El rol de RI en seguridad cibernética e información falsa

Los ataques cibernéticos y las campañas de información falsa se están volviendo cada vez más comunes y destructivos. Los inversionistas y reguladores (incluyendo la SEC) han caído en cuenta de esto, por lo que ahora demandan mayor transparencia por parte de las compañías públicas. Los CEOs también están preocupados, según una encuesta de IR Magazine, el 69% en Norteamérica dijo que la seguridad cibernética es la mayor amenaza para las organizaciones (un aumento de 19 puntos porcentuales en comparación con el año pasado), y la preocupación con respecto a información falsa aumentó de 16% a 28%. En el blog de esta semana discutiremos algunos ejemplos recientes de campañas de información falsa, ataques de seguridad cibernética y el rol de RI en prevención y disclosure.

Multas de la SEC por ataques cibernéticos – Pearson PLC y First American Financial Corp.

Durante este verano hubo dos ejemplos de grandes compensaciones y multas relacionadas a incumplimientos y su divulgación deficiente. Esto es indicativo de que la SEC está tomando con mayor seriedad el fallo en divulgación de problemas de seguridad cibernética, pues podrían tener impacto material en la compañía.

First American Financial (una compañía de servicios de bienes raíces) pagó una multa de $500 mil dólares por falta de disclosure después de que un fallo en el sistema expuso 800 millones de imágenes, incluyendo números de seguridad social e información financiera confidencial. Esta fue la primera vez que la SEC se involucró directamente en los asuntos internos de seguridad cibernética de una compañía.

Pearson PLC (una compañía editorial británica) acordó pagar $1 millón de dólares a la SEC como compensación por engañar a los inversionistas después de que un incidente de seguridad cibernética en el 2018 resultara en el robo de millones de expedientes de estudiantes. Pearson recalcó tener “estrictas medidas de protección” establecidas, pero la SEC señaló el error que cometieron al actuar seis meses después de haberse notificado el fallo. En 2019 informaron en su reporte anual que la violación de información pudo haber incluido fechas de nacimiento y correos electrónicos, aunque en ese momento sabían que los expedientes habían sido robados.

Los casos de First American y Pearson muestran que la SEC (y por lo tanto, otros reguladores alrededor del mundo) están tomando con mayor seriedad los asuntos de seguridad cibernética. En marzo de este año el Presidente Biden incluso declaró la seguridad cibernética como una de las prioridades más relevantes para la seguridad nacional. Por lo mismo, los equipos de RI deben asegurar flujos de información adecuados para que los ejecutivos estén enterados de los incumplimientos de seguridad y el disclosure que pudieran requerir, aparte de confirmar que los ejecutivos entiendan las posibles consecuencias de prácticas de divulgación deficientes. Adicionalmente, los IROs deben estar preparados para contestar detalladamente las preguntas de los inversionistas y analistas acerca de las medidas de seguridad de la compañía, aparte de que las compañías e inversionistas deben estar al tanto del peligro de la información falsa.

Información Falsa – Walmart y Litecoin

El pasado lunes se publicó un comunicado falso asegurando que Walmart aceptaría Litecoin como método de pago, causando que el precio de Litecoin subiera alrededor de 30%, de $175 a $230 dólares. Esto fue un ejemplo clásico de estafa, los involucrados en el fraude probablemente tenían Litecoin, publicaron el comunicado y vendieron por completo cuando el precio se aproximaba al máximo, antes de que el mercado se diera cuenta.

Lo más impresionante, y la lección para los IROs y las compañías, es que la publicación del falso comunicado pasó desapercibido por varias organizaciones importantes que debieron darse cuenta. A pesar de que contenía “declaraciones” del CEO de Walmart, Dough McMillion y el creador de Litecoin, Charlie Lee, había varias pistas que levantaban sospecha; el contacto de correo electrónico no era de un sitio autorizado por Walmart “walmart-corp.com”, el contacto de prensa no aplica en la división de media de Walmart, normalmente utilizan Business Wire en lugar de GlobeNewswire, y Litecoin no es una de las criptomonedas más populares, por lo que sería una elección extraña para Walmart.

Sin embargo, fue publicado en GlobeNewswire, así como en plataformas como Bloomberg y Reuters, y tuvo tweets de Litecoin Foundation. Walmart finalmente cayó en cuenta cuando reporteros marcaron para confirmar la noticia y obtener mayor detalle. GlobalNewswire recalcó que implementarán “pasos de autenticación reforzados para evitar que se repita este incidente en el futuro”. El caso seguramente dará paso a una investigación de la SEC y potencialmente a regulación adicional para criptomonedas.

Otro ejemplo sucedió el año pasado, cuando Kansas City Southern fue sujeto de un reporte falso en un sitio web desconocido llamado “El Negocio”, afirmando que Blackstone y GIP aumentaron sus ofertas para comprar la compañía. La noticia fue tomada por Bloomberg, la acción subió de forma importante y luego bajó cuando se desmintió la historia.

Además de amenazas de seguridad cibernética, las compañías deben tener sistemas establecidos para detectar campañas de información falsa y los IROs deben estar preparados para responder las preguntas de los inversionistas.

El rol de RI

Los departamentos de RI tienen un rol vital de asegurar que las compañías cuenten con prácticas de divulgación adecuadas y precisas, en este caso con respecto a ataques cibernéticos, además de atender las preocupaciones de los inversionistas sobre las medidas de seguridad e información falsa. La transparencia y discusión resultante que tengan los equipos de RI con los inversionistas asegurará que las medidas de seguridad estén al nivel de los estándares más actuales. Harvard Business Review publicó una serie de recomendaciones para operar adecuadamente dentro de un ambiente con estrictas regulaciones:

1. Crear un comité de disclosure con empleados de nivel senior: realizar encuestas trimestralmente acerca de todas las áreas de la compañía, incluyendo seguridad cibernética, para determinar los temas que deben ser divulgados a ejecutivos senior y reguladores potenciales como la SEC.
2. Divulgar tan rápido como sea posible: en el caso de First American Financial, les tomó seis meses actuar desde el momento en que el equipo de seguridad de información cayó en cuenta sobre el fallo y la divulgación pública. Hay que asegurar que la compañía cuente con un flujo de información que priorice los incidentes de seguridad, así como aclarar que los ejecutivos también son responsables sobre la divulgación de acuerdo a sus respectivos reguladores. En ocasiones, se deberá informar antes de que se comprenda por completo el incidente, y la información se puede actualizar mientras progresa la situación. First American hubiera tenido una menor penalización si hubieran informado sobre el incidente de inmediato.
3. Evaluar riesgos: entender cuáles son los activos de la compañía y su importancia en las operaciones del negocio, así como su exposición al riesgo, para priorizar acciones.
4. Actualizaciones regulares a ejecutivos: Dar actualizaciones regulares a ejecutivos de alto nivel, así como escenarios del nivel de riesgo y nuevos desarrollos dentro de la seguridad cibernética.

Adicional a estas recomendaciones, es clave poder negar una historia falsa rápidamente a través de plataformas como Bloomberg y Reuters, en caso de que las personas involucradas en el fraude o estafa estén manipulando la información. Además, antes de creer una historia o comunicado, especialmente aquellos que parezcan sospechosos, se debe checar dos veces antes de actuar con base en la información, independientemente de la fuente.

Cómo puede ayudar Miranda IR

Miranda IR estará feliz de asesorarlos con todos sus requerimientos de RI, incluyendo estrategia de divulgación, redacción y difusión.

Fuentes

• https://www.nytimes.com/2021/09/13/business/litecoin-walmart-crypto-hoax.html
• https://www.irmagazine.com/technology-social-media/cyber-attacks-are-biggest-threat-company-growth-prospects-say-ceos
• https://www.reuters.com/business/pearson-plc-pay-1-mln-settle-charges-it-misled-investors-us-sec-2021-08-16/
• https://thefly.com/landingPageNews.php?id=3145272&headline=KSU;BX-News-report-vanishes-after-Kansas-City-Southern-stock-surge-Bloomberg-reports