La SEC introduce nuevas directrices de notificación de ciberataques

La SEC de Estados Unidos, equivalente a la Comisión Nacional del Mercado de Valores (CNMV) española, ha elaborado una nueva serie de directrices que podría obligar a las compañías que cotizan en bolsa a prestar mayor atención a su vulnerabilidad ante posibles ciberataques.

Con estas directrices, la SEC quiere ayudar a las organizaciones a determinar cuándo necesitan revelar ciberataques y qué riesgo que éstos suponen para el negocio.

En general, las compañías públicas de Estados Unidos están obligadas a revelar los incidentes que podrían tener un impacto material en sus negocios, pero la actual regulación no menciona explícitamente los ciberataques. Sin embargo, las nuevas directrices establecen que debe informarse de ellos en algunos casos.

Según la SEC, las compañías deberían dar a conocer el riesgo de “ciberincidentes” si “se encuentran entre los factores más significativos que convierten la inversión en ellas en algo especulativo o arriesgado”.

Para determinar si es éste el caso, las empresas deberán valorar factores como la probabilidad de ser objeto de un ataque y cuál sería su coste si se produjera, en términos de interrupción de operaciones o pérdida de datos. Además, deberán facilitar detalles sobre los incidentes de hacking que han sufrido en el pasado.

Por ejemplo, explica la SEC, “si un registrador ha sufrido en el pasado un ciberataque en el que resultara embebido malware en sus sistemas y los datos de clientes quedaran comprometidos, probablemente no será suficiente que revele que existe el riesgo de que vuelva a sufrirlo”. Probablemente se le exigirá revelar detalles específicos del incidente, según la SEC.



TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper