La SEC se toma en serio la ciberseguridad. ¿Es su empresa?

Este verano, la Comisión de Bolsa y Valores (SEC) de los Estados Unidos anunció un cambio significativo en su forma de pensar sobre lo que constituye una amenaza para las empresas: ahora considera que las cibervulnerabilidades son un riesgo empresarial existencial. Esto se hizo evidente en las multas impuestas a dos empresas por la divulgación inadecuada de problemas de ciberseguridad: la editorial británica Pearson PLC y First American Financial Corp. A mediados de agosto, el La SEC anunció que Pearson había accedido a pagar 1 millón de dólares para liquidar las acusaciones de haber engañado a los inversores tras una violación y robo de millones de expedientes estudiantiles en 2018. Y en junio, el La SEC anunció otro acuerdo y una multa de 500 000 dólares a la empresa de servicios inmobiliarios First American Financial por falta de controles de divulgación tras el descubrimiento de una vulnerabilidad en su sistema que dejaba al descubierto 800 millones de archivos de imágenes, incluidos números de la seguridad social e información financiera.

Estas multas representan un cambio importante y que podría cambiar profundamente la forma en que las empresas piensan sobre las amenazas a la ciberseguridad, se comunican internamente sobre estas amenazas y revelan las infracciones.

Las empresas están obligadas a divulgar adecuadamente los «factores de riesgo» en las declaraciones ante la SEC para informar al público inversor sobre los riesgos que pueden conllevar las acciones que compran. Estos riesgos pueden incluir amenazas competitivas, desastres naturales, problemas en la cadena de suministro, recesiones económicas, acontecimientos políticos, problemas de salud pública, guerras comerciales e incidentes de ciberseguridad. Las divulgaciones detallan el riesgo operativo al que se enfrentan los inversores a causa de las amenazas y detallan sus posibles impactos en las operaciones comerciales fundamentales, los ingresos, la cuota de mercado y la reputación de la empresa. Si bien las empresas tienen que mantener los controles adecuados sobre la forma en que divulgan la información a los reguladores, históricamente, la SEC ha tenido pocas repercusiones regulatorias para las empresas que han sufrido ciberataques.

Esto, por supuesto, nunca fue sostenible. El Ley de Bolsa y Valores de 1934 se creó para garantizar la transparencia y la equidad en los mercados de capitales. Si bien la ley no exige específicamente que las empresas divulguen los incidentes de ciberseguridad, la SEC ha intensificado sus advertencias de que los considera un problema grave. En 2011, la agencia aclaró que es necesario divulgar los riesgos e incidentes importantes relacionados con la ciberseguridad. Y un Actualización de 2018 de la guía citó los «riesgos y amenazas actuales para nuestros mercados de capitales» derivados de los incidentes de ciberseguridad.

Estas actualizaciones —y su énfasis en los riesgos reales que plantea la laxitud de la ciberseguridad— reflejan el estado del mundo en este momento. Al igual que los desastres naturales y la escasez de componentes en la cadena de suministro, como los semiconductores, las infracciones de ciberseguridad pueden, en última instancia, perjudicar la situación financiera y la cotización de las acciones de la empresa. Además de los costes de la reparación de un ciberataque y la pérdida de clientes, ingresos y reputación, podrían producirse demandas de los accionistas, demandas de los clientes, aumentos de las primas de seguro y un mayor escrutinio por parte de los auditores externos y el consejo de administración. También hay consecuencias indirectas: los ciberataques pueden distraer a la dirección y provocar nuevos problemas; también pueden provocar auditorías de los clientes sobre las defensas de ciberseguridad de la empresa, lo que puede provocar la participación de abogados externos y otros terceros, y gastos adicionales importantes.

El acuerdo de First American Financial es particularmente notable porque tiene consecuencias operativas si no se divulga adecuadamente un problema de ciberseguridad que podría tener un impacto material en la empresa y, por lo tanto, en sus accionistas. El acuerdo indica un enfoque más directo y contundente por parte de la SEC en lo que respecta a la forma en que las organizaciones comunican su postura y gestión de los riesgos de ciberseguridad, y las empresas deberían tomar nota.

Entonces, ¿qué deben hacer las empresas para asegurarse de no correr una suerte similar? Hay cinco medidas que los líderes corporativos pueden tomar para abordar este cambio:

1. Cree un comité de divulgación compuesto por empleados de nivel director y director sénior.

Este comité debería realizar encuestas cada trimestre para garantizar que la empresa está al tanto de cualquier anomalía importante en los ámbitos financiero, legal, operativo y de ciberseguridad que deba divulgarse a los altos ejecutivos, el consejo de administración, los contadores externos y, potencialmente, a la SEC.

Este proceso de diligencia debida respalda las certificaciones que el CEO y el CFO otorgan a la SEC cada vez que se presentan 10 preguntas y 10 000, y está diseñado para garantizar que el CEO y el CFO tienen la información que necesitan para evitar cualquier posible responsabilidad relacionada con la divulgación. El comité debería tener un líder de seguridad de la información como miembro o consultar con los líderes de la seguridad de la información antes de cada reunión.

2. No espere demasiado para revelarlo.

Los miembros correspondientes de la dirección, los altos ejecutivos, el CEO y el consejo de administración deben estar informados de los riesgos de ciberseguridad, los incidentes y su impacto en la empresa de manera oportuna y, si es necesario hacerlo público, debe hacerse sin demora.

En el caso de First American Financial, pasaron seis meses entre que el equipo de InfoSec se enteró de la infracción y la empresa la divulgó públicamente. Parece que la SEC dice, como mínimo, que seis meses es demasiado tiempo para que los controles y procedimientos de divulgación de una empresa pública entren en vigor y, en última instancia, generen la divulgación pública de una infracción. Esto es notable porque la SEC no ha considerado oportuno sumergirse en los asuntos internos de las empresas públicas en relación con la ciberseguridad hasta ahora.

En última instancia, el momento de la divulgación depende de los hechos de cada caso, por ejemplo, de si la infracción es material y si se activa el reglamento de 8 000 de la SEC, que generalmente impone un requisito de divulgación de cuatro días, de si están implicadas las leyes estatales o federales y de si los acuerdos con terceros están implicados.

3. Comprenda su riesgo de la siguiente manera aumentar la visibilidad de sus activos.

Utilice las herramientas de gestión de vulnerabilidades para evaluar el entorno empresarial y de TI general realizando un inventario para identificar los activos de su entorno, su importancia para las operaciones empresariales y su exposición general. Esto ayudará a los equipos de seguridad a priorizar los problemas que requieren atención inmediata en función del riesgo empresarial, como la aplicación de parches a los sistemas críticos.

4. Realice evaluaciones forenses periódicas de los sistemas de ciberseguridad de la empresa y de todas las amenazas internas y externas conocidas y potenciales.

Una vez que los líderes de seguridad hayan analizado los resultados y tengan recomendaciones, comparta las conclusiones con la alta dirección para que tengan una visión periódica del nivel de riesgo.

5. Prepárese para revelar los problemas de ciberseguridad, como las vulnerabilidades**, infracciones y otros ciberincidentes antes de que se comprenda todo el alcance del incidente.**

Actualice la información a medida que los detalles sean más claros, se cuantifiquen las consecuencias financieras y surjan otras repercusiones. Determine cuidadosamente cuál es el impacto de los incidentes en la empresa, cómo podrían afectar negativamente a las operaciones y las finanzas, y prepárese para divulgar exactamente cuándo se informó a la alta dirección y al consejo de administración.

Al final, tanto First American Financial como Pearson se impusieron sanciones relativamente leves en comparación con el primer caso de problemas de divulgación de infracciones. En 2018, Yahoo era multado con 35 millones de dólares por no revelar una violación de datos de 2014 y sus consecuencias en la divulgación financiera. Sin embargo, First American Financial y Pearson se diferencian de Yahoo en que implican una acción de la SEC relacionada específicamente con la infracción y la vulnerabilidad, mientras que Yahoo implicó una multa de la SEC que se impuso cuatro años después de la infracción y que se refería únicamente a la acusación de engañar a los inversores. Las nuevas multas son una prueba positiva de la SEC de que la agencia ahora considera que el ciberriesgo es tan importante como cualquier otro riesgo empresarial que ponga en peligro las finanzas y el futuro de la empresa y prive al público inversor de la información necesaria para tomar decisiones de inversión acertadas.

En el futuro, veremos un mayor escrutinio sobre la forma en que las empresas gestionan la divulgación de los asuntos de ciberseguridad, en particular. La administración de Biden se ha centrado en crear una mayor transparencia en la ciberseguridad en un intento de mejorar las capacidades defensivas de nuestro país ante el incesante ransomware y otros ataques. En orientación estratégica en marzo, el presidente Biden incluyó las defensas de ciberseguridad como una de las principales prioridades para la seguridad nacional de nuestro país, la primera vez que se designó la ciberseguridad como tal.

Los reguladores esperarán más transparencia por parte de las empresas públicas que sufren ciberataques y otros incidentes que pueden tener consecuencias financieras importantes. Esto es bueno para las empresas y el sector en su conjunto. Cuanta más visibilidad tengan las empresas sobre su ciberriesgo, más eficazmente podrán abordarlo. Con los controles de divulgación correctos y las mejores prácticas de gestión de riesgos, las empresas no solo podrán cumplir con la normativa de la SEC, sino también entender mejor los riesgos y evitar daños futuros. Esto significa menos riesgo para sus inversores y un mercado más saludable.