Una coalición de asociaciones comerciales financieras en Estados Unidos ha alzado su voz para instar a la Comisión de Bolsa y Valores (SEC) a reconsiderar su política de divulgación de incidentes cibernéticos. Esta regla de ciberseguridad, establecida hace dos años, requiere que las empresas públicas informen sobre cualquier incidente cibernético significativo en un plazo máximo de cuatro días hábiles. Gary Gensler, quien fuera presidente de la SEC en aquel entonces, aseguró que tal política beneficiaría tanto a los inversores como a las empresas y los mercados en general. Sin embargo, las asociaciones argumentan que esta normativa podría estar generando más problemas de los que resuelve.
La Controversia sobre la Regla de Ciberseguridad
Las asociaciones detrás de esta solicitud, que incluyen al Bank Policy Institute y la American Bankers Association, sostienen que la regla de ciberseguridad incrementa los riesgos tanto para los afectados por ciberataques como para los propios inversores. Afirman que la obligación de hacer pública esta información incrementa el riesgo de explotación de vulnerabilidades antes de que puedan ser adecuadamente mitigadas. Además, el costo asociado y la falta de información relevante para los inversores son otros puntos críticos destacados por el grupo.
Argumentos a Favor y en Contra
Los defensores de la normativa sugieren que la transparencia propiciada por la regla de ciberseguridad puede fortalecer la confianza del mercado, ofreciéndoles a los inversores una visión más clara de los riesgos cibernéticos que enfrentan las compañías en las que invierten. Sin embargo, quienes están en contra señalan que esta misma transparencia puede ser una espada de doble filo. Argumentan que la divulgación de incidentes antes de resolver completamente las vulnerabilidades no solo complica la seguridad nacional, sino que también ofrece a los ciberdelincuentes una ventaja potencial.
Casos de Explotación de la Regla
Un ejemplo reciente del riesgo que implica la regla es el caso del grupo de ransomware AlphV. Este grupo utilizó el informe de un incidente cibernético presentado al SEC como parte de una táctica de extorsión contra la empresa afectada, MeridianLink, para forzar el pago de un rescate. Este incidente resalta las preocupaciones sobre cómo la divulgación puede ser manipulada por actores maliciosos.
Impacto en la Seguridad Nacional y los Inversores
Además de los riesgos mencionados, las asociaciones comerciales financieras argumentan que la regla impone una carga adicional sobre los recursos de seguridad nacional. Las demandas de divulgación interfieren con los esfuerzos de mitigar los riesgos asociados a las vulnerabilidades cibernéticas en tiempo real. La rapidez requerida para la divulgación también podría generar información prematura o incorrecta, confundiéndo a los inversores en lugar de protegerlos.
Perspectivas Futuras para la Regla de Ciberseguridad
El debate sobre la regla de ciberseguridad podría llegar a redefinir la manera en que las compañías abordan la detección y divulgación de incidentes cibernéticos. Mientras algunos abogan por su eliminación total, otros sugieren una revisión que equilibre mejor las necesidades de seguridad con la transparencia del mercado. Será importante observar cómo evoluciona esta discusión, ya que la ciberseguridad se mantiene como un tema crítico y de creciente importancia en el mundo financiero.
Amigo, esto pone de manifiesto la necesidad de una estrategia de ciberseguridad que no solo proteja a las empresas y sus inversores, sino que también disuada a los actores maliciosos de explotar el sistema. Como profesionales dedicados a la gerencia y la tecnología, vale la pena seguir de cerca estos desarrollos y comprender cómo impactarán en nuestras estrategias futuras.
