Grupos bancarios solicitan a la SEC eliminar norma de ciberseguridad

hace 4 semanas

La ciberseguridad se ha convertido en una preocupación central para las empresas de todos los sectores, especialmente para las entidades bancarias y financieras. Recientemente, grupos de defensa de estas industrias en Estados Unidos han alzado la voz para cuestionar las normativas impuestas por la Comisión de Bolsa y Valores (SEC) en relación con la divulgación de incidentes de ciberseguridad. Este llamado ha generado un intenso debate sobre la necesidad de equilibrar la transparencia con la seguridad.

Índice
  1. Contexto de la solicitud a la SEC
  2. La norma de divulgación de la SEC
  3. El impacto en la industria de criptomonedas
  4. Requisitos específicos de divulgación
  5. Consecuencias de la divulgación prematura
  6. El papel de la SEC en la regulación de la ciberseguridad
  7. Perspectivas futuras

Contexto de la solicitud a la SEC

En una carta fechada el 22 de mayo, cinco grupos bancarios, encabezados por la Asociación Estadounidense de Banqueros, solicitaron a la SEC que anule su norma sobre la divulgación pública de incidentes de ciberseguridad. Argumentaron que estos requisitos de informes pueden entrar en conflicto con la protección de la infraestructura crítica y la prevención de posibles ataques. La preocupación radica en que la divulgación obligatoria podría facilitar la labor de los delincuentes cibernéticos, quienes podrían explotar esta información para llevar a cabo ataques más sofisticados.

Además de la Asociación Estadounidense de Banqueros, la petición fue respaldada por la Asociación de la Industria de Valores y Mercados Financieros, el Instituto de Políticas Bancarias, los Banqueros Comunitarios Independientes de América y el Instituto de Banqueros Internacionales. Estos grupos sostienen que la norma no solo es ineficaz, sino que también compromete los esfuerzos regulatorios para mejorar la ciberseguridad nacional.

La norma de divulgación de la SEC

La norma de Gestión de Riesgos de Ciberseguridad de la SEC, introducida en julio de 2023, exige a las empresas que informen rápidamente sobre incidentes de ciberseguridad, como brechas de datos y hackeos. Aunque la intención es aumentar la transparencia y proteger a los inversores, los grupos bancarios han señalado que esta regulación es defectuosa y ha creado problemas prácticos.

  • Interfiere con las respuestas a incidentes y la colaboración con las fuerzas del orden.
  • Genera confusión en el mercado entre las divulgaciones obligatorias y las voluntarias.
  • Se ha convertido en una herramienta de extorsión para delincuentes de ransomware.

Los grupos expresaron que la divulgación pública de incidentes ha llevado a una "confusión en el mercado", donde las empresas deben navegar por un complejo sistema de divulgación que impide una respuesta eficiente a los ataques cibernéticos.

El impacto en la industria de criptomonedas

La norma de divulgación también afecta a las empresas de criptomonedas cotizadas, como Coinbase. Recientemente, esta plataforma reveló que delincuentes habían sobornado a su personal para filtrar datos de usuarios, lo que resultó en una serie de demandas legales. Este tipo de incidentes pone de relieve las complicaciones que pueden surgir de la divulgación obligatoria.

  • Coinbase enfrentó al menos siete demandas tras la divulgación de un ataque cibernético.
  • La empresa desestimó una demanda de rescate de 20 millones de dólares relacionada con el robo de datos.
  • Los daños potenciales del ataque podrían alcanzar los 400 millones de dólares.

Si la SEC decide derogar la norma, empresas como Coinbase tendrían más flexibilidad para gestionar cómo y cuándo informan sobre incidentes de ciberseguridad, lo cual podría reducir las repercusiones legales y comerciales que enfrentan actualmente.

Requisitos específicos de divulgación

Los grupos bancarios han pedido la eliminación del "Ítem 1.05" de las reglas de la SEC. Este ítem está relacionado con la obligación de informar sobre incidentes de ciberseguridad en el Formulario 8-K, que se utiliza para notificar a los inversores sobre eventos que podrían ser significativos para la empresa.

La eliminación de este ítem, según los grupos, no solo protegería los intereses de los inversores, sino que también permitiría un marco de divulgación más eficiente y menos perjudicial para las empresas. Argumentan que la divulgación de información material ya aborda incidentes de ciberseguridad que son relevantes para los accionistas.

Consecuencias de la divulgación prematura

La divulgación prematura de incidentes de ciberseguridad puede tener consecuencias negativas no solo para las empresas afectadas, sino también para el mercado en general. Estas consecuencias incluyen:

  • Aumento de la vulnerabilidad a ataques futuros.
  • Confusión entre los inversores sobre la salud real de la empresa.
  • Impacto en la reputación y la confianza del consumidor.

Los grupos bancarios advierten que la forma en que se manejan estos incidentes puede afectar gravemente la comunicación interna entre equipos y la capacidad de las empresas para compartir información crítica relacionada con la seguridad.

El papel de la SEC en la regulación de la ciberseguridad

La SEC ha desempeñado un papel crucial en la regulación de la ciberseguridad en el sector financiero, estableciendo normas que buscan proteger tanto a las empresas como a los inversores. Sin embargo, la presión de los grupos bancarios resalta la tensión entre la necesidad de transparencia y la imperante necesidad de proteger la privacidad y la seguridad operativa.

El debate sobre la efectividad de estas regulaciones plantea preguntas importantes sobre cómo deben las entidades gubernamentales abordar la ciberseguridad en un entorno donde las amenazas son cada vez más sofisticadas. La SEC deberá considerar las recomendaciones de estas organizaciones mientras busca un enfoque que garantice la protección adecuada de los inversores y la seguridad de la infraestructura crítica.

Perspectivas futuras

La conversación en torno a la regulación de la ciberseguridad está lejos de concluir. A medida que las amenazas evolucionan, también lo harán las estrategias de respuesta y los marcos regulatorios. El resultado de la petición de los grupos bancarios podría establecer un precedente importante no solo para el sector financiero, sino también para otras industrias que enfrentan desafíos similares.

El futuro de las normas de divulgación de ciberseguridad dependerá de la capacidad de las entidades regulatorias para equilibrar los intereses de los inversores con la necesidad de proteger la información sensible de las empresas. La ciberseguridad no es solo un tema de cumplimiento, sino una cuestión crítica que puede afectar la estabilidad del mercado y la confianza pública.

Para más información sobre el impacto de los incidentes de ciberseguridad en el sistema financiero, puedes ver este video que explora el tema:

Es fundamental que tanto las empresas como los reguladores trabajen juntos para desarrollar un enfoque que promueva la transparencia sin comprometer la seguridad. La ciberseguridad debe ser una prioridad a medida que las empresas navegan por un panorama digital en constante cambio.

Si quieres conocer otros artículos parecidos a Grupos bancarios solicitan a la SEC eliminar norma de ciberseguridad puedes visitar la categoría Regulaciones.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir