Comercial y de la empresa


Brigard Urrutia

Compañías listadas en el ojo de la ciberseguridad

23 de octubre de 2021

Por: Juan Nicolás Laverde

Director del grupo de Telecomunicaciones, Medios & Tecnología (TMT)
Brigard Urrutia

Canal de noticias de Asuntos Legales

Contenido

El aumento en el número e impacto de ciberataques a nivel global ha puesto bajo la lupa de las autoridades los controles de las compañías en temas de ciberseguridad. Estados Unidos (EE.UU.) experimentó un incremento de regulación en la materia y Colombia puede seguir la tendencia.

¿Qué está sucediendo?

Incidentes como el de SolarWinds, Colonial Pipeline y JBS reportados en 2021, que comprometieron la información de más de 30.000 entidades, así como la estabilidad y operación de la infraestructura energética y del sistema alimenticio de EE.UU., impulsaron al gobierno de ese país a tomar cartas en el asunto. Debido a la gravedad de los ciberataques, la Securities and Exchange Commission, responsable de regular la seguridad en el mercado de capitales y proteger inversores, tomó cartas frente a las compañías listadas, requiriéndoles información, imponiendo órdenes y sanciones.

¿Qué medidas ha tomado Colombia?

En Colombia, la Superintendencia Financiera de Colombia (SFC), en ejercicio de sus facultades, hizo un esfuerzo por regular la materia. El Decreto 151 de 2021 modificó el régimen de revelación de información para emisores de valores e introdujo un criterio de materialidad de la información para revelarla al mercado. Bajo este criterio, el emisor debe considerar como información material aquella que sería tenida en cuenta por un inversionista prudente y diligente al momento de comprar, vender y/o conservar los valores del emisor, o al momento de ejercer los derechos políticos inherentes a tales valores. Dicho criterio podría implicar, entre otras cosas, que los emisores de valores deban reportar al mercado incidentes de ciberseguridad que afecten o puedan impactar sus operaciones.

Si bien en Colombia existe un marco regulatorio mediante el cual se obliga a las compañías a implementar requerimientos mínimos para la gestión de la seguridad de la información y reportar incidentes, los recientes acontecimientos y el movimiento regulatorio en EE.UU. pueden despertar un especial interés de la SFC en reforzar las obligaciones o implementar sanciones para las compañías que no tomen las medidas ni cumplan con un estándar adecuado. Adicionalmente, cabe mencionar que las compañías listadas en la Bolsa de Valores de Colombia podrían enfrentar una mayor responsabilidad debido a la sensibilidad de los recursos que administran y la información que manejan.

Finalmente, las medidas a implementar para prevenir ciberataques están vinculadas con la seguridad en las políticas de tratamiento de datos personales, en la medida en que se pueden prevenir incidentes que excedan el ámbito de la anterior Circular y puedan abarcar incluso infracciones al régimen de protección de datos (Ley 1581 de 2012).

¿Qué medidas se deben adoptar para prevenir incidentes?
Las compañías deben prepararse para gestionar y cumplir con medidas más estrictas. Es importante que auditen y robustezcan sus medidas técnicas, organizacionales y jurídicas para prevenir incidentes de ciberseguridad y sanciones que tengan en cuenta obligaciones de reporte de incidentes. Asimismo, revisar su cadena de seguridad de la información, y asegurarse de que en todos los eslabones de la cadena se cumpla con los estándares y protocolos exigidos.