Análisis

Exposición a Riesgos Cibernéticos

Una nueva regulación, que no lo es tanto

Guillermo E. Gibson – Business Risk – Deloitte Buenos Aires

Una nueva regulación, que no lo es tanto

La reciente aparición del CF Disclosure Guidance Topic 2, de la Division of Corporation Finance de la SEC (Securities and Exchange Commission) ha generado en el ambiente una sensación de expectativa y duda entendiendo que hay una nueva regulación de la SEC.

¿Pero es tan “nueva” esta regulación? Porque aunque en la misma se explicita por primera vez la recomendación de incluir en el Reporte Financiero los costos vinculados con ciberataques y con las medidas de prevención de los mismos, lo cierto es que toda entidad que reporta a la SEC debe informar todo dato que sea relevante para sus inversores actuales o potenciales. Y esto incluye todo tipo de daño recibido de terceros (ataques) y el costo incurrido para solucionar daños recibidos y prevenir futuras ocurrencias. Al margen, toda norma generalmente aceptada de reporte financiero reconoce el concepto de realidad económica y de alguna forma u otra obliga a informar al lector de los Estados Financieros todo hecho económicamente significativo, sea actual o potencial.

Así, la creciente dependencia y vulnerabilidad de las empresas a este tipo de eventos solamente genera una nueva visión de la necesidad de reportar riesgos y prevención de los mismos. No hay, en su aspecto de reporte, una diferencia entre un riesgo cibernético y un riesgo a la continuidad del negocio, un riesgo regulatorio o un riesgo físico.

Por ello, este concepto es perfectamente extensible a aquellas empresas que no cotizan en bolsas de valores en Estados Unidos y por ello no están alcanzadas por las normas de la SEC.  Seguramente esta norma será imitada con mayor o menor fortuna por los entes regulatorios de otros países entre los cuales estará Argentina.

En resumen, toda organización que tiene una exposición a riesgos cibernéticos significativos debido a su actividad productiva o comercial debería evaluar los riesgos involucrados en la misma a fin de exponerlos si corresponde, y en el lamentable caso de tener un evento de pérdida económica por temas informáticos considerar si corresponde exponerlo por separado.

Cabe a cada uno preguntarse si nuestras organizaciones lo están haciendo. Y no porque haya una “nueva” norma.

¿Le pareció útil este contenido?