La Comisión de Bolsa y Valores de EE.UU. tiene normas bastante rigurosas en relación a las violaciones de ciberseguridad.
Entre otras disposiciones, exige que una empresa pública (que ha salido a bolsa) debe revelar un incidente importante de seguridad ante este organismo en los cuatro días posteriores a conocerse su existencia y ante la certeza de que se trata de una infracción importante. Si se determina que el incidente es material, tienen que presentar el formulario 8-K de artículo 1.05.
Además, la divulgación debe describir los aspectos materiales de la naturaleza, alcance y momento del incidente, así como su “impacto material o impacto material razonablemente probable”, incluso desde una perspectiva financiera.
Sin embargo, pese a que esto debería recaer en los directores financieros (CFO), dada la naturaleza de la SEC, parece que muchos de ellos 'escurren el bulto' y delegan estas tareas en los responsables de seguridad de información de las organizaciones (CISO).
Así lo pone de manifiesto un estudio publicado por AuditBoard, una empresa de gestión de riesgos basada en la nube. Dicho informe encontró que el 75% de los directores de seguridad están involucrados en el proceso de divulgación de violaciones de datos de la SEC, en comparación con el 45% de los responsables financieros.
“Si se toman decisiones sobre materialidad sin incorporar la perspectiva o el punto de vista de la oficina del CFO, la probabilidad de cometer errores aumenta”, ha explicado en una entrevista Richard Marcus, jefe de seguridad de la información de AuditBoard.
El experto también comenta que “el CISO puede analizar un evento de seguridad desde la perspectiva del riesgo que presenta para la organización, pero dado que en general no es realmente responsable de las pérdidas y ganancias, pedirle que tome una determinación sobre el impacto financiero de un incidente resulta 'algo unilateral'".
Tratando de adaptarse a la normativa
El informe también muestra cómo muchas empresas cotizadas estadounidenses siguen peleando para cumplir las reglas de la SEC, que amenazan con volverse incluso más estrictas.
Un tercio de estas compañías públicas aun se encuentran en las etapas preliminares de implementación de las normas. Aunque 4 de cada 5 encuestados esperan que las normas tengan un impacto significativo en su negocio solo la mitad reconoce estar confiados en su preparación para el cumplimiento.
Según se hace eco Cybersecurity Dive, a partir del 18 de diciembre, todas las entidades cubiertas, excepto las empresas más pequeñas, debían cumplir con los nuevos mandatos de divulgación de infracciones. Sin embargo, las empresas más pequeñas que presenten informes estarán sujetas a ellos a partir del 5 de junio.