Comisionado Jaime Lizárraga /
Los ataques cibernéticos y las violaciones de datos asociadas imponen costos financieros y emocionales significativos a las víctimas. Una vez que las identidades de las víctimas son robadas, o su información de identificación personal es revelada de manera inapropiada y/o vendida a los mejores postores criminales, el daño puede ser irreparable e irreversible.
Es por eso que debemos hacer todo lo que esté a nuestro alcance para mejorar las prácticas de ciberseguridad de los participantes del mercado y proteger la información personal confidencial de los inversores. Con ese espíritu, la Comisión está modificando las reglas existentes y proponiendo otras nuevas que fortalecerán la resiliencia del mercado financiero y aumentarán la confianza de los inversores.
Ante el rápido cambio tecnológico y el aumento de las amenazas de actores malignos tanto en el país como en el extranjero, las reformas de seguridad cibernética que se proponen hoy son necesarias y apropiadas. Son una parte importante de nuestros esfuerzos continuos para modernizar y actualizar nuestras reglas, así como para cumplir nuestra misión de la manera más eficaz posible en nombre de millones de personas que invierten en nuestros mercados de capital y son las principales víctimas de los ataques cibernéticos.
El año pasado, el Consejo de Estabilidad Financiera (FSB), un organismo internacional de bancos centrales y reguladores financieros que promueve la estabilidad financiera mundial, señaló en un informe clave que los incidentes cibernéticos están “creciendo rápidamente en frecuencia y sofisticación”, tienen lugar en el contexto de “creciente interconexión del sistema financiero” y crear un mayor riesgo de “efectos indirectos a través de fronteras y sectores”.
En 2021, la Oficina Federal de Investigaciones informó que la extorsión, el robo de identidad y las filtraciones de datos personales eran tres de los cinco principales delitos cibernéticos. Además de las pérdidas financieras por la apropiación indebida o el robo de fondos, los ciberdelincuentes pueden amenazar con revelar información personal sobre una persona que dañaría su reputación.
Los ciberataques y las filtraciones de datos pueden tener efectos devastadores en las empresas y sus clientes y socavar la confianza de los inversores y el mercado. En la última década, los ataques cibernéticos de todos los tamaños han resultado en el robo de cientos de millones de registros y daños a las víctimas por miles de millones.
Apenas la semana pasada, una violación de datos en un mercado de seguros de salud expuso potencialmente información de identificación personal de cientos de miembros del Congreso y del personal del Capitolio.
A través de las propuestas que se están considerando hoy, los participantes del mercado deberán adoptar e implementar políticas y procedimientos de seguridad cibernética efectivos, que incluyen:
- divulgaciones a la Comisión y al público sobre incidentes significativos de ciberseguridad;
- notificación a los clientes si su información personal confidencial se ve comprometida; y
- prácticas de ciberseguridad más sólidas para ciertas infraestructuras de mercado importantes y participantes clave del mercado, incluida una supervisión mejorada de los proveedores de servicios en la nube.
Las entidades del mercado que fortalezcan sus prácticas de ciberseguridad estarían más seguras y podrían mitigar los riesgos para ellas mismas, sus clientes y nuestros mercados.
Reglamento SP
En la primera parte del paquete de ciberseguridad de hoy, la Comisión propone actualizaciones del Reglamento SP. Adoptada por primera vez en 2000, esta “regla de salvaguardia” requiere que los corredores, intermediarios, compañías de inversión y asesores de inversión registrados adopten políticas y procedimientos escritos con salvaguardas administrativas, técnicas y físicas para proteger los registros de los clientes y la información personal confidencial.
Desde la adopción de la regla de salvaguardias hace 22 años, los avances tecnológicos han revolucionado la gestión y el almacenamiento digital de la información personal identificable de los clientes por parte de las empresas. En relación con las realidades actuales del mercado, la Regulación SP está lamentablemente desactualizada, por lo que las actualizaciones y reformas para fortalecer las protecciones para el público inversionista están justificadas y se deben desde hace mucho tiempo.
La Comisión propone exigir políticas y procedimientos por escrito relacionados con el programa de respuesta a incidentes de una entidad, incluidos los procedimientos para notificar a las personas si su información confidencial se ve comprometida en una violación de datos.
Los consumidores en estados con protecciones más estrictas que las previstas en la norma federal mínima propuesta no se verán perjudicados por esta propuesta y seguirán beneficiándose de esas protecciones más estrictas.
La propuesta también requiere de manera afirmativa la notificación a las personas cuya información confidencial se haya visto comprometida. Esta es una divulgación importante que proporcionaría una notificación consistente a los consumidores, independientemente de su estado de residencia.
El requisito afirmativo de notificación ayuda a garantizar que los clientes reciban una notificación oportuna de las infracciones y tengan la oportunidad de protegerse.
En general, esta propuesta, elaborada por expertos por los servidores públicos comprometidos en las divisiones de Comercio y Mercados y Gestión de Inversiones de la Comisión, fortalece la seguridad cibernética en nuestros mercados de capital y aumenta la protección de los inversores.
Por estas razones, me complace apoyarlo.
Gestión de Riesgos de Ciberseguridad
Las políticas y los procedimientos sólidos de gestión del riesgo cibernético son esenciales para proteger a los inversores y a nuestros mercados de capitales de los ataques cibernéticos, que han aumentado en los últimos años. La propuesta de hoy sobre gestión de riesgos de ciberseguridad establece un marco práctico y eficaz para lograr estos objetivos.
La propuesta requeriría que varias entidades del mercado registradas en la Comisión, incluidos los corredores de bolsa, las agencias de compensación, las entidades de intercambio basadas en valores y las bolsas, adopten e implementen políticas y procedimientos que aborden los riesgos de seguridad cibernética. Esto incluiría requisitos de mantenimiento de registros para facilitar el examen del cumplimiento y la identificación de cualquier deficiencia.
La propuesta también requeriría la divulgación pública y la notificación a la Comisión de incidentes y riesgos significativos de ciberseguridad. Estas divulgaciones permitirían al público y a la Comisión monitorear de cerca las tendencias emergentes y los riesgos de seguridad cibernética y proporcionar a los inversores y otros participantes del mercado información relevante sobre ataques cibernéticos y violaciones de datos.
Las entidades del mercado, como instituciones financieras, a menudo son el objetivo de los malhechores que buscan obtener ganancias ilícitas o causar daño a nuestros mercados. Las amenazas a las que se enfrentan las entidades del mercado evolucionan constantemente y aumentan en sofisticación. Las entidades del mercado también enfrentan riesgos de seguridad cibernética interna por errores de empleados, proveedores de servicios o contrapartes.
La propuesta de hoy requeriría que estas entidades del mercado tomen medidas razonables para proteger sus sistemas de información de los riesgos de ciberseguridad. A la luz de los importantes beneficios para los inversores y la integridad del mercado, me complace apoyarlo.
Reglamento SCI
Las enmiendas propuestas hoy al Cumplimiento e integridad del sistema de regulación, o la Regulación SCI, garantizan que las entidades clave de infraestructura del mercado de valores tengan sistemas sólidos, resistentes y seguros. Estas actualizaciones respaldan nuestra misión de mantener mercados justos, ordenados y eficientes.
Las enmiendas extenderían la cobertura de la Regulación SCI a los repositorios de datos de intercambio basados en valores registrados, los grandes corredores de bolsa y ciertas agencias de compensación exentas. Esta extensión garantizaría que las entidades que realizan funciones como la difusión de datos de mercado y las funciones de depósito central para swaps basados en valores, sean tratadas de manera similar a las entidades que realizan esas funciones para otras clases de activos, como acciones.
Los grandes corredores de bolsa se incluyen en el alcance debido al importante papel que desempeñan en nuestros mercados de capital. Los corredores de bolsa minoristas y sus clientes dependen de la disponibilidad, integridad y flexibilidad de los sistemas de los corredores de bolsa más grandes para ejecutar, compensar y liquidar transacciones. Una falla catastrófica de los sistemas en un corredor de bolsa grande podría cortar efectivamente el acceso a los mercados a sus clientes, con un daño significativo y desproporcionado para los inversores minoristas.
La expansión del alcance de la Regulación SCI, junto con las actualizaciones que dan cuenta de los mayores riesgos de seguridad cibernética, el uso más amplio de proveedores de servicios en la nube y la creciente interconexión de los sistemas de mercado, reforzarán la capacidad de recuperación general de la infraestructura tecnológica de los mercados de valores de EE. UU.
Apoyo esta importante propuesta y las otras propuestas relacionadas con la seguridad cibernética discutidas hoy, y agradezco la opinión del público sobre sus posibles beneficios para los inversores minoristas y para nuestros mercados de capital.