Eleva tus habilidades de liderazgo y negocios
Súmate a más de 52,000 líderes en 90 empresas mejorando habilidades de estrategia, gestión y negocios.
La SEC toma en serio la ciberseguridad. ¿Es su empresa?
La Agencia ha señalado que está tomando una línea más difícil sobre el riesgo cibernético. Aquí es cómo asegurarse de que sea compatible.
Resumen:
La SEC ha señalado que ha empezado a tomar las vulnerabilidades cibernéticas mucho más en serio que en el pasado. Dos multas recientes indican que la agencia considera la laxa ciberseguridad como una amenaza existencial para las empresas y está dispuesta a penalizar a las empresas que se quedan cortos. Esto, por supuesto, es razonable: las amenazas cibernéticas representan un peligro tan importante para las empresas (y sus accionistas) como las vulnerabilidades de la cadena de suministro o los desastres naturales. Para asegurarse de que cumplen las normas, las empresas deben: 1) crear un comité de divulgación compuesto por empleados de nivel director y director sénior, 2) asegurarse de revelar oportunamente los riesgos de ciberseguridad, los incidentes y los impactos de su negocio, 3) aumentar la visibilidad de sus procesos para comprender mejor sus debilidades, 4) realizar evaluaciones forenses periódicas de los sistemas de ciberseguridad de la empresa, y 5) estar preparado para revelar incidentes antes de que se entiendan completamente.
Este verano, la Comisión de Bolsa y Valores de los Estados Unidos (SEC) señaló un cambio significativo en la forma de pensar sobre lo que constituye una amenaza para las empresas: ahora considera que las cibervulnerabilidades son un riesgo empresarial existencial. Esto quedó patente en las multas impuestas contra dos empresas por revelaciones inadecuadas de cuestiones de ciberseguridad: la editorial británica Pearson PLC y First American Financial Corp. A mediados de agosto, el La SEC anunció que Pearson había acordado pagar 1 millón de dólares para liquidar los cargos que engañó a los inversores tras un incumplimiento y robo en 2018 de millones de registros estudiantiles. Y en junio, el La SEC anunció otro acuerdo y multa de 500.000 dólares contra la empresa de servicios inmobiliarios First American Financial por falta de controles de divulgación tras el descubrimiento de una vulnerabilidad en su sistema que expuso 800 millones de archivos de imágenes, incluidos números de la Seguridad Social e información financiera.
Estas multas indican un cambio importante y podría cambiar profundamente la forma en que las empresas piensan sobre las amenazas de ciberseguridad, comunicarse internamente sobre estas amenazas y revelar infracciones.
Las empresas están obligadas a revelar adecuadamente los «factores de riesgo» en las solicitudes de la SEC para informar al público inversor sobre los riesgos que pueden conllevar las acciones que compra. Estos riesgos pueden incluir amenazas competitivas, desastres naturales, problemas de la cadena de suministro, crisis económicas, acontecimientos políticos, problemas de salud pública, guerras comerciales e incidentes de ciberseguridad. Las divulgaciones detallan el riesgo operativo que enfrentan los inversores debido a las amenazas y detallan sus posibles impactos en las operaciones comerciales críticas, los ingresos, la cuota de mercado y la reputación de la empresa. Si bien las empresas tienen que mantener los controles adecuados de cómo revelan la información a los reguladores, históricamente, la SEC ha tenido pocas repercusiones regulatorias para las empresas que han sufrido ciberataques.
Esto, por supuesto, nunca fue sostenible. El Ley de valores e intercambio de 1934 se creó para garantizar la transparencia y la equidad en los mercados de capitales. Si bien la ley no exige específicamente que las empresas revelen incidentes de ciberseguridad, la SEC ha ido aumentando sus advertencias de que los considera un problema grave. En 2011, aclaró la agencia que es necesario revelar riesgos e incidentes importantes relacionados con la ciberseguridad. Y un Actualización de la guía 2018 citó los «riesgos y amenazas continuos para nuestros mercados de capitales» derivados de los incidentes de ciberseguridad.
Estas actualizaciones, y su énfasis en los riesgos reales que plantea la laxa ciberseguridad, reflejan el estado del mundo en este momento. Al igual que los desastres naturales y la escasez de componentes en la cadena de suministro, como los semiconductores, las violaciones de la ciberseguridad pueden perjudicar en última instancia la situación financiera y el precio de las acciones de una empresa. Además de los costos de remediación de un ciberataque y pérdida de clientes, ingresos y reputación, podría haber demandas por accionistas, demandas con clientes, aumentos en las primas de seguros y un mayor escrutinio por parte de los auditores externos y el consejo de administración. También hay consecuencias indirectas: los ciberataques pueden distraer a la administración y causar nuevos problemas; también pueden desencadenar auditorías de clientes de las defensas de ciberseguridad de una empresa, lo que puede llevar a la participación de asesores externos y otros terceros, así como gastos adicionales significativos.
El primer acuerdo financiero estadounidense es particularmente notable porque causa consecuencias operativas por no revelar adecuadamente un problema de ciberseguridad que podría tener un impacto material en la empresa y, por lo tanto, en sus accionistas. El acuerdo indica un enfoque más contundente y directo por parte de la SEC cuando se trata de cómo las organizaciones comunican su postura y gestión de riesgos de ciberseguridad, y las empresas deben tomar nota.
Entonces, ¿qué deberían hacer las empresas para asegurarse de que no sufran un destino similar? Hay cinco pasos que los líderes corporativos pueden tomar para abordar este cambio:
1. Cree un comité de divulgación compuesto por empleados de nivel director y director sénior.
Este comité debe realizar encuestas cada trimestre para garantizar que la empresa esté al tanto de cualquier anomalía material en los ámbitos financiero, legal, operativo y de ciberseguridad que deba revelarse a los altos ejecutivos, la junta directiva, los contables externos y, potencialmente, la SEC.
Este proceso de diligencia debida proporciona soporte para las certificaciones que el CEO y el Oficial Principal de Finanzas hacen a la SEC cada vez que se presentan 10 Qs y 10K y está diseñado para asegurarse de que el CEO y el CFO tengan la información que necesitan para evitar cualquier posible responsabilidad relacionada con la divulgación. El comité debe tener un líder de infosec como miembro o consultar con los líderes de infosec antes de cada reunión.
2. No esperes demasiado para revelarlo.
Los miembros apropiados de la dirección, los altos ejecutivos, el CEO y el consejo de administración deben ser informados de manera oportuna sobre los riesgos de ciberseguridad, los incidentes y los impactos de su negocio; y si es necesaria una divulgación pública, debe hacerse con prontitud.
En el caso First American Financial, pasaron seis meses entre que el equipo de InfoSec se enteró de la infracción y la divulgación pública de la misma por parte de la compañía. Parece que la SEC dice, como mínimo, que seis meses son demasiado largos para que los controles y procedimientos de divulgación de una empresa pública se inicien y, en última instancia, generen la divulgación pública de una violación. Esto es notable porque la SEC no ha considerado conveniente sumergirse en los asuntos internos de las empresas públicas con respecto a la ciberseguridad antes de ahora.
En última instancia, el momento de la divulgación depende de los hechos de cada caso, como si el incumplimiento es importante y se activan los reglamentos 8-K de la SEC, que generalmente imponen un requisito de divulgación de cuatro días, si están implicadas leyes estatales o federales, y si los acuerdos con terceros son implicado.
3. Comprenda su riesgo mediante crear visibilidad de sus activos.
Utilice herramientas de administración de vulnerabilidades para evaluar el entorno corporativo y de IT en general mediante un inventario para identificar qué activos hay en su entorno, su importancia para las operaciones empresariales y su exposición general. Esto ayudará a los equipos de seguridad a priorizar qué problemas requieren atención inmediata en función del riesgo empresarial, como aplicar parches a sistemas críticos.
4. Realice periódicamente evaluaciones forenses de los sistemas de ciberseguridad de la empresa y de todas las amenazas internas y externas conocidas y potenciales.
Una vez que los líderes de seguridad hayan analizado los resultados y hayan recibido recomendaciones, comparta las conclusiones con el C-suite para que tengan una instantánea periódica del nivel de riesgo.
5. Prepárate para revelar problemas de ciberseguridad como vulnerabilidades, infracciones y otros incidentes cibernéticos antes de que se comprenda todo el alcance del incidente.
Actualice las divulgaciones a medida que los detalles se vuelven más claros, se cuantifican las consecuencias financieras y surgen otras repercusiones. Determine cuidadosamente cuál es el impacto en la empresa de los incidentes, cómo podrían afectar negativamente a las operaciones y las finanzas, y estar preparado para divulgar exactamente cuándo se informó a la alta dirección y al consejo de administración.
Al final, tanto First American Financial como Pearson salieron con sanciones relativamente ligeras en comparación con el primer caso de problemas de divulgación de incumplimiento. En 2018, Yahoo fue multado con 35 millones de dólares por no haber revelado una violación de datos de 2014 y sus consecuencias en la divulgación financiera. Sin embargo, First American Financial y Pearson son diferentes de Yahoo porque implican acciones de la SEC relativas específicamente a la violación y vulnerabilidad, mientras que Yahoo implicaba una multa de la SEC que se produjo cuatro años después de la infracción y que se refería únicamente a la acusación de engañar a los inversores. Las nuevas multas resultan positivas por parte de la SEC de que la agencia considera ahora el riesgo cibernético tan significativo como cualquier otro riesgo empresarial que pone en peligro las finanzas y el futuro de la empresa y priva al público inversor de la información necesaria para tomar decisiones de inversión sólidas.
En el futuro, veremos un mayor escrutinio sobre cómo las empresas manejan la divulgación de asuntos de ciberseguridad, en particular. La administración Biden se ha centrado con láser en crear una mayor transparencia con la ciberseguridad en un intento de mejorar las capacidades defensivas de nuestra nación frente a ataques ininterrumpidos de ransomware y otros ataques. En orientación estratégica en marzo, el Presidente Biden enumeró las defensas de ciberseguridad como una prioridad máxima para la seguridad nacional de nuestro país, la primera vez que se designó la ciberseguridad como tal.
Los reguladores esperarán más transparencia de las empresas públicas que sufren ciberataques y otros incidentes que pueden tener consecuencias financieras importantes. Esto es bueno para las empresas y para la industria en su conjunto. Cuanta más visibilidad tengan las empresas sobre su riesgo cibernético, más eficazmente podrán abordarlo. Con los controles de divulgación correctos y las mejores prácticas de gestión de riesgos implementadas, las empresas no solo podrán cumplir con las regulaciones de la SEC sino también comprender mejor los riesgos y evitar daños futuros. Esto significa menos riesgo para sus inversores y un mercado más saludable.
