Nuevas reglas de Cybersecurity del SEC

Sobre la (no tan) nueva directiva de la Comisión de Bolsa y Valores de los Estados Unidos (SEC) en cuanto a divulgación de componentes de Cybersecurity para empresas públicas

Mucho se habla sobre la implementación de estas nuevas directrices, y aunque existían diversas regulaciones y orientaciones que indirectamente influían en cómo las empresas manejaban y reportaban incidentes de ciberseguridad (por ejemplo por el FTC, NIST, GDPR, etc.), antes de las reglas de 2023 de la SEC, no había un conjunto de directrices federales específicas y detalladas que abordaran directamente la divulgación de incidentes de ciberseguridad por parte de empresas públicas.

Y digo que no es tan nueva porque la SEC ha evolucionado su enfoque y directrices en ciberseguridad a lo largo de los años, comenzando con la orientación inicial en 2011, pasando por una guía interpretativa en 2018, y culminando con la adopción de reglas más estructuradas y detalladas este año. Estos esfuerzos reflejan la creciente importancia de la ciberseguridad en el panorama corporativo y el deseo de la SEC de proporcionar a los inversores información más clara y consistente sobre cómo las empresas gestionan estos riesgos.

Los principales componentes de la nueva regla del SEC son:

1. Divulgación de Incidentes de Ciberseguridad: Las empresas deben informar rápidamente sobre incidentes significativos de ciberseguridad. Esto incluye la naturaleza y el alcance del incidente, el impacto en las operaciones de la empresa y las medidas tomadas en respuesta al incidente.
   

2. Políticas y Procedimientos de Ciberseguridad: Las empresas deben desarrollar y divulgar políticas y procedimientos sólidos para mitigar los riesgos de ciberseguridad. Esto incluye cómo identifican, evalúan y manejan los riesgos de ciberseguridad.
   

3. Gobierno de Ciberseguridad: Las directrices de la SEC también enfatizan la importancia del gobierno de ciberseguridad. Las empresas deben detallar el papel de la junta directiva y la alta gerencia en la supervisión de los riesgos de ciberseguridad.
   

4. Información sobre Riesgos y Estrategias de Gestión: Las empresas deben proporcionar información detallada sobre sus riesgos de ciberseguridad y cómo planean gestionarlos. Esto ayuda a los inversores a comprender mejor la exposición de la empresa a riesgos potenciales.
   

5. Actualizaciones Regulares: Las empresas deben proporcionar actualizaciones regulares sobre su postura y estrategias de ciberseguridad, así como cualquier cambio en los riesgos o incidentes de ciberseguridad.

Una duda recurrente es, por un lado, si las medidas de divulgación solo se hace cuando un incidente ha ocurrido, y la respuesta es no, se deben divulgar los otros componentes aunque no haya ocurrido un incidente de seguridad. De hecho, estos otros componentes se enfocan en lo más importante, el entorno que prepara a las empresas para afrontar los incidentes de seguridad, es decir, en la preparación, las políticas y las estrategias proactivas para gestionar los riesgos de ciberseguridad, el gobierno y monitoreo, etc.; y por otro lado, en qué áreas de la empresa recae las responsabilidades.

En cuanto al tema de dónde recaen las responsabilidades de estos componentes depende mucho de la estructura organizacional. Mi recomendación, que es aplicable en la mayoría de empresas que ya tienen un entorno de cumplimiento SOX bastante maduro es la siguiente:

1. Departamento o Vicepresidencia de Tecnología y Gerencia de Ciberseguridad:

   • Responsabilidades Operativas: Este departamento es primordialmente responsable de implementar y mantener las medidas de ciberseguridad, incluyendo la protección de infraestructuras, sistemas y datos.

   • Respuesta a Incidentes y Recuperación: En caso de un incidente de ciberseguridad, este departamento lidera los esfuerzos de respuesta y recuperación.

   • Evaluación y Gestión de Riesgos: La gerencia de ciberseguridad evalúa regularmente los riesgos de ciberseguridad y desarrolla estrategias para mitigarlos.
     

2. Departamento de Cumplimiento o Finanzas:

   • Cumplimiento con la Ley SOX: Este departamento se asegura de que la empresa cumpla con las regulaciones financieras, incluidas las relacionadas con la ciberseguridad.

   • Divulgaciones y Reportes: Coordina la recopilación de información sobre ciberseguridad para asegurarse de que se cumplan las obligaciones de divulgación de la SEC y otras regulaciones relevantes.
     

3. Auditoría Interna: Realiza auditorías para garantizar que las medidas de ciberseguridad estén en línea con las políticas internas y las regulaciones externas.
   

4. Alta Dirección y Junta Directiva:

   • Supervisión y Gobierno (Oversight): La junta directiva y la alta dirección supervisan la estrategia y las políticas de ciberseguridad, asegurándose de que estén alineadas con los objetivos generales de la empresa y las expectativas regulatorias.

   • Responsabilidad Final: La alta dirección y la junta son últimamente responsables ante los accionistas y reguladores por la gestión efectiva de los riesgos de ciberseguridad.
     

5. Relaciones con Inversores y Comunicaciones:

   • Comunicación con el Mercado: Este departamento puede estar involucrado en comunicar la información relevante sobre ciberseguridad a los inversores y al público, asegurándose de que la divulgación sea clara, precisa y oportuna.

Es un esfuerzo colaborativo que requiere coordinación y comunicación efectiva entre varios departamentos para garantizar tanto la ciberseguridad como el cumplimiento normativo.