En una importante ampliación de la aplicación de los controles internos, la SEC anunció un acuerdo de 2,1 millones de dólares con RR Donnelley & Sons Co. (“RRD”) por su gestión de un ataque de ransomware en 2021 y las consiguientes fallas de divulgación.
El acuerdo representa la primera aplicación por parte de la SEC de su autoridad de aplicación de los controles internos para incluir políticas y procedimientos de ciberseguridad.
En 2021, RRD sufrió un ciberataque en el que un actor de amenazas utilizó técnicas de piratería engañosas para instalar software de cifrado en ciertas computadoras y exfiltró 70 Gigabytes de datos, incluidos datos vinculados a 29 clientes, algunos de los cuales contenían información personal y financiera.
La SEC alegó que RRD no detectó el ataque hasta que un tercero notificó al CISO de RRD sobre la actividad anómala en su red compartida con RRD. Solo después de recibir dicha notificación, el personal de RRD cerró sus servidores y notificó a los clientes y agencias gubernamentales. RRD confirmó que el actor de la amenaza no accedió a la información financiera de RRD.
Al analizar la gestión del incidente cibernético por parte de RRD, la SEC citó el hecho de que RRD no respondió a los avisos emitidos por un servicio de monitoreo externo ni realizó su propia investigación del posible ataque. En concreto, la SEC criticó el hecho de que RDD no priorizara la revisión de dichas alertas ni implementara un flujo de trabajo para la revisión y escalamiento de dichos informes.
Además, la SEC señaló que RRD no asignó suficiente personal para supervisar los informes de terceros y hacer un seguimiento de los informes de escalamiento. Asimismo, la SEC criticó las políticas internas de respuesta a incidentes de RRD por no definir líneas de responsabilidad adecuadas, criterios para priorizar las alertas y flujos de trabajo eficientes para la respuesta y el reporte de incidentes.
Tomando todos estos factores en conjunto, la SEC concluyó que RRD no diseñó ni mantuvo controles internos suficientes para brindar garantías razonables de que el acceso a sus activos no fuera explotado por piratas informáticos que exfiltraran una gran cantidad de datos.
Además de la violación de los controles internos, la SEC señaló que RRD no diseñó controles de divulgación efectivos en torno a incidentes de ciberseguridad para garantizar que la gerencia fuera informada de inmediato sobre los eventos cibernéticos de modo que la gerencia pudiera hacer cualquier divulgación oportuna que pudiera ser necesaria. Como se señala en el acuerdo de la SEC, RRD no se aseguró de que la información fuera enviada a la gerencia para que se tomara una decisión de divulgación adecuada.
RRD cooperó con la investigación e implementó medidas correctivas apropiadas, incluida la revisión de sus políticas y procedimientos de respuesta a incidentes, la realización de capacitación adicional para los empleados y el aumento de los niveles de personal de ciberseguridad.
La decisión de la SEC sobre el acuerdo no fue unánime y generó varias declaraciones disidentes. En concreto, los comisionados Hester Peirce y Mark Uyeda publicaron una declaración crítica en la que se oponían a la continua expansión por parte de la SEC de su autoridad para hacer cumplir los controles internos. Según los dos comisionados, la aplicación por parte de la SEC de los controles internos a controles específicos de ciberseguridad y requisitos de divulgación es una expansión injustificada de la disposición sobre controles internos.
La acción de la SEC plantea serias dudas sobre los límites de su autoridad en materia de controles contables internos. Según la interpretación de la SEC, cualquier incidente cibernético podría dar lugar a una violación de los controles internos.
Es difícil aceptar una ampliación de esa magnitud de la autoridad de la SEC, dado que cada incidente cibernético implicará necesariamente alguna deficiencia en las políticas y procedimientos cibernéticos de una empresa.
La SEC no ha proporcionado ninguna orientación específica sobre cuáles son precisamente los controles contables internos de ciberseguridad razonables y adecuados. Hasta que eso ocurra, es fácil para la SEC encontrar una deficiencia después de que haya ocurrido realmente un incidente cibernético.
Si la SEC continúa aplicando esta política de cumplimiento, las empresas deberían emprender una revisión exhaustiva de sus políticas y procedimientos de ciberseguridad, así como de sus políticas de divulgación.
