Una crisis silenciosa se está desarrollando dentro del marco de insolvencia corporativa de la India, una que los profesionales de ciberseguridad y cumplimiento no pueden seguir ignorando. El Proceso de Resolución de Insolvencia Corporativa (CIRP), diseñado para rescatar empresas en dificultades financieras, está creando inadvertidamente enormes puntos ciegos en la gobernanza de ciberseguridad, la protección de datos y el cumplimiento normativo. Casos recientes que involucran a empresas como Baron Infotech Limited, JCT Limited y Tijaria Polypipes Limited revelan un patrón sistémico donde las funciones críticas de seguridad son relegadas o completamente pasadas por alto durante la transición a los profesionales de resolución y los comités de acreedores.
El Vacío de Gobernanza: Cuando Cambia la Supervisión
Bajo el Código de Insolvencia y Quiebra (IBC), una vez que una empresa ingresa al CIRP, la junta directiva es suspendida y el control se transfiere a un Profesional de Resolución de Insolvencia (IRP). Este IRP, a menudo un contador público o abogado, tiene la tarea de preservar el valor de la empresa, gestionar las operaciones y facilitar un plan de resolución para los acreedores. Su mandato es abrumadoramente financiero. La ciberseguridad, a menos que impacte directamente la valoración de activos, rara vez figura como prioridad. Como se vio con el acuerdo de arrendamiento de oficinas corporativas de Baron Infotech bajo CIRP, se toman decisiones operativas para mantener la continuidad del negocio, pero las implicaciones de seguridad de nuevas instalaciones, configuraciones de red y acceso a datos para nuevo personal rara vez forman parte de la debida diligencia.
De manera similar, la décima reunión del Comité de Acreedores (CoC) de JCT Limited ejemplifica el enfoque. Los acreedores, principalmente preocupados por recuperar sus créditos, revisan la viabilidad financiera y los planes de resolución. Los riesgos de ciberseguridad—como la integridad de los sistemas TI que albergan datos financieros, la seguridad de la propiedad intelectual que se valora o el cumplimiento de las leyes de protección de datos—no son puntos estándar en la agenda. Esto crea un vacío de gobernanza donde ninguna entidad es responsable de la postura de ciberseguridad de una empresa que posee cantidades potencialmente vastas de datos sensibles corporativos y de clientes.
La Deuda Técnica y la Bomba de Tiempo del Cumplimiento
El período CIRP, que puede extenderse por meses o incluso años como se observa con la audiencia del NCLT de Tijaria Polypipes programada para 2026, es un período de extrema vulnerabilidad. Emergen riesgos técnicos clave:
- Postura de Seguridad Estancada: Las herramientas de seguridad y las licencias de software a menudo vencen durante el CIRP. Con cuentas congeladas y gastos bajo escrutinio de los acreedores, estas renovaciones esenciales para firewalls, protección de endpoints y feeds de inteligencia de amenazas pueden posponerse o denegarse, dejando los sistemas expuestos a vulnerabilidades conocidas.
- Fuga de Conocimiento y Caos de Acceso: La salida de los equipos originales de TI y seguridad conlleva una pérdida crítica del conocimiento institucional sobre la arquitectura de sistemas, configuraciones de seguridad y planes de respuesta a incidentes. El IRP puede otorgar acceso a los sistemas a varios asesores (legales, financieros, operativos) sin los controles de acceso o monitoreo adecuados, aumentando exponencialmente la superficie de ataque.
- Fragmentación y Pérdida de Activos de Datos: El proceso de identificación y valoración de activos para la resolución puede llevar a que los datos se copien, transfieran o accedan en dispositivos inseguros. Conjuntos de datos sensibles—PII de clientes, registros financieros, secretos comerciales—pueden ser manejados por partes sin protocolos adecuados de seguridad de datos, arriesgando violaciones e incumplimiento de regulaciones como la próxima Ley de Protección de Datos Personales Digitales (DPDPA) de la India.
- Amplificación del Riesgo de Terceros: Como se ve en casos donde se arriendan activos o se mantienen operaciones, nuevos proveedores externos ingresan al ecosistema. Su postura de seguridad rara vez se verifica con el estándar requerido previo a la insolvencia, creando nuevas vulnerabilidades en la cadena de suministro.
Las Consecuencias de Alto Impacto
El impacto de estos puntos ciegos no es teórico; es alto y multifacético. Un incidente de ciberseguridad durante el CIRP puede:
- Destruir el Valor Empresarial: Una violación de datos o un ataque de ransomware puede diezmar el valor restante de la empresa, haciéndola poco atractiva para posibles solicitantes de resolución y perjudicando la recuperación de los acreedores.
- Desencadenar Responsabilidad Legal y Regulatoria: El incumplimiento de la protección de datos, regulaciones sectoriales (como las directrices del RBI para datos financieros) o leyes de divulgación obligatoria de violaciones puede resultar en sanciones significativas, que se convierten en reclamos contra la masa insolvente ya en dificultades.
- Erosionar la Confianza de las Partes Interesadas: Las violaciones que afectan a datos de clientes o empleados pueden conducir a demandas colectivas y daños reputacionales irreparables, complicando cualquier futuro resurgimiento del negocio.
Un Llamado a la Integración de Ciber-GRC en los Marcos de Insolvencia
Abordar este agujero negro requiere un cambio de paradigma. La comunidad de ciberseguridad, los profesionales legales y los reguladores deben colaborar para integrar el Ciber-GRC (Gobernanza, Riesgo y Cumplimiento) en el tejido de la resolución de insolvencias. Los pasos concretos incluyen:
- Mandatos Regulatorios: La Junta de Insolvencia y Quiebra de la India (IBBI) debería emitir directrices que conviertan la debida diligencia en ciberseguridad y el mantenimiento de una línea base de seguridad mínima en un deber obligatorio del IRP.
- Educación del Comité de Acreedores: Los riesgos de ciberseguridad deben enmarcarse como riesgos financieros directos para la recuperación. Los acreedores deberían exigir evaluaciones de riesgo cibernético como parte de las evaluaciones del plan de resolución.
- Capacitación y Paneles de IRP: Los programas de capacitación para IRP deben incorporar fundamentos de ciberseguridad. Además, se podrían designar paneles de profesionales certificados en ciberseguridad para asesorar a los IRP en casos complejos, de manera similar al nombramiento de valuadores.
- Protocolos Estandarizados: Desarrollar listas de verificación estandarizadas para IRP que cubran la revisión de acceso a sistemas, renovación de licencias, inventario y clasificación de datos, y evaluaciones de seguridad de proveedores durante el CIRP.
Los casos de Baron Infotech, JCT y Tijaria Polypipes no son incidentes aislados; son indicadores tempranos de un riesgo sistémico. A medida que continúan los ciclos económicos, más empresas ingresarán a procesos de resolución. Cerrar proactivamente este punto ciego de ciberseguridad no se trata solo de proteger datos—se trata de preservar la integridad y el éxito del propio mecanismo de rescate corporativo. El momento de actuar es ahora, antes de que una violación importante convierta un rescate corporativo en una catástrofe corporativa.
Comentarios 0
Comentando como:
¡Únete a la conversación!
Sé el primero en compartir tu opinión sobre este artículo.
¡Inicia la conversación!
Sé el primero en comentar este artículo.