Ciberseguridad y ciberdelito: nuevas reglas para los mercados

Por semana se producen un promedio de alrededor de 1300 ciberataques efectivos a nivel global. Las empresas invierten más del 11% de su presupuesto anual en ciberseguridad con el propósito de proteger los activos de los clientes y de la organización contra posibles daños. Las consecuencias de un ataque podrían afectar las operaciones comerciales y el desempeño financiero a largo plazo, las obligaciones contractuales y otras consideraciones legales y regulatorias.

La ciberseguridad es un factor fundamental para lograr los objetivos estratégicos corporativos y está entre las principales preocupaciones de los inversores ante la persistencia de los ciberataques. La Comisión de Bolsa y Valores de los Estados Unidos, la “SEC”, adoptó nuevas reglas de ciberseguridad en julio de 2023 que estandarizaron cómo se debe informar sobre los problemas relacionados con “hackeos y ciberataques” materiales.

Algunas compañías registradas expresaron sus inquietudes relativas a la divulgación de detalles confidenciales que podrían ser explotados por terceros. En general, las organizaciones que cotizan en este mercado desarrollan y utilizan prácticas de comunicación de crisis para notificar a los clientes y reguladores ante un ciberataque. Pero la novedad ahora está vinculada a la materialidad del incidente: las víctimas del ataque tienen solo cuatro días hábiles después de la determinación de que un suceso para divulgar públicamente el evento a través del formulario.

Las víctimas deben proporcionar detalles de la afectación, incluida la naturaleza, el alcance y el momento del incidente, y abordar el impacto material previsto en sus operaciones comerciales y su situación financiera. El Top Management y los líderes responsables de la operación de la ciberseguridad deben acordar conjuntamente este marco, enfatizando los elementos contextualizados cuantitativos. Por ejemplo: pérdida de ingresos debido al tiempo de inactividad del sistema y cualitativos o impacto en la moral de los empleados que influyen para tomar una determinación de materialidad.

El objetivo del marco de materialidad cibernética es guiar a las partes interesadas relevantes para que adopten una visión holística del incidente y evalúen los impactos cuantitativos y cualitativos para determinar si ha ocurrido un evento importante dentro de la empresa. Esto presagia una nueva era de transparencia y responsabilidad frente al creciente número de incidentes, vulnerabilidades y de la eficacia del ciberdelito.

La SEC marca un momento crucial en el ámbito del gobierno de la ciberseguridad dentro de las empresas que cotizan en bolsa. Una parte clave de esta directiva es el énfasis en integrar a la agenda del Directorio las discusiones sobre los riesgos de ciberseguridad. Esta directiva, a su vez, requiere la inclusión de un miembro del Directorio con experiencia sustancial en el ámbito de la ciberseguridad, un reconocimiento de la importancia primordial de la seguridad digital.

El Directorio y el responsable de la Ciberseguridad de las empresas deberá alinear las iniciativas con objetivos comerciales más amplios, más allá de evitar filtraciones de datos y pérdidas financieras. Esta postura es fundamental para salvaguardar la reputación y cumplir con las exigencias de los reguladores. Los recientes incidentes de SolarWinds y Uber, que terminaron con el procesamiento judicial de los ejecutivos responsables son un indicativo sin ecua non.

Por otro lado, para que los CISO puedan accionar proactivamente contra incidentes futuros y comunicar riesgos potenciales a nivel de Directorio, deben tener las herramientas necesarias para tomar estas decisiones basadas en datos de la manera más eficiente.

Este cambio supone una carga significativa para quienes deben garantizar que las comunicaciones y denuncias relacionadas con violaciones de seguridad sean completas, oportunas y representen con precisión la gravedad de un incidente en particular. La SEC está obligando a los ejecutivos de ciberseguridad a hacerse cargo de lidiar con el complejo equilibrio entre una gestión de riesgos eficaz, informes transparentes y garantizar que la postura de seguridad de la organización siga siendo resistente.

Históricamente, este tipo de regla derrama paulatinamente hacia otros organismos. La velocidad de implementación y el pragmatismo a la hora de su instrumentación determinarán la eficacia futura de estas mediadas de cara al creciente e imparable aumento de amenazas y agresiones que pergeña y despliega la nueva y consolidada industria del ciberdelito.