Las empresas afectadas por ataques cibernéticos cuentan con un plazo de cuatro días para divulgar públicamente el impacto en caso de ser significativo, bajo las nuevas y controvertidas reglas aprobadas el miércoles por la Comisión de Bolsa y Valores de Estados Unidos, (SEC, por sus siglas en inglés).
Aquellas normas, propuestas el año pasado y enérgicamente impugnadas por organizaciones comerciales y empresas, exige que las empresas que cotizan en bolsa presenten los detalles de los ataques cibernéticos dentro de los cuatro días posteriores a la identificación de que tiene un impacto material.
Las reglas de divulgación del regulador de mercados son su esfuerzo más reciente para aumentar la transparencia de las amenazas cibernéticas después de años de ataques implacables contra empresas por parte de bandas criminales y piratas informáticos respaldados por Estados nacionales. También buscan abordar las brechas en las divulgaciones de seguridad cibernética existentes, según la agencia.
LEA TAMBIÉN: Criptomonedas se disparan tras victoria de Ripple contra la SEC
Las empresas que cotizan en bolsa actualmente dependen de las pautas de la SEC sobre cuándo abordar los riesgos e incidentes cibernéticos que se consideran relevantes para los inversionistas y eso ha creado una diversidad de informes de incidentes cibernéticos. Las empresas que reportan incidentes brindan diferentes niveles de detalles sobre el impacto y su respuesta. Algunos incidentes cibernéticos no se informan de manera oportuna, mientras que otros no se divulgan en lo absoluto.
Las empresas podrían retrasar la divulgación si revelar información sobre un ataque representa un riesgo significativo para la seguridad nacional o la seguridad pública, según lo determine el fiscal general de EE.UU. La postergación, sumada a la versión más reciente de las reglas, responde a preocupaciones empresariales respecto de la propuesta inicial de la SEC. Los grupos empresariales presionaron por la cláusula de curso.
Si bien para algunos el nuevo requisito no revierte mayores dificultades, otros, como la asociación comercial Information Technology Industry Council, consideran que el plazo de cuatro días es demasiado corto porque es poco probable que las empresas sepan mucho sobre el incidente en ese momento.
Denyette DePierro, líder de servicios financieros de EE.UU. del departamento de políticas públicas de Amazon Web Services, instó a la SEC a reconsiderar la regla de informes de cuatro días. “La extensión de los plazos para el informe inicial de incidentes permitiría divulgaciones más completas y precisas, y minimizaría el riesgo de impactos adversos en los participantes del mercado y los inversionistas al responder a incidentes activos en plazos cortos”, escribió DePierro, en una carta a la comisión en junio.
La SEC ha propuesto otra regla de informes cibernéticos para asesores y fondos de inversión, además de una regla similar para las bolsas de valores y otros actores del mercado de valores de EE.UU.
Las empresas que no proporcionen la información de forma pertinente sobre eventos cibernéticos pueden enfrentarse a investigaciones y multas de la SEC por engañar a los inversionistas.
LEA TAMBIÉN: SEC tiene autoridad sobre criptomonedas, dice su presidente Gensler