Después de mucha discusión y regateo, la Comisión de Bolsa y Valores (SEC) finalmente adoptó la semana pasada reglas que requieren que todas las empresas públicas informen las infracciones de seguridad cibernética dentro de los cuatro días. Si bien ha habido una serie de iniciativas fallidas para lograr que las empresas prioricen la ciberseguridad, la aplicación por parte de la SEC podría tener un impacto genuine esta vez. Las empresas a menudo se ven tentadas a ocultar las infracciones bajo la alfombra, pero este enfoque conduce a resultados negativos tanto para los accionistas como para los clientes. El nuevo requisito de notificación tiene el potencial de impulsar el cambio institucional desde la junta hacia abajo.
Las reglas llegan solo un mes después de que SolarWinds anunciara que la SEC había emitido un Aviso de Wells contra sus ejecutivos, indicando que tienen la intención de tomar medidas contra ellos por su parte en la filtración de 2020. Así que no hay duda de que la SEC va en serio cuando se trata de mejorar la ciberseguridad de las empresas públicas.
Luego de un extenso período de comentarios, se eliminaron muchas partes de las reglas preliminares para hacerlas más aceptables para la industria. Atrás quedaron los requisitos relacionados con el registro y la cuantificación de las posturas de seguridad, los conceptos complejos de materialidad agregada y las solicitudes de información detallada desde el principio en una respuesta de violación. En common, las reglas finales brindan un equilibrio muy sensato entre elevar los estándares y eliminar la burocracia onerosa.
Sin embargo, las nuevas reglas no están exentas de controversia. Los reglamentos se aprobaron 3-2 en líneas partidarias. El comisionado republicano Mark Uyeda expresó su preocupación de que las nuevas reglas elevan injustamente los riesgos de ciberseguridad por encima de otros de igual importancia.
También existe la preocupación de que, en muchos incidentes, un atacante seguirá viviendo en una red en el momento de la notificación. La comisionada disidente, Hester Pierce, dijo que la información pública ayudaría a los piratas informáticos a comprender mejor las defensas de las organizaciones que buscaban atacar, y dijo que las reglas “parecen diseñadas para satisfacer mejor las necesidades de los posibles piratas informáticos”. Informar al atacante de que ha sido identificado puede hacer que sea más difícil bloquearlo. La planificación de una solución a una infracción persistente, por ejemplo, al restablecer las contraseñas de todos los usuarios y bloquear los puntos de acceso, puede llevar semanas.
Sin embargo, ahora hay excepciones y excepciones en las reglas finales, particularmente para incidentes de seguridad nacional, que mitigan estos riesgos. Y la información requerida en el formulario 8-K no es lo suficientemente detallada como para brindarles a los atacantes suficiente conocimiento interno, más allá del hecho de que se identificó una brecha y se ha estado respondiendo.
La fecha límite de notificación solo se activa después de determinar que hay un substance incumplimiento, no cuando las empresas identifican por primera vez un incumplimiento. Es una diferencia sutil, pero puede tomar días de análisis de clasificación inicial antes de identificar que las infracciones son lo suficientemente importantes como para justificar un informe a la SEC. Determinar cuándo las infracciones son materiales requiere determinar el alcance del incidente y evaluar el impacto. Muchas organizaciones hoy en día pueden tener dificultades para identificar la materialidad de una infracción. Pero eso es algo que la SEC debería obligar a las empresas públicas a mejorar. Además, los requisitos de informes no prevén que el incidente se haya solucionado por completo en cuatro días. Las empresas en la UE solo tienen tres días bajo GDPR, y en India son seis horas extremadamente breves.
No es un informe largo que las organizaciones deben presentar y requiere informar sobre la naturaleza de la infracción y algunos plazos breves e impactos esperados. Las empresas deberán presentar una nueva extensión del formulario 8-K existente utilizado por la SEC para notificar a los inversores sobre eventos importantes. Otras secciones existentes incluyen elementos como «Seguridad en las minas: informes de cierres y patrones de violaciones» y «Quiebra o administración judicial». No es exclusivo de la ciberseguridad.
Las nuevas reglas entrarán en vigencia en diciembre o 30 días después de su publicación en el Registro Federal. No espero protestas una vez que se implementen, pero sí espero ver una mejora continua en los estándares de seguridad cibernética como resultado.
Chris Doman, cofundador y CTO, Cado Stability