El mundo digital es testigo de un crecimiento exponencial en la cantidad de ciberataques, con un promedio de aproximadamente 1300 ataques efectivos por semana a nivel global. Con este panorama en mente, las empresas están invirtiendo más del 11% de su presupuesto anual en ciberseguridad para proteger sus activos y la información confidencial de los clientes. Los ciberataques pueden tener consecuencias devastadoras, afectando no solo las operaciones comerciales y el desempeño financiero a largo plazo, sino también las obligaciones contractuales y las implicaciones legales y regulatorias.
La ciberseguridad se ha convertido en un componente fundamental para alcanzar los objetivos estratégicos de las empresas y una de las principales preocupaciones de los inversores, dados los persistentes ciberataques. En este contexto, la Comisión de Bolsa y Valores de los Estados Unidos (SEC) dio un paso importante en julio de 2023 al establecer nuevas normas de ciberseguridad que estandarizan cómo deben informar las empresas sobre incidentes de «hackeos y ciberataques» de importancia.
Las empresas registradas ahora enfrentan una nueva responsabilidad en términos de divulgación de detalles confidenciales relacionados con ciberataques. La materialidad del incidente es la clave; las víctimas tienen solo cuatro días hábiles después de la determinación de que un evento es material para divulgarlo públicamente. Esto incluye proporcionar detalles sobre la naturaleza, alcance y tiempo del incidente, así como el impacto previsto en las operaciones y la situación financiera.
El enfoque se centra en evaluar los impactos tanto cuantitativos como cualitativos, como la pérdida de ingresos debido al tiempo de inactividad del sistema o el impacto en la moral de los empleados. El objetivo es brindar a las partes interesadas una visión holística del incidente y evaluar si se trata de un evento importante dentro de la empresa.
Esta directiva de la SEC marca un momento crucial en la ciberseguridad corporativa para las empresas que cotizan en bolsa. Una parte clave de esta directiva es la incorporación de discusiones sobre riesgos de ciberseguridad en la agenda del Directorio, así como la inclusión de un miembro del Directorio con experiencia en ciberseguridad.
El Directorio y el equipo de ciberseguridad deben alinear las iniciativas con objetivos comerciales más amplios, considerando que la seguridad digital es fundamental para salvaguardar la reputación y cumplir con las regulaciones. Los recientes incidentes de SolarWinds y Uber, que resultaron en procesamientos judiciales, resaltan la importancia de esta postura.
Sin embargo, esta nueva normativa también implica una carga adicional para los ejecutivos de ciberseguridad, que deben garantizar comunicaciones y denuncias completas, oportunas y precisas sobre las violaciones de seguridad. La SEC está forzando a los líderes de ciberseguridad a equilibrar la gestión de riesgos, la transparencia en los informes y la resistencia de la postura de seguridad de la organización.
Este cambio en la regulación de la SEC puede tener un impacto significativo en la industria de la ciberseguridad y se espera que influya en otros organismos reguladores en el futuro. La rapidez y eficacia en la implementación de estas medidas serán cruciales en la lucha contra las crecientes amenazas y agresiones de la industria del ciberdelito.