La Comisión de Bolsa y Valores de EE. UU. (SEC, por sus siglas en inglés) ha propuesto nuevas reglas de gestión de riesgos de ciberseguridad para las corporaciones que les exigirían ser más transparentes con las divulgaciones de los clientes.
Las nuevas reglas se implementarían como enmiendas a varios formularios con respecto a las divulgaciones de seguridad cibernética y se enfocarían específicamente en asesores de inversiones, fondos de inversión y empresas de desarrollo comercial.
Se acabaron los hacks de ciberseguridad ocultos
La introducción de una regulación más estricta con respecto a las divulgaciones de seguridad cibernética no es un nuevo esfuerzo de la SEC. En 2018, el ex comisionado de la SEC, Robert J. Jackson Jr., dijo que los requisitos de divulgación actuales “se equivocaron en el lado de la no divulgación” y, a menudo, dejaban a los inversores en la oscuridad cuando las empresas experimentaban piratería u otros ataques de ciberseguridad.
Actualmente, la dirección de la empresa solo está obligada a mantener informados a los consejos de administración sobre cuestiones de ciberseguridad, sin obligación de compartirlos con los inversores u otros clientes. Sin embargo, un informe conjunto de 2021 mostró que en 2020, solo el 17 % de las empresas de Fortune 100 encuestadas informaron problemas de ciberseguridad a los miembros de la junta directiva de forma anual o trimestral.
La SEC parece ansiosa por cambiar esto, ya que pasó la mayor parte de 2022 presentando varias propuestas que, si se aprueban, requerirían que las empresas públicas informen sobre ataques e incidentes cibernéticos.
Este es el caso de la propuesta de Gestión de riesgos de ciberseguridad para asesores de inversión, sociedades de inversión registradas y empresas de desarrollo empresarial, publicada el 9 de febrero.
En el documento, la SEC propone introducir nuevas reglas bajo la Ley de Asesores de Inversiones de 1940 y la Ley de Sociedades de Inversión de 1940 para exigir fondos y asesores para implementar nuevas políticas de ciberseguridad. Según el documento, estas políticas y procedimientos están diseñados específicamente para abordar los riesgos de ciberseguridad al exigir a las empresas que informen a la SEC sobre incidentes significativos de ciberseguridad que afecten al asesor, su fondo o clientes de fondos privados.
“Creemos que exigir a los asesores y fondos que informen la ocurrencia de incidentes significativos de ciberseguridad reforzaría la eficiencia y eficacia de nuestros esfuerzos para proteger a los inversores, otros participantes del mercado y los mercados financieros en relación con los incidentes de ciberseguridad”, dijo la SEC en la propuesta.
Jamil Farshchi, director de seguridad de la información de Equifax, le dijo a Bloomberg News que las reglas propuestas brindarían la transparencia que tanto necesita el liderazgo corporativo y requerirían una responsabilidad sin precedentes en lo que respecta a la seguridad cibernética.
Más reglas equivalen a una SEC más fuerte
Muchos creen que el reciente impulso de la SEC para desempeñar un papel más activo en el fortalecimiento de las normas relativas a la ciberseguridad es un resultado directo del ataque a SolarWinds. El infame evento es ampliamente considerado como uno de los peores incidentes de espionaje cibernético sufridos por los EE. UU., ya que el país vio muchas partes de su gobierno federal objetivo de un grupo de piratas informáticos respaldados por Rusia.
Los atacantes infectaron las actualizaciones de un contratista federal de EE. UU. y las usaron como trampolín para entrometerse en varias agencias gubernamentales y empresas. Después del hackeo, la SEC envió cartas a las empresas que creía que estaban en riesgo por los hackeos, exigiéndoles que autoinformaran si habían sido hackeados y el daño infligido por los hackeos.
Como la Comisión recibió una cantidad decepcionante de revelaciones, inició el Programa de Amnistía, ofreciendo perdón a las empresas que finalmente cumplieron con la solicitud de autoinforme, incluso si no habían revelado previamente el incidente a los inversores.
En ese momento, la Asociación Nacional de Directores Corporativos, Cyber Threat Alliance y SecurityScorecard calificaron el programa como “digno de mención”, ya que señalaba la evolución de la visión de la SEC sobre el riesgo cibernético. Sachin Bansal, director comercial y oficial legal de SecurityScorecard, lo calificó como un momento de “punto de inflexión” para la SEC.
Pero, a pesar de esto, la nueva propuesta de la SEC deja muchas piedras sin remover.
Las nuevas reglas requerirán que las empresas divulguen incidentes cibernéticos “materiales” o “significativos” si se implementan. La SEC considera que la información “sustancial” es cualquier información con una “probabilidad sustancial de que un accionista razonable la considere importante”.
Muchos encuentran que las definiciones de la SEC son demasiado vagas para brindar una transparencia significativa al mercado. La vaguedad también significa que las reglas estarían sujetas a interpretaciones por parte de la SEC caso por caso, dejando espacio para que las empresas apelen los fallos y establezcan precedentes que podrían hacer que la propuesta sea esencialmente inútil.
Sin embargo, todavía hay espacio para mejorar. La SEC no está lista para votar sobre la propuesta hasta dentro de unas pocas semanas, lo que deja mucho espacio para que los participantes de la industria compartan sus preocupaciones y sugerencias con la Comisión.
No está claro cómo afecta esto a la criptoindustria, con más y más fondos de inversión que incluyen varios activos digitales y criptoderivados en sus carteras. Sin embargo, las reglas propuestas podrían dar lugar a muchas divulgaciones provenientes del espacio criptográfico.