>> Doble fondo
A mediados de octubre, la Division of Corporate Finance de la SEC (Securities and Exchange Commission) emitió una jugosa guía sobre ciberseguridad. En el documento, que no es vinculante, y en cuyo contenido la propia SEC ni entra ni sale –por ahora–, se indica que la información sobre los riesgos de ciberseguridad y los ciberincidentes de las cotizadas es relevante para los inversores. Esto supone un salto cualitativo para la valoración de la función de la protección de la información tratada en sistemas tecnológicos, que de estar ubicada en ciertas alturas del organigrama corporativo podría pasar en el futuro a escalar posiciones bastante más cercanas a la cima.
José de la Peña Múñoz Director
Esta dirección electrónica esta protegida contra spambots. Es necesario activar Javascript para visualizarla
¿Qué dice la Guía acerca de la información de cotizadas que sería de valor para los inversores? Pues pocas cosas, pero muy importantes. Por ejemplo, se considera de relevancia la información sobre negocios y operaciones ligados a riesgos de ciberseguridad, y los potenciales costes y consecuencias de posibles incidentes. También se indica que los inversores deberían tener noticia de las funciones externalizadas por las cotizadas que puedan dar lugar a riesgos de ciberseguridad, la descripción de tales funciones y cómo las compañías gestionan los riesgos asociados.
El asunto no termina ahí. Además de lo dicho, las cotizadas deberían describir los incidentes de ciberseguridad pade- cidos –incluyendo la descripción de los costes y consecuencias–, informar de los riesgos relacionados con ciberinciden- tes que no hubieran detectado durante un periodo de tiempo, y hacer emerger información sobre las coberturas más relevantes a través de seguros.
Como decíamos, por ahora la Guía a nadie obliga. Pero su sola existencia es un eco del futuro, un aviso, una adver- tencia de por dónde van a ir los tiros.
