Actuar conforme a la SEC

En una época de mayor transparencia, es complicado determinar cuántos datos de seguridad informática hay que divulgar a la SEC. Una pregunta clave: ¿qué ataques son «materiales»?

Al igual que otros CIO, Jeff Nimeroff estudió exhaustivamente la propuesta de divulgación de ciberseguridad publicada por la Comisión de Bolsa y Valores (SEC) el 9 de marzo con cierta inquietud. Las normas propuestas pretenden mejorar y normalizar la divulgación de la gestión, estrategia, gobierno y notificación de incidentes de riesgo cibernético de las empresas públicas. El problema para Nimeroff y otros CIO radica en determinar cuánto se debe divulgar públicamente, dado el evidente valor que tiene esta información para los hackers.

«Uno de los principios de la gestión de riesgo cibernético que suscribimos es la ‘seguridad a través de la oscuridad’», afirmó Nimeroff, CIO de Zeta Global, una empresa pública de tecnología de marketing basada en la nube con ingresos de $458 millones en 2021 y 1,400 empleados a nivel mundial. «No me gusta hablar mucho de los detalles, aparte de decir que mi trabajo es asegurarme las 24 horas del día, los 7 días de la semana, de que nuestra ciberseguridad esté alerta y sea íntegra».

Si la SEC emite una resolución final muy parecida a la propuesta actual, la oscuridad se doblegará ante la necesidad de ofrecer a los inversores la información que llevan tiempo buscando sobre la capacidad de una empresa pública de interceptar un ataque informático y evitar un impacto en su negocio. De hecho, ningún inversor quiere verse sorprendido por haber invertido su capital en una empresa que ha sido víctima de un ataque de ransomware difundido en todo el mundo. «Se considera que los incidentes de ciberseguridad y otros riesgos son una de las mayores amenazas para las empresas», señala la propuesta de la SEC, cuya función es proteger a los inversores.

Estos riesgos aumentaron por varias razones, entre ellas, la creciente digitalización de las operaciones comerciales, el aumento de la prevalencia del trabajo a distancia, una mayor dependencia en los terceros proveedores de TI que ofrecen computación en la nube y otros servicios, y un incremento en la capacidad de los delincuentes informáticos de monetizar los incidentes de ciberseguridad, como el ransomware, utilizando criptomonedas difíciles de rastrear, según señaló la SEC.

Además de proponer que las empresas públicas divulguen un incidente cibernético material en un plazo de cuatro días hábiles, una determinación increíblemente compleja, la SEC recomienda además que se divulguen los procedimientos utilizados para identificar y gestionar los riesgos de seguridad informática, lo que equivale a pedir a un ladrón de cajas fuertes que entregue las herramientas y técnicas utilizadas para abrir una caja fuerte a otros posibles ladrones de cajas fuertes. «El desafío está en decidir cuánta información sobre ciberseguridad es demasiada o muy poca», contó Chandrasekar Venkataraman, director de Servicios de Asesoría de Riesgos en la empresa de auditoría y asesoría Kaufman Rossin. «Los registrantes podrían declarar de menos o de más».

En todos los casos, el resultado no es bueno. «Si informa de menos los riesgos de ciberseguridad a los inversores, podría terminar dándoles herramientas suficientes para iniciar un procedimiento legal en su contra», afirmó Venkataraman. «Y si los informa en exceso, podría terminar exponiendo sus vulnerabilidades informáticas a los delincuentes, posiblemente dando lugar a incidentes cibernéticos adicionales y más graves en detrimento de la empresa y sus inversores».

Divulgación de riesgos

La propuesta de la SEC, de 129 páginas, denominada formalmente propuesta de norma para la Gestión, Estrategia, Gobierno y Divulgación de Incidentes de Riesgos de Ciberseguridad, puede resumirse en cuatro requisitos claves que deben cumplir los CIO y/o CISO. Incluyen la divulgación de un incidente cibernético dentro de los cuatro días hábiles siguientes al evento desencadenante (si se determina que es material para los inversores); las actualizaciones periódicas de estos eventos divulgados; los programas de gestión de riesgos y las estrategias para hacer frente a los riesgos de ciberseguridad; y las funciones de la administración y de los miembros de la junta directiva en términos de evaluación, gestión, gobierno y supervisión de riesgos.

Esta información es necesaria para proteger a los inversores. En una declaración en la que anunciaba la publicación de la propuesta en marzo, el presidente de la SEC, Gary Gensler, calificó la ciberseguridad como un «riesgo emergente […] con importantes repercusiones financieras, operativas, legales y de reputación. […] Los inversores quieren saber más sobre la forma en que los emisores gestionan estos riesgos en aumento».

Si bien muchas empresas públicas ya proporcionan información sobre ciberseguridad a los inversores, Gensler dijo que las disposiciones propuestas garantizarán que los riesgos cibernéticos se comuniquen de manera «coherente, comparable y útil para la toma de decisiones (de los inversores)».

En el período de comentarios públicos que siguió a la publicación de la propuesta, muchos argumentos de ejecutivos sénior se centraron en las dificultades propias de la determinación de la materialidad de un incidente cibernético, especialmente en un plazo de cuatro días hábiles desde su descubrimiento. Pese a que la palabra «material» aparece 161 veces en la propuesta, la SEC deja en manos de las empresas la tarea de discernir si un tipo específico de ataque informático se consideraría lo suficientemente material como para incidir en la toma de decisiones de un accionista razonable.

No es inusual que la red y los sistemas de una empresa pública sufran cientos, si no miles, de ciberataques al año, la mayor parte de los cuales no logran acceder a las redes y sistemas informáticos corporativos. Es probable que estos acontecimientos no sean materiales. Pero ¿qué ocurre con un ataque que vulnera un sistema y es rápidamente eliminado? «Los delincuentes están todo el día golpeando las puertas de acero para [intentar] ingresar al sistema informático, pero solo unos pocos lo consiguen», dijo Venkatarama. «¿Es ‘material’ informar solo los que pasan o todos los incidentes?»

Determinar la materialidad en apenas cuatro días hábiles es muy complicado y lleva mucho tiempo, como sostuvo Ernst & Young en sus comentarios públicos. «Para determinar si un incidente de ciberseguridad es material, los registrantes tendrían que evaluar el total de la información en su conjunto, teniendo en cuenta todos los hechos y circunstancias relevantes del incidente, incluidos los factores cuantitativos y cualitativos», comentó la firma de auditoría y asesoramiento. «No creemos que sea necesario fijar un plazo para hacer una evaluación de materialidad».

«El plazo de respuesta es muy ajustado», coincidió Edward McNicholas, colíder del área de datos, privacidad y ciberseguridad del bufete de abogados Ropes & Gray. «En un ataque complejo, incluso si se cuenta con un buen programa de respuesta a incidentes, con asesores legales y demás consultores alineados y preparados, puede llevar algún tiempo obtener información confiable sobre la causa y el efecto».

Dado que los delincuentes buscan constantemente formas más novedosas de perpetrar un ciberataque, los responsables de seguridad informática tendrán mucho trabajo a la hora de determinar estas causas y efectos. En el pasado, una empresa podía comunicar a los inversores que había sido objeto de varios tipos de ataques diferentes, sin ser demasiado específica; en el futuro, tendría que dar a conocer los detalles de cada incidente.

«Se acabaron los días en los que los riesgos de ciberseguridad se presentaban como riesgos hipotéticos en los archivos de la SEC de una empresa pública», afirmó McNicholas. «Si hay una intromisión y se considera que es material, habría que informarla como tal, suponiendo que la propuesta actual se convirtiera en la definitiva. Se trata de una distinción crucial, ya que impulsa a las empresas a pecar de exceso de divulgación».

Exigir a las empresas que divulguen públicamente la intromisión y las ciberdefensas relacionadas podría proporcionar a los piratas informáticos más información sobre cómo lanzar otros ataques. Brindó el ejemplo de un ataque al email de la empresa, una suerte de spear phishing. «La empresa tendría que dar a conocer esta información en cuatro días hábiles; a menos que el incidente se solucione en ese plazo, podría ofrecer a los hackers una oportunidad potencial de atentar contra la organización con otro ataque al email de la empresa», aseguró McNicholas.

Búsqueda de equilibrio

Para encontrar el equilibrio entre la falta y el exceso de información sobre los incidentes cibernéticos, la ciberdefensa y otros procedimientos de gestión de riesgo, los líderes tecnológicos como Carlos Fuentes están actualizando sus manuales de seguridad cibernética. «Estamos dividiendo cada incidente en eventos rutinarios y no rutinarios y los categorizamos como tales», contó Fuentes, CISO de la empresa pública Pega, un proveedor de software para gestión de relaciones con clientes y gestión de procesos empresariales, con $1,2 mil millones de ingresos en 2021 y 6,200 empleados en 41 sedes repartidas por gran parte del mundo.

Un evento rutinario es un ciberataque en el que un delincuente llama a la puerta intentando entrar en la red y los sistemas, según explicó, y agregó que tales incidentes no se considerarían materiales para un inversor. «No nos ocupamos de casos atípicos; es solo información inútil para los entes reguladores», dijo. «¿Por qué informar sobre un virus que no se propagó? ¿Por qué caer en esa trampa?»

Los incidentes no rutinarios, como un evento de ransomware, se considerarían materiales y deberían divulgarse. «Si tenemos una serie de trabajos en los que participan muchas personas que se esfuerzan por contener un incidente, eso es algo que cualquier inversor razonable querría saber», explicó Fuentes.

No obstante, hay que tener en cuenta algunos matices. «A veces, si se produce un incidente cibernético importante, las fuerzas del orden público intervienen en una investigación activa y no permiten que la empresa informe sobre lo ocurrido», contó. Eso es un problema para una empresa global que opera en varias jurisdicciones. «Si el evento se produjo en la India y las autoridades legales del país le exigen que mantenga el ataque en secreto, ¿debe o no comunicarlo a la SEC para que lo difunda a los inversores? En estos casos, tiene sentido recurrir a un abogado externo para que los asesore».

En cuanto a la divulgación de información sobre los procedimientos de gestión de riesgo cibernético de Pega, Fuentes señaló que no es tan complicado como puede parecer. «Ya estamos proporcionando información sobre la exposición al riesgo a las aseguradoras de riesgos cibernéticos a través de nuestro corredor de seguros», dijo. «Cada año, cuando se renuevan las pólizas de seguro, las aseguradoras nos envían una lista de las 10 nuevas cosas que tenemos que hacer para renovar el seguro. Ellas se convierten en nuestros nuevos mitigadores de riesgo».

Fuentes explicó que las aseguradoras de riesgos cibernéticos cuentan con un enorme repositorio de datos sobre la novedad, la gravedad y la frecuencia de los distintos tipos de ciberataques. «Hace diez años, el gran mitigante era el software antivirus; hoy es la seguridad de las terminales», dijo. «A partir de los datos de los siniestros de sus asegurados, las aseguradoras pueden ver las grietas, una información crucial para determinar cómo parchearlas».

Nimeroff, CIO de Zeta Global, también cree que tiene un buen control de la situación al haber asegurado el entorno de la empresa de tecnología de marketing basada en la nube desde la perspectiva de las personas, los procesos y la tecnología.

«Instrumentamos la organización para buscar y agregar señales en el sentido de la seguridad, reuniendo la información que se aprovechará para proporcionar las divulgaciones que busca la SEC», manifestó Nimeroff. «Cada riesgo se rastrea y se somete a evaluaciones para determinar su impacto en tiempo real, se documenta desde un punto de vista técnico y no técnico y luego se informa a nuestros auditores técnicos, ya que hacemos auditorías ISO, SOC y SOX. Ya estamos presentando esta información en un foro que está muy regulado y controlado. Creo que esto nos permite prepararnos lo suficiente como para abordar los requisitos de divulgación».

No obstante, coincidió con los demás entrevistados en que determinar la materialidad es un asunto difícil de resolver. «Un solo incidente puede no alcanzar un nivel de materialidad, pero es posible que, tomado en su conjunto, tenga efectivamente el carácter de material, una especie de ‘daño en mil pedazos’», dijo, explicando que una serie incesante de ciberataques puede sugerir algún tipo de vulnerabilidad inherente. «Sería conveniente que la empresa no dejara de informar sobre estos casos», continuó el CIO.

Demasiado poco y demasiado tarde nunca es una buena opción.

Lea el artículo completo en StrategicCIO360.


Chandrasekar Venkataraman is a Corporate Governance Services; Managing Principal – India Principal at Kaufman Rossin, one of the Top 100 CPA and advisory firms in the U.S.