A principios de este verano, la SEC, (Securities and Exchange Commission) publicó una guía destinada a ayudar a las empresas que cotizan en USA a cumplir con la regla que requiere la divulgación de eventos materiales de ciberseguridad a los inversores. De ahí, que detallamos los principales puntos sobre esta guía.
Cinco preguntas hipotéticas
En julio de 2023, la Comisión de Bolsa y Valores (SEC) finalizó la normativa sobre la gestión de riesgos de ciberseguridad, la gobernanza y la notificación de incidentes de las empresas públicas. Según esta normativa, las empresas que cotizan en la bolsa de Estados Unidos están obligadas a revelar, en un plazo especifico, cualquier incidente material de ciberseguridad. Esto incluye proporcionar información sobre su naturaleza, alcance e impacto material o probabilidad de impacto material.
De acuerdo con la norma, las empresas cotizantes también están obligadas a divulgar, anualmente, información sobre sus estrategias de gestión de riesgos. Las empresas deben informar sobre sus procesos internos y estructuras de gobernanza para evaluar, identificar y gestionar las amenazas materiales a la ciberseguridad.
El 24 de junio de 2024, la SEC proporcionó cinco interpretaciones de cumplimiento y divulgación presentados en un formato de preguntas y respuestas, que aclaran cómo las empresas deben aplicar la regla de divulgación de la SEC en ciertas circunstancias específicas.
Pregunta 1: ¿Qué pasa si un evento termina antes de que se haga una determinación de materialidad?
Una entidad sufre un incidente de ciberseguridad que implica un ataque de ransomware. El ataque de ransomware provoca la interrupción de las operaciones o la extracción de datos. Después de descubrir el incidente, pero antes de determinar si el incidente es material, la empresa lo soluciona y logra finalizar la interrupción de las operaciones y la devolución de los datos. ¿Sigue estando obligada la entidad a determinar la materialidad del incidente?
Según la SEC, la respuesta es positiva y la empresa está obligada a determinar la materialidad de un incidente de este tipo.
Pregunta 2: ¿Qué pasa si un evento material se resuelve rápidamente?
Una empresa cotizante sufre un incidente de ciberseguridad que determina que es material. Un incidente de este tipo implica que tenga un impacto material o es razonablemente probable que tenga un impacto material, con un efecto en su situación financiera y en los resultados de las operaciones. Posteriormente, la entidad soluciona y la amenaza que causó el incidente finaliza.
La SEC considera que la entidad registrada debe continuar divulgando el incidente. Aunque el incidente terminó, se consideró material. Por lo tanto, una empresa pública está obligada a informar del incidente a sus inversores.
Pregunta 3: ¿Qué pasa si el pago para resolver, por ejemplo, un ataque de ransomware está cubierto por el seguro?
La entidad tiene una póliza de seguro que cubre los incidentes de ciberseguridad y se le reembolsa la totalidad o una parte sustancial. Se puede entender entonces que el incidente no necesariamente es material como resultado del hecho de que la entidad cotizante ha sido indemnizada en virtud de su póliza de seguro.
Aquí, la SEC dice que una empresa pública no debe asumir que un incidente de este tipo no es material. Incluso si un asegurador reembolsa a un asegurado por ese pago, una compañía que determine la materialidad debe considerar los efectos a largo plazo en sus operaciones y finanzas. La SEC establece específicamente que, entre otros factores, la entidad debe considerar cualquier cambio en la disponibilidad o aumento en el costo del seguro, que puede ser una consecuencia natural de un incidente.
Pregunta 4: ¿Qué pasa si el incidente es pequeño?
Una empresa cotizante sufre un incidente de ciberseguridad que implica un ataque de ransomware. ¿Es el monto del pago del rescate en sí mismo decisivo para determinar si el incidente de ciberseguridad es material? Por ejemplo, ¿un pago de ransomware a pequeña escala haría necesariamente que el incidente de ciberseguridad relacionado fuera irrelevante?
La respuesta de la SEC es negativa y el incidente puede seguir siendo material. Si bien las implicancias financieras inmediatas de un incidente son un factor que determina la materialidad, también se deben considerar otros factores, como, por ejemplo, los efectos a largo plazo en las operaciones, la marca y la reputación de una empresa y las relaciones con los clientes.
Pregunta 5: ¿Pueden los incidentes individuales ser considerados colectivamente materiales?
Una empresa cotizante sufre una serie de incidentes de ciberseguridad y determina que cada incidente individual es irrelevante. Notificarlo o no depende de los hechos y circunstancias específicos que rodean los incidentes en cuestión. Entre otros factores, una empresa afectada "debe considerar si alguno de estos incidentes estaba relacionado y, de ser así, determinar si estos incidentes relacionados, en conjunto, fueron materiales". Una serie de pequeños incidentes pueden considerarse "relacionados" si, por ejemplo, los atacantes explotan la misma vulnerabilidad.
En definitiva, las empresas públicas cotizantes deben realizar evaluaciones de materialidad después de cada incidente cibernético.
Como se observa, La aplicabilidad del seguro tampoco exime a una empresa de la responsabilidad de llevar a cabo una evaluación de materialidad y potencialmente revelar un evento a los inversores. Además, las implicancias a largo plazo de un evento en términos de costos de seguro y disponibilidad también deben considerarse como parte de una evaluación de materialidad. A su vez, el pago de una indemnización por parte de una aseguradora a veces puede reducir por completo el límite de una póliza de seguro cibernético. Esto puede llevar a la aseguradora a aumentar los precios como condición para la renovación más allá de las medidas de seguridad que posea.
Mejores prácticas de cumplimiento
Las evaluaciones de materialidad deben llevarse a cabo con asesores idóneos que conozcan este tipo de normativa para no asumir una exposición ante los inversores. También es recomendable trabajar internamente para garantizar que todos sus procesos de gestión de riesgos cibernéticos estén actualizados. La planificación de la respuesta a incidentes es especialmente importante ante un posible evento y más aun con estas exigencias.