Empresas siguen intentando averiguar cómo cumplir las normas cibernéticas de la SEC

Las empresas públicas deben revelar los hackeos “materiales” en cuatro días

La Comisión del Mercado de Valores celebra una reunión abierta
Por Katrina Manson
18 de diciembre, 2023 | 04:53 PM

Bloomberg — Algunas empresas que cotizan en bolsa siguen tratando de averiguar cómo cumplir las nuevas normas de la Comisión de Bolsa y Valores (SEC, por sus siglas en inglés), que exigen una rápida divulgación de los ciberataques significativos.

Estas normas, que entraron en vigor el lunes, obligan a las empresas a informar de los incidentes cibernéticos en un plazo de cuatro días hábiles tras determinar que son “importantes” para los accionistas. Anteriormente, la SEC exigía a las empresas que comunicaran los sucesos importantes que pudieran interesar a los accionistas, pero no especificaba los ciberataques.

Hacer esa determinación no es tan fácil, dijo Erez Liebermann, socio del bufete de abogados Debevoise & Plimpton.

PUBLICIDAD

En los últimos tres meses, Liebermann ha asesorado a más de 50 empresas que cotizan en bolsa sobre cómo prepararse para la nueva norma de la SEC, y ha participado en ejercicios de simulación con ejecutivos para ayudarles a comprender si sus nuevos procesos resistirán la presión de un hackeo importante. Describir o cuantificar lo que hace que un incidente sea material para los inversores en medio de la respuesta al mismo es “superdifícil”, dijo Liebermann.

Los funcionarios estadounidenses, que solicitaron el anonimato para hablar libremente sobre el tema, afirmaron que las nuevas normas impulsarán la visibilidad de los ciberataques, de los que se informa muy poco. Sin embargo, las normas de la SEC han recibido críticas, con la oposición de la Cámara de Comercio de EE.UU. y de dos de los cinco Comisionados de la SEC.

Según las nuevas normas, las empresas que cotizan en bolsa tienen que informar sobre el impacto de un ataque informático importante, incluidos los datos que se han hecho públicos y los procesos que ha seguido la empresa para mitigar el riesgo. También deben revelar cómo gestionan los riesgos de ciberseguridad en los informes anuales.

PUBLICIDAD

Un alto funcionario de la Agencia de Ciberseguridad y Seguridad de las Infraestructuras dijo a los periodistas que exigir más información acabaría aportando un beneficio neto, afirmando que la omnipresente falta de información tiene un impacto adverso en la capacidad del gobierno estadounidense para ayudar a hacer frente a la piratería informática.

VER +
Ciberataques son una plaga diaria para los gigantes petroleros

Los requisitos se imponen tras unos años en los que los ciberataques interrumpieron temporalmente sectores cruciales de la economía, como la producción de carne, el transporte marítimo y el comercio del Tesoro. A menudo, los piratas informáticos exigen dinero a las víctimas para desbloquear los sistemas informáticos encriptados con ransomware o exigen un pago de extorsión para no divulgar los documentos robados de la empresa.

Algunos ejecutivos han sugerido que el cumplimiento de las nuevas normas también podría acosar a los responsables de seguridad en un momento en que están respondiendo a grandes hackeos en tiempo real.

George Gerchow, director de seguridad de Sumo Logic Inc., dijo que cree que las nuevas obligaciones de divulgación podrían incluso incentivar a los hackers a atacar inmediatamente a una empresa que revele que está luchando contra un ciberataque.

“Es simplemente agotador”, dijo sobre su experiencia en un reciente hackeo a su empresa.

VER +
EE.UU. advierte a industria espacial de riesgo de espionaje y ataques a satélites

Merritt Baer, jefe de seguridad de la información de campo de la empresa cibernética Lacework, dijo que, aunque las empresas han tenido meses para prepararse para la nueva norma, cumplir los plazos seguiría siendo “doloroso” y crearía ansiedad a los CISO, que podrían ser considerados responsables de sus acciones. También es probable que las empresas empiecen a tomarse la ciberseguridad mucho más en serio, dijo.

Una excepción a la norma permite al Fiscal General retrasar hasta 120 días la revelación de información por parte de una empresa por motivos de seguridad nacional o pública. Altos funcionarios del Departamento de Justicia y del FBI dijeron a los periodistas que las empresas que crean que pueden acogerse a esta excepción deben solicitarla en cuanto decidan que el incidente es material, o incluso antes. La exención sólo se aplicará en contadas ocasiones, dijeron los funcionarios.

Lea más en Bloomberg.com