A finales de julio de este año, la Comisión de bolsa y Valores (SEC) de Estados Unidos emitió nuevas reglas encaminadas a mejorar y estandarizar la divulgación sobre la gestión de riesgos, la estrategia, el gobierno y los incidentes de seguridad, que obligan a las empresas públicas reguladas a dar a conocer eventos de ciberseguridad, incluyendo las violaciones de datos, que pongan en peligro la ciberseguridad de los inversionistas actuales y potenciales.
Como la entidad responsable de regular a las entidades financieras de Estados Unidos, la SEC busca defender a los inversionistas de riesgos operativos, del fraude y mantener un entorno seguro. Su equivalencia en México sería la Comisión Nacional Bancaria y de Valores (CNBV).
Dichas normas definen la manera en que las empresas que cotizan en la bolsa estadounidense deben informar a la SEC cuándo han experimentado un incidente de ciberseguridad. El objetivo de divulgar información específica sobre estos incidentes es ayudar a los inversionistas a mitigar el costo y frecuencia que conllevan y, al mismo tiempo, implementar un marco de gestión de riesgos más formal.
Con estos nuevos requerimientos, la SEC logra un cambio de enfoque significativo respecto a cómo se aborda la ciberseguridad en las organizaciones financieras públicas. Así, contrario en acotarla sólo a las tecnologías de la información (TI), se amplía para integrar todas las áreas que las conforman.
Responsabilidad compartida
La ciberseguridad, por ende, pasa a ser un tema estratégico empresarial en el que se deberán involucrar comités administrativos, donde los miembros de la C-suite y la alta dirección asumen una mayor responsabilidad en la implementación de medidas de protección. En otras palabras, los stakeholders clave de una organización están también asumiendo la responsabilidad de gestionar los riesgos y de la ciberseguridad.
La promulgación de las normas de la SEC pone también énfasis en la importancia de vigilar el estado de la ciberseguridad en tiempo real. Esto quiere decir que las empresas financieras que cotizan en bolsa tendrán que evaluar y gestionar los riesgos en todo momento con el propósito de evaluar los riesgos de manera rápida y constante, y vigilar muy de cerca las amenazas que surgen constantemente.
En consecuencia, las estrategias de evaluación de riesgos y la implementación de controles deben comportarse como un ente vivo, que evoluciona constantemente y se adapta a los rápidos cambios del panorama de amenazas.
Asimismo, se define la necesidad de crear y ejecutar programas formales de gestión de riesgos que incluyan controles de riesgos muy bien delineados, las amenazas latentes que podrían tener un impacto significativo, y realizar una revisión constante.
El lado B de las reglas
Sin duda, las nuevas reglas de la SEC aportarán mayor transparencia, una mejor rendición de cuentas y mayor responsabilidad respecto a la postura de ciberseguridad. Existe, sin embargo, una brecha que debe puntualizarse.
Con base en la norma, las organizaciones financieras deberán reportar un incidente de ciberseguridad, llenando las formas y siguiendo los procedimientos correspondientes, en un plazo máximo de cuatro días, siempre y cuando dicho evento tenga un impacto real en los inversionistas. De no ser así, y si afecta solamente a otras personas como socios o clientes, no están obligadas a hacerlo.
Este tema ha desatado discusiones álgidas en el sector. Pero más allá de las polémicas, la SEC está sentando las bases de un proyecto que puede eventualmente ampliarse para integrar a otro tipo de organizaciones. Además, en términos generales, es un avance importante hacia una estrategia de ciberseguridad más integral y efectiva.
Si bien México y otros países comienzan a dar los primeros pasos hacia esa dirección, aún hay una gran brecha por recorrer.
En nuestro país, en particular, comienzan a darse los primeros pasos. También en julio pasado, la Comisión Nacional Bancaria y de Valores (CNBV) lanzó una actualización de las normativas en torno a informar sobre la materialización de incidentes de seguridad a dicha comisión, así como a otros jugadores del sector financiero; no así al público en general.
Es ahí donde es necesario asumir una mayor responsabilidad, y ampliar la conversación de seguridad informática a seguridad de la información, con la ciberseguridad como un concepto más actual y estratégico que englobe a una organización en su conjunto.