de Marriott. Como era de esperar, la mayoría, si no todo, del personal de Starwood Corporate, incluidos los que trabajan en tecnología de la información y ciberseguridad, eran[dejar pasar como parte del ahorro de costes derivado de la fusión](http://www.hotelnewsnow.com/Articles/83107/The-human-cost-of-Marriotts-Starwood-acquisition) . Los reguladores deberían considerar la posibilidad de imponer requisitos de divulgación sobre el plan de la empresa de proteger la infraestructura de datos tras una fusión. Y los altos directivos deberían considerar detenidamente el posible impacto de consolidar rápidamente al personal en torno a las funciones de datos críticas. **Ciberriesgo sistémico** El riesgo sistémico relacionado con las ciberinfracciones aumenta con cada infracción importante. Una vez que el hacker consiga entrar en los sistemas informáticos de una empresa, podrá acceder a toda la cadena de suministro de esa empresa. Para entender mejor este riesgo potencial, considere el caso de Avendra LLC. Avendra fue una empresa cofundada por Marriott en 2001 para gestionar el proceso de aprovisionamiento de Marriott en Norteamérica. En 2017, la empresa procesó aprovisionamientos por valor de 5000 millones de dólares en Norteamérica. Si los piratas informáticos acceden a Marriott, podrían aprovechar la relación con Avendra y hacer pedidos falsos. Este tipo de ataque es[estimado](https://www.forbes.com/sites/leemathews/2017/05/05/phishing-scams-cost-american-businesses-half-a-billion-dollars-a-year/#50099d1e3fa1) haber costado a las empresas estadounidenses 500 millones de dólares en 2016. Estimamos que los costes seguirán aumentando exponencialmente a menos que se tome una acción concertada. **Las juntas directivas necesitan más experiencia** Como ocurre con muchas otras empresas, hay una ausencia notable de experiencia en la gestión de ciberriesgos a nivel del consejo de administración y de la dirección ejecutiva de Marriott. El[junta actual](https://news.marriott.com/p/board-of-directors/) tiene 13 miembros, pero ninguno de ellos tiene experiencia en ciberseguridad o tecnología profunda. Marriott no tiene un comité de ciberriesgo dedicado. Como muchas otras empresas, Marriott tiene que apoyarse en «expertos» externos para determinar el alcance, el tamaño y el impacto del ataque. Creemos que los reguladores podrían hacer que las empresas se centren en la preparación cibernética y en la consiguiente exposición al ciberriesgo sistémico obligando a los consejos de administración a hacer declaraciones sobre la exposición de la empresa a la ciberseguridad. Una vez que el consejo de administración esté «en apuros», la responsabilidad corporativa debería mejorar y mitigar los daños que las ciberinfracciones causan a los clientes y a la sociedad en su conjunto. Muchas empresas podrían aprender de la historia de Marriott y considerar en detalle cómo gestionarían una violación de datos tan importante.