La SEC juega duro con la nueva regla de ciberseguridad

Por Danny Bradbury • 10 de septiembre de 2023

La Comisión de Bolsa y Valores (SEC) acaba de endurecer su postura sobre las empresas públicas en materia de ciberseguridad. El 26 de julio emitió su Gestión de riesgos de ciberseguridad, estrategia, gobernanza y divulgación de incidentes regla. Propuesto originalmente el año pasado, se aplica a las empresas que cotizan en bolsa y exige que notifiquen a la SEC dentro de los cuatro días posteriores a una violación importante de la ciberseguridad.

Este es el último de un lento esfuerzo para fomentar la divulgación de incidentes de seguridad que comenzó en 2011 con orientación del personal de la SEC. Dijo que varias regulaciones de la Comisión podrían obligar a revelar incidentes de ciberseguridad, aunque no existiera una regla explícita para ellos. En 2018, la Comisión emitió una guía interpretativa, destacando que las empresas podrían revelar incidentes de ciberseguridad. Sin embargo, estas divulgaciones aún fueron irregulares y se realizaron en diferentes lugares con distintos niveles de detalle.

La nueva regla tiene como objetivo cambiar eso al dictar explícitamente requisitos consistentes para la divulgación de incidentes de seguridad. Requiere que las empresas completen el Formulario 8-K, un formulario de divulgación popular que luego estará disponible en el sitio web de la Comisión.

La divulgación incluye una breve descripción del incidente, su alcance cuando se descubrió el incidente, si está en curso y el efecto en las operaciones. La regla también exige que las empresas describan sus procesos de evaluación de riesgos de ciberseguridad y describan cómo la junta directiva y la gerencia supervisan esos riesgos.

Reacción

No todo el mundo era partidario de la última norma. A Melissa MacGregor, asesora general adjunta y secretaria corporativa de la Asociación de la Industria de Valores y Mercados Financieros (SIFMA), le preocupaba que la norma exigiera demasiado y demasiado pronto. La norma "exige la divulgación pública de demasiada información, demasiado sensible y altamente subjetiva, en momentos prematuros, sin la necesaria deferencia hacia los reguladores prudenciales de las empresas públicas o las agencias especializadas en ciberseguridad pertinentes", afirmó. dijo en una declaración al Washington Post.

Escribir para El Centro de Política y Derecho de Ciberseguridad, Harley Geiger, abogado del bufete de abogados Venable LLP, también advirtió sobre el breve período de divulgación. "Como norma general de mejores prácticas, los incidentes cibernéticos en curso deben mantenerse en silencio hasta que se contengan y se cierre el vector de ataque, pero la regla de la SEC cambiará este manual", dijo.

La SEC había suavizado un poco la regla, reduciendo el alcance de la divulgación a solo los detalles materiales y el tamaño del incidente de seguridad y cualquier impacto material en la empresa. También le dio al Fiscal General el poder de retrasar la divulgación por 30 días.

"Sin embargo, ninguno de estos cambios aborda las preocupaciones de que la divulgación pública de incidentes cibernéticos no contenidos o no mitigados cree un riesgo de que los atacantes sean alertados sobre vulnerabilidades no parcheadas y causen más daños", dijo Geiger. "Es probable que la prórroga del AG sólo se ejerza en casos excepcionales".

Incluso aquellos en el sector de la seguridad tenían sus reservas. A Tara Wisniewski, vicepresidenta ejecutiva de promoción, mercados globales y participación de los miembros de (ISC)2, la organización de seguridad sin fines de lucro que rige la certificación CISSP, le preocupaba que la regla no fuera lo suficientemente detallada.

"Si bien apoyamos los principios fundamentales de la divulgación pública para informar y proteger a los accionistas, clientes y otros electores, el fallo de la SEC es preocupantemente vago", Wisniewski habría dicho. "Plantea más preguntas que respuestas y puede crear ambigüedad para los ciberprofesionales".

Otras propuestas

Los grupos de la industria también se preocupan por varios aspectos de las reglas de gestión de riesgos y ciberseguridad de la SEC. En junio, la Asociación de la Industria de Valores y Mercados Financieros (SIFMA) preocupado sobre la confusión entre algunas otras reglas en proceso de la SEC.

La divulgación de algún tipo u otro pasa por estas otras reglas propuestas. Uno haría ampliar el Reglamento SP, que cubre la privacidad de los datos de los clientes para corredores de bolsa, empresas de inversión y asesores registrados. La norma les exigiría adoptar planes escritos de respuesta a incidentes de ciberseguridad, incluidas notificaciones de divulgación de infracciones, en un plazo de 30 días. También amplía el alcance del Reglamento, ampliándolo para cubrir a los agentes de transferencias y ampliando la definición de información del cliente para incluir datos recopilados internamente y de terceros.

Otras reglas se centran en la gestión de riesgos de ciberseguridad, incluidas Regla 10, que se aplicaría a los corredores de bolsa y a los participantes en swaps de valores. Esto les exige notificar inmediatamente a la Comisión cualquier violación de la seguridad, al mismo tiempo que evalúan y documentan periódicamente los riesgos de ciberseguridad y notifican al público tanto los riesgos como las violaciones en sus sitios web. También tendrían que implementar y documentar controles de ciberseguridad y crear un plan de respuesta a incidentes.

La SEC tiene una conjunto separado de reglas propuestas de gestión de riesgos para asesores y fondos, ampliando las reglas existentes de divulgación de riesgos y mantenimiento de registros para incluir riesgos y políticas de ciberseguridad. Obligarían a los asesores y fondos de inversión a incluir divulgaciones de riesgos de ciberseguridad en el formulario ADV, que es el formulario de divulgación al que se recurre para otras cosas como riesgos financieros y conflictos de intereses. Las políticas documentadas de ciberseguridad también serían obligatorias.

"La Comisión no ha proporcionado orientación en un formato procesable sobre la considerable superposición entre la propuesta de Reglamento SP con la propuesta de la Regla 10 y las propuestas relacionadas", dijo SIFMA, advirtiendo que la SEC debería armonizar la propuesta de SP con las demás.

Finalmente, la SEC está persiguiendo cambios a las reglas de Integridad y Cumplimiento de Sistemas de Regulación de 2014 de la SEC, que emitió para garantizar la seguridad de los sistemas comerciales. Las enmiendas ampliarían las regulaciones para cubrir a los corredores de bolsa, los depósitos que mantienen datos de swaps de valores y más agencias de compensación. También impondría más requisitos, incluida la supervisión de la seguridad y la continuidad del negocio de terceros, como los proveedores de servicios en la nube, y la adopción de controles de acceso al sistema (que, sorprendentemente, no eran obligatorios según la SCI).

El documento de la SEC para la norma de ciberseguridad aprobada en julio incluía concesiones en respuesta a algunos comentarios, junto con algunas respuestas sólidas para otros. Independientemente de que la gente sienta o no que la regla fue demasiado lejos, el hecho de que la Comisión esté intensificando regulaciones serias para aclarar un creciente riesgo de ciberseguridad es loable. De hecho, la pregunta más importante sobre la norma es por qué tardó tanto.

danny bradbury

Danny Bradbury ha sido periodista impreso especializado en tecnología desde 1989 y escritor independiente desde 1994. Ha escrito para publicaciones nacionales en ambos lados del Atlántico y ha ganado premios por su trabajo de periodismo de investigación en ciberseguridad.

Lea más de Danny Bradbury

La seguridad cibernética 15 de enero de 2026

De la seguridad perimetral a la identidad como bandera de seguridad

De la seguridad perimetral a la identidad como seguridad

Hoy en día, es imposible ver un evento de seguridad sin ver la frase "confianza cero". Es una palabra de moda, sí, pero...

danny bradbury

La seguridad cibernética 18 December 2025

Cómo navegar por el laberinto de cumplimiento de IA en EE. UU.

Cómo navegar por el laberinto del cumplimiento normativo de la IA en EE. UU.

En materia de regulación, el término «Estados Unidos» es un oxímoron. Las leyes estatales están lejos de estar unificadas, y cada jurisdicción tradicionalmente...

danny bradbury

La seguridad cibernética 20 November 2025

Lo que las brechas de seguridad de Salesforce nos enseñan sobre la responsabilidad compartida

2025 no ha sido un buen año para los clientes de Salesforce. Un grupo criminal sin escrúpulos lanzó una serie de ataques contra sus clientes, afectando finalmente a...

danny bradbury