NUEVA LEY ORDENA A EMPRESAS QUE SUFRAN CIBERATAQUES A REPORTARLOS EN MENOS DE CUATRO DÍAS

La Comisión de Bolsa y Valores de E.U. (SEC) ha confirmado sus planes para establecer una nueva medida para las organizaciones que sufran ciberataques. Esta disposición establece que las empresas que cotizan en bolsa divulguen cualquier ataque y otros incidentes de ciberseguridad significativo en cuatro días, en un intento por fortalecer las medidas de seguridad en los mercados financieros.

Esta disposición está siendo analizada en un momento en el que variantes de hacking como los ataques de ransomware muestran un claro aumento, generando millones de dólares en pérdidas y múltiples casos de interrupción de operaciones, por lo que las autoridades consideran necesario implementar nuevos mecanismos de ciberseguridad.

Los cuatro comisionados de la agencia, tres representantes demócratas y un republicano, votarán sobre la propuesta en una reunión pública en los próximos días. En caso de ser aprobada, la propuesta iniciará un proceso para recibir la opinión y retroalimentación de expertos y público en general; la SEC recibirá comentarios sobre la propuesta durante al menos 60 días antes de emitir el dictamen final.

En realidad, el gobierno federal de E.U. lleva mucho tiempo solicitando a las empresas que informen sobre los posibles riesgos de seguridad para sus clientes e inversores, aunque son apenas un par de años desde que la SEC ha adoptado este enfoque en ciberseguridad. No obstante, funcionarios de la Comisión consideran que los reportes de eventos de ciberseguridad han sido inconsistentes, por lo que hace falta revisar las disposiciones actuales.

Además del límite de 4 días para el reporte de estos incidentes, las empresas afectadas deberán proporcionar actualizaciones periódicas sobre incidentes anteriores e informar cuando estos casos hayan generado interrupciones en sus operaciones y las posibles afectaciones a los empleados, clientes e inversores.

Finalmente, las nuevas disposiciones establecen que las organizaciones deberán incluir en sus informes de operación anuales una descripción detallada de sus políticas de ciberseguridad, respuesta a incidentes y experiencia en seguridad informática entre los miembros de sus juntas directivas.

Leave a Reply

Your email address will not be published.