La Security and Exchanges Commission (SEC) de los Estados Unidos ha emitido una orden para mejorar y estandarizar las divulgación de incidentes de ciberseguridad, de obligado cumplimiento para todas las empresas cotizadas en bolsa, y que las obliga a reportar las violaciones de seguridad de las que sean objeto en un período máximo de cuatro días desde su descubrimiento, independientemente de si han sido o no contenidas o mitigadas.
A partir de ese informe obligatorio a través de un formulario estandarizado que será hecho público a través del sistema EDGAR en la página de la SEC, el fiscal general tendrá la posibilidad de solicitar por escrito una demora en la divulgación de hasta treinta días, cuando se interprete que la divulgación representa un riesgo sustancial para la seguridad nacional o la seguridad pública. En este sentido, la nueva regla supone un importante cambio en las prácticas generalmente aceptadas: habitualmente, se entiende como parte de las mejores prácticas el que los incidentes de ciberseguridad se mantengan en silencio hasta que el vector de ataque haya sido contenido y el incidente cerrado. Ahora, las compañías estarán obligadas a reportarlos en cuatro días, independientemente de su estado.
- La fecha en que se descubrió el incidente y su estado (en curso o resuelto).
- Una descripción concisa de la naturaleza y extensión del incidente.
- Una enumeración de todos los datos que puedan haber sido comprometidos, alterados, accedidos o utilizados sin autorización.
- Una evaluación del posible impacto que el incidente pueda llegar a tener sobre las operaciones de la empresa.
- Información sobre todas las iniciativas llevadas a cabo para la posible mitigación del incidente y de otros similares que la empresa haya desarrollado.
Las compañías afectadas no estarán obligadas a divulgar detalles técnicos de sus planes de respuesta a incidentes, o sobre posibles vulnerabilidades que podrían influir en su respuesta o en las acciones que planteen para corregirlas.
La regla de la SEC otorga una nueva importancia a la ciberseguridad: los incidentes, hasta ahora, se trataban generalmente con suma discreción o incluso se ocultaban conscientemente durante largo tiempo, lo que ponía en riesgo a todos los afectados, tanto a la propia compañía como a los posibles clientes, etc. Durante mucho tiempo, la fuente más habitual que permitía saber que los sistemas de información de una compañía habían sido comprometidos era la aparición de volcados de datos que se ofrecían o aparecían en diversos repositorios y foros en la dark web, bien a la venta o publicados en abierto como represalia por no haber pagado un rescate.
Ahora, las compañías grandes tendrán que moverse más rápido tras identificar una intrusión. A las compañías más pequeñas se les otorgarán ciento ochenta días adicionales antes de que la exigencia de rellenar el correspondiente formulario o las eventuales sanciones por no hacerlo entren en vigor. La nueva norma tiene mucho sentido: a nadie se le ocurriría que, ras una intrusión o robo de datos físico en una oficina, la empresa afectada tratase de ocultarlo o de manejar el tema con discreción: en el mundo online, debemos tratar los incidentes con el mismo nivel de importancia, e informar rápidamente sobre todo su posible alcance.
Seguramente, una política que, tras la Unión Europea y ahora los Estados Unidos, otros países también tenderán a incorporar.
