La Comisión de Bolsa y Valores de EE. UU. (SEC) tiene directrices y reglas relacionadas con cómo las empresas que cotizan en bolsa deben manejar y revelar las violaciones de datos. Estas reglas se centran principalmente en garantizar que las empresas proporcionen información oportuna, precisa y completa a los inversores sobre riesgos e incidentes que podrían afectar sus decisiones de inversión. Los aspectos clave de estas reglas incluyen:
- Requisitos de divulgación : las empresas que cotizan en bolsa deben revelar información importante que podría afectar la decisión de un inversor de comprar, vender o mantener los valores de la empresa. Una violación de datos puede considerarse material si representa un riesgo significativo para el negocio, la situación financiera o la reputación de la empresa.
- Regulación SK : Esta regulación establece los requisitos de la SEC para la divulgación de estados no financieros. Incluye directrices sobre cómo las empresas deben divulgar los riesgos e incidentes de ciberseguridad. La guía enfatiza que las empresas deben considerar la materialidad de los riesgos e incidentes de ciberseguridad al preparar las divulgaciones en sus informes periódicos y actuales.
- Regulación FD (Divulgación Justa) : Esta regulación requiere que las empresas que cotizan en bolsa revelen información importante a todos los inversores al mismo tiempo. Si una empresa revela selectivamente información material no pública sobre una violación de datos (o cualquier otro tema) a ciertas personas, debe hacer que esa información esté disponible públicamente simultáneamente.
- Políticas de gestión de riesgos de ciberseguridad : si bien la SEC no exige específicamente cómo las empresas deben gestionar los riesgos de ciberseguridad, recomienda encarecidamente a las empresas que implementen políticas y procedimientos integrales de ciberseguridad. Estas políticas deben diseñarse para prevenir, detectar y minimizar el impacto de los incidentes de ciberseguridad.
- Plazos de presentación de informes : la SEC no proporciona plazos específicos para informar violaciones de datos. Sin embargo, se espera que las empresas informen información importante de manera oportuna. El momento de la divulgación depende de la naturaleza del incidente de ciberseguridad y de la evaluación de la empresa sobre su materialidad.
- Controles internos : se espera que las empresas cuenten con controles internos adecuados para garantizar que la información relevante sobre los riesgos e incidentes de ciberseguridad se identifique, procese y divulgue adecuadamente.
- Protección de los denunciantes : la SEC tiene disposiciones que protegen a los denunciantes que denuncian violaciones de las leyes de valores, incluido el mal manejo de las violaciones de datos o la falta de divulgación adecuada.
Es importante que las empresas revisen y actualicen periódicamente sus prácticas de divulgación a la luz de la evolución de los riesgos de ciberseguridad y las directrices de la SEC. Además, debido a que el panorama regulatorio cambia continuamente, las empresas deben mantenerse informadas sobre los nuevos desarrollos y ajustar sus políticas y divulgaciones en consecuencia.
MULTAS Y PENALIDADES
Las multas y sanciones impuestas por la Comisión de Bolsa y Valores de EE. UU. (SEC) por infracciones relacionadas con filtraciones de datos y divulgaciones inadecuadas pueden variar significativamente según la gravedad y la naturaleza de la infracción. Aquí hay algunos puntos clave con respecto a estas multas:
- Sanciones civiles : la SEC puede imponer sanciones civiles a empresas e individuos por violaciones de las leyes de valores. Estas sanciones pueden ser sustanciales, llegando a menudo a millones de dólares, dependiendo de factores como la gravedad de la infracción, el daño causado a los inversores y los beneficios recibidos por el infractor.
- Devolución de ganancias : además de las multas, la SEC puede exigir a los infractores que devuelvan las ganancias obtenidas o las pérdidas evitadas de la actividad ilegal. Esto es particularmente relevante en los casos en que se trata de uso de información privilegiada o actividades fraudulentas.
- Órdenes de cese y desistimiento : la SEC puede emitir órdenes de cese y desistimiento, que requieren que el infractor detenga el comportamiento ilegal y tome medidas para prevenir futuras violaciones. Esto puede incluir la mejora de las medidas de ciberseguridad y las prácticas de divulgación.
- Prohibiciones para funcionarios y directores : en casos más graves, se puede prohibir a las personas, especialmente aquellas en puestos de alto nivel, desempeñarse como funcionarios o directores de cualquier empresa pública registrada en la SEC.
- Sanciones adicionales : la SEC también puede imponer otras sanciones, como revocar el registro de una empresa, imponer restricciones a las operaciones futuras y remitir el caso a un proceso penal, lo que podría dar lugar a penas más severas, incluido el encarcelamiento.
- Factores que influyen en las multas : el tamaño de la multa está influenciado por varios factores, incluida la gravedad de la mala conducta, el grado de cooperación con la SEC durante la investigación y los esfuerzos realizados por la empresa para remediar el daño.
- Ejemplos de casos de alto perfil : en el pasado, las empresas se enfrentaron a multas importantes por no revelar con prontitud las violaciones de datos. Por ejemplo, en 2018, Altaba, anteriormente conocida como Yahoo!, acordó pagar una multa de 35 millones de dólares para resolver los cargos de engañar a los inversores al no revelar una de las violaciones de datos más grandes del mundo.
Es importante tener en cuenta que estas multas y sanciones se determinan caso por caso, y la SEC considera varios aspectos de cada caso individual antes de decidir las sanciones apropiadas. Se recomienda encarecidamente a las empresas que cumplan las directrices de la SEC y busquen asesoramiento legal en asuntos relacionados con posibles violaciones de las leyes de valores.
CÓMO PRESENTAR UNA QUEJA ANÓNIMA ANTE LA COMISIÓN DE BOLSA Y VALORES DE EE. UU. (SEC)
Presentar una queja anónima ante la Comisión de Bolsa y Valores de EE. UU. (SEC) sobre una empresa que filtró datos de clientes implica algunos pasos clave:
- Comprender qué informar : antes de presentar una queja, asegúrese de que el problema esté bajo la jurisdicción de la SEC. La SEC normalmente se ocupa de las violaciones de las leyes de valores, que pueden incluir cuestiones relacionadas con la divulgación de información por parte de una empresa pública que podría afectar las decisiones de los inversores. Una filtración de datos, según las circunstancias, podría entrar en esta categoría si afecta las acciones de la empresa o los intereses de los inversores.
- Recopilación de información : recopile tanta información como sea posible sobre la infracción. Esto incluye detalles sobre la empresa, la naturaleza de la filtración de datos, cómo se enteró y cualquier otro detalle relevante. Cuanto más específica sea la información, más útil será para la investigación de la SEC.
- Uso del sistema de sugerencias, quejas y referencias (TCR) en línea de la SEC : La SEC tiene un sistema en línea para enviar sugerencias, quejas y referencias. Puede acceder a él a través del sitio web de la SEC. Este sistema le permite presentar su queja electrónicamente.
- Elegir permanecer en el anonimato : cuando utiliza el sistema TCR, tiene la opción de enviar su queja de forma anónima. Sin embargo, si desea ser considerado para un premio de denuncia de irregularidades, debe estar representado por un abogado que envíe su información en su nombre. El abogado puede enviar su información de forma anónima, pero debe conocer su identidad.
- Completar el formulario : el sistema TCR le pedirá que complete un formulario con varios detalles sobre su queja. Proporcione tanta información como pueda. Si envía el formulario de forma anónima, asegúrese de no incluir ninguna información personal que pueda identificarlo.
- Presentar la queja : Una vez que haya completado el formulario, envíelo a través del sistema TCR. La SEC recibirá su queja y la revisará para posibles acciones.
- Seguimiento (si lo desea) : si presentó su queja de forma anónima y sin un abogado, no recibirá actualizaciones sobre el estado de su queja. Si tiene un abogado, él puede consultar sobre el estado del caso en su nombre.
Es importante tener en cuenta que, si bien la SEC toma en serio todas las quejas, no todas conducirán a una investigación o acción. La capacidad de la SEC para tomar medidas depende de varios factores, incluida la naturaleza de la supuesta violación y las pruebas proporcionadas.
Para obtener orientación o asesoramiento legal más específico, considere consultar con un profesional legal, especialmente si está considerando solicitar un premio de denuncia de irregularidades.
UNA BANDA DE RANSOMWARE PRESENTA UNA QUEJA ANTE LA SEC
Según se informa, la banda de ransomware Alphv, también conocida como BlackCat, ha tomado la medida sin precedentes de presentar una queja ante la Comisión de Bolsa y Valores de EE. UU. (SEC) contra MeridianLink, un proveedor de tecnología de préstamos digitales. Esta acción sigue a la afirmación de la pandilla de comprometer la red de MeridianLink el 7 de noviembre y robar datos de la empresa sin cifrar los sistemas.
Según el grupo de ransomware, MeridianLink no reveló el ciberataque dentro del período de cuatro días estipulado según lo exigen las reglas de divulgación de incidentes de ciberseguridad de la SEC. Estas reglas, anunciadas en julio, obligan a las empresas que cotizan en bolsa a informar sobre ataques cibernéticos que tengan un impacto material. El requisito de revelar dichos incidentes en el Formulario 8-K dentro de los cuatro días hábiles entró en vigor en septiembre. Sin embargo, para las empresas más grandes, este requisito no se aplicará hasta el 18 de diciembre de 2023, mientras que las organizaciones más pequeñas tienen hasta junio de 2024 para cumplirlo.
MeridianLink, en respuesta al incidente, reconoció haber experimentado un incidente de ciberseguridad. La compañía afirmó que al descubrir el incidente, actuó de inmediato para contener la amenaza y contrató a expertos externos para investigar. También mencionaron que su investigación, hasta el momento, no ha encontrado evidencia de acceso no autorizado a sus plataformas de producción y que el incidente causó una interrupción mínima del negocio. MeridianLink también se comprometió a notificar a las partes afectadas si determinan que la información personal del consumidor estuvo involucrada en el incidente.
Un portavoz de la SEC se negó a comentar sobre este incidente específico. Sin embargo, los expertos legales ven la táctica de Alphv de denunciar a la víctima a la SEC como una evolución natural de los esfuerzos de los grupos de ransomware para aumentar la presión sobre las víctimas para que paguen y cooperen. Se espera que este enfoque acelere el proceso de toma de decisiones dentro de las empresas víctimas, especialmente cuando deben considerar si deben informar un incidente, anticipando que el mercado, los inversores y la SEC se enterarán del incidente antes de que la empresa haya proporcionado información sobre un incidente. Forma 8-K.
Este incidente representa una nueva intersección entre el cibercrimen y el cumplimiento normativo, destacando las estrategias en evolución de los grupos de ransomware para ejercer presión sobre sus objetivos. También subraya la creciente importancia de que las empresas informen con rapidez y precisión los incidentes de ciberseguridad de conformidad con los requisitos reglamentarios.
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.