Pearson PLC ha acordado pagar un millón de dólares a la SEC para resolver las acusaciones de que engañó a los inversores sobre una intrusión cibernética de 2018. Dicha brecha implicaba el robo de millones de registros de estudiantes, incluidos datos como las fechas de nacimiento y las direcciones de correo electrónico. Además, tenía controles y procedimientos de divulgación inadecuados.

Hechos acontecidos

La orden de la SEC considera que Pearson hizo declaraciones engañosas y omisiones sobre la violación de datos de 2018. Esta implicó el robo de datos de estudiantes y credenciales de inicio de sesión de administradores de 13.000 cuentas de clientes de escuelas, distritos y universidades. En su informe semestral, presentado en julio de 2019, Pearson se refirió a un incidente de privacidad de datos como un riesgo hipotético. Esto contradice la realidad, ya que, en 2018, la intrusión cibernética ya había ocurrido.

Conclusiones de la SEC

La orden concluye que los controles y procedimientos de divulgación de Pearson no estaban diseñados adecuadamente. Así, no se garantizaba que los responsables de tomar decisiones de divulgación estuvieran informados de cierta información sobre las circunstancias que rodearon la violación.

Desde dentro de la SEC manifiestan que:

“Tal y como se desprende de la orden, Pearson optó por no revelar esta filtración a los inversores hasta que los medios de comunicación se pusieron en contacto con ella, e incluso entonces Pearson infravaloró la naturaleza y el alcance del incidente, y exageró las protecciones de datos de la empresa”

Importancia de un seguimiento continuo de los riesgos informáticos y de protección de datos

Este caso muestra como riesgos de distintas áreas, como son la seguridad informática y la protección de datos, pueden imbricarse y retroalimentarse. Ante ello es esencial llevar a cabo un seguimiento de los distintos riesgos a los que está expuesta una empresa.

Por ello, desde Key Auditors llevamos a cabo servicios de auditoría especializados y adaptados a la realidad de cada entidad. Nuestro enfoque es integral y abarcamos áreas como: la protección de datos, la seguridad de la información, el compliance o la prevención del blanqueo de capitales y la financiación del terrorismo.

Examen de Experto Externo en Materia de PBCFT

¿Necesitas una auditoría de Prevención de Blanqueo de Capitales y financiación del terrorismo.

Agenda una llamada con un experto en nuestra web

Agendar Llamada