El 26 de julio de 2023, la Comisión de Bolsa y Valores (SEC) implementó nuevas normas de ciberseguridad para exigir la divulgación de incidentes importantes de ciberseguridad en un plazo de cuatro días hábiles, con excepciones limitadas. Además, las empresas que cotizan en bolsa deberán proporcionar información anual sobre la gobernanza de la ciberseguridad y la gestión de riesgos con el fin de ser más transparentes sobre su postura de ciberseguridad. Estas normas entrarán en vigor en diciembre de 2023 e influirán tanto en los costes de cumplimiento como en la posibilidad de acciones coercitivas.
Las empresas y entidades sujetas a estas normas no deben retrasar la evaluación de sus planes internos de ciberseguridad y la adopción de medidas. Cabe señalar que la SEC ya ha tomado medidas de ejecución relacionadas con incidentes de ciberseguridad, incluso antes de la finalización de las nuevas normas.
Los incidentes de ciberseguridad pueden adoptar distintas formas, ser obra de bandas organizadas de ciberdelincuentes o de ataques de terceros proveedores, y tener repercusiones de diversa magnitud. Sin embargo, su tema central sigue siendo la interrupción, lo que lleva a pérdidas financieras y daños a la reputación.
Los tipos más comunes de brechas experimentadas por las organizaciones incluyen fallas de TI (24%); error humano (21%); ataque a la cadena de suministro (19%); ataque destructivo (17%); ataque de ransomware (11%); y otro ataque malicioso (8%). Alcanzando un máximo histórico, el coste medio de una violación de datos fue de 4,35 millones de dólares en 2022, subiendo un 12,7% desde los 3,86 millones de dólares en 2020. Además, el coste de las multas por incumplimiento podría ser asombroso.
La nueva norma de la SEC aborda dos áreas principales:
1. Revelación de incidentes:
Plazos: Una empresa debe informar de un incidente de ciberseguridad en el Formulario 8-K en el plazo de cuatro días hábiles después de que decida que el incidente es material. Al evaluar la materialidad, las empresas deben tener en cuenta una serie de datos que abarquen factores cuantitativos y cualitativos. Incluso los incidentes con pocas probabilidades de resultados negativos, pero con un potencial de pérdidas o responsabilidades sustanciales, podrían considerarse materiales. La determinación de la materialidad sigue siendo coherente, basándose en el principio de que un inversor razonable la consideraría significativa. No obstante, las empresas no están obligadas a revelar públicamente los detalles técnicos de sus respuestas o sistemas de ciberseguridad. Tal divulgación podría obstaculizar su capacidad para abordar eficazmente el incidente. Una empresa debe determinar la materialidad sin demora injustificada. La SEC proporciona ejemplos de lo que constituye un "retraso injustificado", como cuando una empresa retrasa intencionadamente una reunión del comité sobre la determinación de la importancia relativa más allá del tiempo normal que se tarda en convocar a sus miembros, o si una empresa revisa las políticas y procedimientos para retrasar una determinación ampliando sus plazos de gravedad del incidente. La SEC señala que si una empresa se atiene a una práctica interna normal y a los controles y procedimientos de divulgación, eso bastará para demostrar el cumplimiento de buena fe.
Contenido: Las normas finales exigen que las empresas describan los aspectos materiales de la naturaleza, el alcance y el momento del incidente, así como el impacto material o el impacto material razonablemente probable en la empresa, incluida su situación financiera y los resultados de sus operaciones.
Definición más amplia de "incidente de ciberseguridad": La SEC amplió la ya amplia definición de "incidente de ciberseguridad" para abarcar una serie de sucesos relacionados que colectivamente pueden tener un impacto material en una empresa. Esto incluiría el caso en que una empresa descubra que se ha visto materialmente afectada por lo que puede parecer una serie de intrusiones cibernéticas relacionadas, cada una de las cuales puede ser irrelevante. El nuevo punto 106 (a) del Reglamento S-K define un incidente de ciberseguridad como un evento no autorizado o eventos relacionados que comprometen los sistemas de información de una empresa, poniendo en riesgo la confidencialidad, integridad o disponibilidad.
2. Divulgación anual de la gestión de riesgos de ciberseguridad:
La norma exige la divulgación del papel de la dirección en la aplicación de políticas y procedimientos de ciberseguridad, incluida la gestión de riesgos y la estrategia. También exige la divulgación de la supervisión del consejo de administración, la forma en que los riesgos de ciberseguridad influyen en la estrategia de la empresa, la planificación financiera y la asignación de capital, así como información sobre la presencia de un director de seguridad de la información (CISO) y las políticas para identificar y gestionar los riesgos cibernéticos.
Se exigirá a las empresas que incluyan información adicional sobre la gestión de los riesgos de ciberseguridad en los formularios 10-K y 20-F, incluida la siguiente:
Procesos. Las empresas deben describir sus procesos, en su caso, para evaluar, identificar y gestionar los riesgos importantes derivados de las amenazas a la ciberseguridad con suficiente detalle para que un inversor razonable pueda comprender dichos procesos. La discusión debe abordar si y cómo están integrados en los procesos generales de gestión de riesgos, si la empresa contrata consultores u otros terceros en relación con sus procesos y si la empresa tiene procesos para supervisar e identificar los riesgos materiales de las amenazas de ciberseguridad asociados con su uso de cualquier proveedor de servicios de terceros. Para las empresas que no lo hayan hecho, la evaluación de los riesgos materiales de terceros proveedores de servicios debe considerarse desde el principio con el fin de evaluar la divulgación adecuada.
La SEC explica que sustituyó el término "políticas y procedimientos" por "procesos" para evitar exigir la divulgación de detalles operativos "que podrían ser utilizados como armas por los autores de amenazas" o sugerir que las empresas tienen que codificar formalmente sus procesos.
Supervisión del consejo de administración. Las empresas deben describir la supervisión por parte del consejo de administración de los riesgos derivados de las amenazas a la ciberseguridad, identificar cualquier comité o subcomité del consejo responsable de dicha supervisión, así como describir los procesos por los que el consejo o cualquiera de dichos comités está informado sobre estos riesgos. Las empresas no están obligadas a revelar ninguna experiencia del consejo en relación con la ciberseguridad o si el consejo considera la ciberseguridad como parte de su estrategia empresarial, gestión de riesgos y supervisión financiera.
Papel de la dirección. Las empresas deben describir la experiencia en ciberseguridad de la dirección y su papel en la evaluación y gestión de los riesgos materiales derivados de las amenazas a la ciberseguridad. Como parte de esa divulgación, las empresas deben revelar, en la medida aplicable, si los cargos o comités de gestión están encargados de gestionar los riesgos de ciberseguridad y cuáles son, los procesos mediante los cuales las personas o comités pertinentes están informados y supervisan la prevención, detección, mitigación y corrección de los incidentes de ciberseguridad y si dichas personas o comités informan sobre estos riesgos al consejo o a los comités del consejo.
Divulgación de los riesgos derivados de las amenazas a la ciberseguridad. Las normas también exigen la divulgación de si "los riesgos de las amenazas de ciberseguridad, incluso como resultado de cualquier incidente de ciberseguridad anterior, han afectado materialmente o es razonablemente probable que afecten materialmente al registrante, incluyendo su estrategia de negocio, resultados de operaciones o situación financiera". La SEC pide a las empresas que "consideren si necesitan volver a revisar o actualizar la divulgación anterior, incluso durante el proceso de investigación de un incidente de ciberseguridad."
Las normas definitivas y las medidas de ejecución aumentan significativamente la supervisión por parte de la SEC de las prácticas de gestión de riesgos de ciberseguridad de las empresas públicas y el riesgo de responsabilidad cuando sufren infracciones.
Tomar medidas inmediatas para mejorar la ciberseguridad
Las empresas tendrán que tomar medidas inmediatas para mejorar su postura de ciberseguridad dado el historial de la SEC de acciones coercitivas contra entidades reguladas por violaciones de robo de identidad y empresas públicas por violaciones de divulgación y control relacionadas con ciberataques. A continuación se presentan algunas recomendaciones para mitigar algunos de los riesgos de la naturaleza en constante evolución de la ciberseguridad. Las empresas no deben retrasar la aplicación de estas recomendaciones, ya que pueden salvar a las empresas de violaciones de seguridad que pueden conducir a daños de reputación, interrupción del negocio y cuantiosas multas.
- Considere los servicios de un CISO independiente.
- Llevar a cabo riesgos periódicos de seguridad de la red.
- Organizar sesiones informativas para los equipos ejecutivos y los consejos de administración sobre estos ejercicios, así como poner a prueba los protocolos escritos para garantizar la alineación y una supervisión eficaz.
- Crear o actualizar el Plan de Respuesta a Incidentes para cumplir con los nuevos requisitos de la SEC.
- Garantizar que los procesos de gestión de riesgos de ciberseguridad se han integrado en el sistema o procesos generales de gestión de riesgos.
- Garantizar la existencia de procesos para supervisar e identificar los riesgos derivados de las amenazas a la ciberseguridad asociadas a terceros proveedores de servicios.
- Garantizar que existen procesos para supervisar e informar a las personas, juntas o comités sobre la prevención, detección, mitigación y reparación de incidentes de ciberseguridad.
- Realizar ejercicios de simulación anuales para poner a prueba los procedimientos de respuesta a incidentes y garantizar su conformidad con los requisitos de la SEC.
- Impartir formación continua sobre ciberseguridad a todos los empleados.
Las nuevas normas de la SEC pretenden aumentar la concienciación sobre la ciberseguridad, lo que podría repercutir en los costes de cumplimiento y en las medidas de ejecución. Se aconseja a las empresas que evalúen sin demora sus estrategias de ciberseguridad para evitar infracciones que podrían provocar pérdidas financieras y daños a la reputación. Las empresas también deben considerar seriamente la contratación de asesores, consultores, auditores u otros terceros para evaluar la totalidad de los procesos de gestión de riesgos de ciberseguridad.