Después del incidente de Equifax, aquellos que esperaban que la Comisión de Valores y Bolsa de Estados Unidos (SEC) impusiera reglas más estrictas (y consecuencias por incumplirlas) en torno a la divulgación de brechas de seguridad, se sentirán decepcionados. La SEC emitió nuevas directrices en febrero, instando a los altos ejecutivos y miembros de la junta directiva a prestar más atención a la ciberseguridad. Sin embargo, los críticos afirman que las recomendaciones, aunque más rigurosas que las anteriores, no van lo suficientemente lejos y, lo que es más importante, carecen de consecuencias.

En un conjunto de recomendaciones sobre la divulgación de riesgos de ciberseguridad en 2011, la SEC dijo que las empresas deben “divulgar el riesgo de incidentes cibernéticos si estos problemas son uno de los factores más significativos que hacen que una inversión en la empresa sea especulativa o arriesgada”. La agencia aclaró que esto no requería que las empresas hablaran sobre detalles técnicos específicos de esos riesgos. Como resultado, las divulgaciones que las empresas hicieron no fueron particularmente útiles, según un estudio de 2014 realizado por PricewaterhouseCoopers y el Investor Responsibility Research Center Institute. En cambio, las divulgaciones “rara vez proporcionan información diferenciada o accionable para los inversores”.

Además, las directrices anteriores sugerían que la SEC no aplicaría ninguna de sus recomendaciones de ciberseguridad, según Ernest Badway, copresidente de la práctica de la industria de valores en Fox Rothschild LLP. En cambio, la agencia trabajaría con ellos “para asegurarse de que tengan protecciones en su lugar”. En el futuro, la SEC consideraría acciones de cumplimiento si las empresas ignoraran las recomendaciones, pero no hubo indicios de esa aplicación en las nuevas directrices. De hecho, según Badway, no ofrece mucho más que las recomendaciones originales de 2011. “Es muy bueno señalar todos estos problemas”, dice Badway. “Sin embargo, lo que no están haciendo es decir qué sucede cuando una empresa no cumple con estas regulaciones. No hay consecuencias. Todo lo que realmente dice es que todos saben que es importante tener políticas, procedimientos y un plan en su lugar para cuando algo salga mal, y que las personas no deben negociar con información si saben que ha habido un hackeo”.

En comparación, otras regulaciones de ciberseguridad tienen un poder de aplicación significativo. Las leyes de notificación de brechas, por ejemplo, están vigentes en 48 estados, Washington, DC y Puerto Rico, según el bufete de abogados Perkins Coie. Hace un año, Nueva York comenzó a exigir evaluaciones integrales de ciberseguridad a las empresas de servicios financieros en el estado. En mayo, el Reglamento General de Protección de Datos (GDPR) de la Unión Europea entrará en vigor con multas de hasta 20 millones de euros o el 4 por ciento de los ingresos globales anuales, lo que sea mayor.

En resumen, aunque la SEC ha emitido nuevas directrices sobre ciberseguridad, estas carecen de consecuencias para las empresas que no las cumplan. Esto contrasta con otras regulaciones de ciberseguridad que imponen multas y sanciones significativas. Es importante que las empresas comprendan la importancia de la ciberseguridad y tomen medidas adecuadas para protegerse contra posibles brechas de seguridad.