La SEC aumenta la presión sobre la ciberseguridad, aumentando la importancia de la línea de seguros

'Un agente o corredor de seguros debería recomendar un seguro cibernético al 100% de sus cuentas comerciales'

Dos acciones de la Comisión de Bolsa y Valores esta semana sobre la supervisión de la ciberseguridad (un gran acuerdo de aplicación de la ley y una declaración de la agencia que refuerza cómo las empresas públicas pueden cumplir con las nuevas reglas) enfatizan la importancia del seguro de ciberseguridad, dijeron corredores y abogados.

El miércoles, la SEC impuso una multa de 10 millones de dólares a The Intercontinental Exchange, la empresa matriz de la Bolsa de Valores de Nueva York, por no informar de manera oportuna una violación cibernética de abril de 2021, violando una regulación de larga data que exige la divulgación a la SEC.

El día anterior, el director de la División de Finanzas Corporativas de la SEC, Erik Gerding, emitió un comunicado en el que explicaba cómo las empresas públicas pueden determinar si un ciberataque tiene un impacto material en una firma y debe ser reportado a la SEC según las nuevas reglas. agencia aprobada el verano pasado .

El doble golpe demuestra el enfoque de la SEC en la ciberseguridad. También destaca el papel central que puede desempeñar el seguro cibernético para ayudar a las empresas a evitar violaciones regulatorias, dijo Tedrick Housh (en la foto de arriba, izquierda), socio y líder de privacidad de datos y cumplimiento de ciberseguridad en la firma de abogados Lathrop GPM.

"Es más importante que nunca", dijo Housh. “Qué tan bien se esté protegiendo contra el riesgo se reflejará en sus programas de seguros y su enfoque hacia el riesgo cibernético. Si ha pasado por el proceso de analizar [la cobertura de seguro cibernético], es más probable que haya cumplido con las expectativas de la SEC y otras agencias federales que, de otro modo, podrían iniciar acciones coercitivas”.

Mayor escrutinio regulatorio

El acuerdo de 10 millones de dólares de la SEC en el caso de ciberseguridad de esta semana es el último ejemplo de un mayor escrutinio regulatorio. Es una tendencia que Jillian Raines (arriba en la foto, centro), socia de Cohen Ziffer Frenchman & McKenna, señaló en una entrevista del IB a principios de esta primavera.

"Ha habido un aumento en las acciones regulatorias contra ambas empresas, así como contra sus principales asesores de seguridad", dijo Raines. "Asegurarnos de que esas personas y las empresas que las emplean estén adecuadamente protegidas es [un área donde] definitivamente hemos visto una mayor necesidad".

En su declaración, Gerding de la SEC enfatizó que las empresas deben mirar más allá del impacto de un ciberataque en sus propias finanzas y operaciones para determinar si es material. También deben evaluar si el incidente dañará su reputación, sus relaciones con clientes y proveedores y si podría desencadenar litigios o investigaciones regulatorias.

"No se debe mirar sólo hacia adentro", dijo Keith Savino (en la foto de arriba, a la derecha), socio gerente y líder nacional de prácticas cibernéticas en PCF Insurance Services. "Lo que te sucede a ti impacta a los demás".

Las pequeñas empresas necesitan cobertura cibernética

La ciberseguridad es una necesidad universal que va más allá de las empresas públicas registradas en la SEC. "La conclusión aquí es que cada entidad tiene la obligación moral y ética de cuidar los datos de sus clientes", dijo Savino.

Las pequeñas empresas han experimentado un aumento del 22% en los ciberataques desde 2022, dijo la Asociación Nacional de Comisionados de Seguros en un informe publicado en noviembre pasado .

Cualquier empresa que tenga clientes, una cuenta bancaria o tenga información sobre cualquier cliente o cliente debe tener cobertura de ciberseguridad, dijo Savino.

"Un agente o corredor de seguros debería recomendar un seguro de responsabilidad cibernética para el 100% de sus cuentas comerciales para protegerlas [contra] una pérdida cibernética directa o indirecta", dijo Savino.

Un incidente cibernético en un lugar puede tener efectos en cadena en toda la economía local, dijo Savino. Por ejemplo, un ataque que dañe el suministro de agua puede perjudicar las operaciones de muchas empresas.

“El seguro de responsabilidad cibernética no es vertical, es horizontal”, dijo Savino.

Profundizando en los detalles de la política

Cuando las empresas compran seguros cibernéticos, deben profundizar en todos los detalles.

"La diligencia inicial debe realizarse de manera que ayude a la empresa a maximizar su cobertura y estar en la mejor posición para protegerse contra riesgos extremos", dijo Raines.

Parte de la cobertura no se extiende, por ejemplo, a situaciones en las que un empleado deja entrar inadvertidamente a un hacker al hacer clic en un enlace de suplantación de identidad, esencialmente abriendo la puerta.

"He visto muchas de estas políticas que... restringen su cobertura a incidentes en los que hay acceso no autorizado a un sistema informático", dijo Raines. "Aconsejo a mis clientes que... profundicen en la cobertura que se les está emitiendo desde el principio".

Otra forma de monitorear lo que se cubre (y lo que se deja al descubierto) es estar atento a los litigios sobre ciberseguridad.

"Estamos viendo afirmaciones realmente novedosas utilizadas por defensores de la privacidad del consumidor y organizaciones de vigilancia y ciberseguridad para tratar de probar los nuevos límites de responsabilidad corporativa en torno a la IA y la ciberseguridad en general", dijo Raines.

Hay muchas áreas grises en torno a la ciberseguridad, incluida la determinación de qué constituye una infracción y si es lo suficientemente grave como para justificar contactar a la SEC e informar a los clientes. Pero muchos expertos dicen que la necesidad de contar con un seguro de ciberseguridad es cada vez más clara.