La SEC promulgó nuevas normas de ciberseguridad reglas de divulgación para las empresas que cotizan en bolsa, que entra en vigor el 15 de diciembre de 2023. Estas normas exigen que las empresas Proporcionar detalles completos sobre cómo evalúan, identifican y gestionan los riesgos materiales de ciberseguridad en sus informes anuales. (Formulario 10-K). Requieren que las organizaciones Describir el papel de la junta en la supervisión de los riesgos de ciberseguridad. Finalmente, La SEC exige a las empresas que Informar sobre incidentes significativos de ciberseguridad en un plazo de cuatro días (Formulario 8-K).
Esta regulación tiene un impacto significativo tanto en las empresas como en los Directores de Seguridad de la Información (CISO). Los CISO se encuentran en el punto de mira, con la responsabilidad de garantizar una comunicación clara y oportuna sobre las medidas e incidentes de ciberseguridad de su empresa. Esta mayor visibilidad exige que los CISO fomenten canales de comunicación sólidos con los altos ejecutivos y los miembros del consejo. Los CISO también deben alinear las estrategias de ciberseguridad con los objetivos empresariales y los requisitos regulatorios.
Tanto para los directores ejecutivos como para los miembros del consejo de administración de las empresas, la normativa consolida su enfoque en la resiliencia de la ciberseguridad dentro del gobierno corporativo. Se les encomienda la participación activa y la supervisión de las estrategias de ciberseguridad. El consejo de administración ahora se encarga de garantizar no solo el cumplimiento normativo, sino también la eficacia del programa de ciberseguridad de su empresa. Este cambio subraya la evolución del papel del gobierno corporativo en la gestión de los riesgos cibernéticos. Pone de relieve el creciente interés de los inversores en cómo las empresas están preparadas para gestionar y mitigar las ciberamenazas.
Los inversores están cada vez más preocupados por las implicaciones de la ciberseguridad en sus inversiones. Esto se ha visto impulsado por el creciente número de incidentes cibernéticos de alto perfil, como ataques de ransomware y filtraciones de datos. Los inversores priorizan la ciberseguridad junto con cuestiones ambientales, sociales y de gobernanza (ESG) críticas. Esto se refleja en Encuesta de inversión responsable sobre gestión global de activos de RBCLos inversores buscan datos de ciberseguridad claros, fiables y prácticos para fundamentar sus decisiones de inversión. Necesitan y desean indicadores claros de resiliencia en ciberseguridad sin necesidad de poseer un profundo conocimiento técnico en el campo. Una buena ciberseguridad no solo se considera un factor de mitigación de riesgos, sino también un indicador de un sólido gobierno corporativo y calidad de gestión. Estas cualidades hacen que las empresas sean más atractivas para la inversión. Las herramientas que incorporan métricas de ciberseguridad se utilizan para evaluar la preparación de una empresa en materia de ciberseguridad. Por consiguiente, los mejores directores de seguridad de la información (CISO) conocen estas evaluaciones de los inversores. Los CISO exitosos se aseguran de que las medidas de ciberseguridad de sus organizaciones se comuniquen eficazmente. Los CISO eficaces destacan tendencias globales como una mayor transparencia y rendición de cuentas en los informes de ciberseguridad. Esto ayuda a tranquilizar a los inversores y a la comunidad inversora.
La nueva regulación de ciberseguridad de la SEC exige la participación de la alta dirección. Los directivos de las empresas deben participar para elaborar estrategias sobre sus divulgaciones de ciberseguridad. Los CISO están reuniendo a los directivos para revisar la ciberresiliencia o la preparación para la ciberseguridad en sus empresas. Estas reuniones generan una comprensión crucial sobre cómo estas regulaciones afectan a la empresa y a sus grupos de interés. Estas reuniones suelen incluir al CISO, al Asesor Jurídico General, al Director de Riesgos (si está presente), al Director Financiero (CFO) y al responsable de Relaciones con los Inversores. Los puntos clave de debate giran en torno a quién lidera las iniciativas de divulgación y el papel del CISO en la notificación de riesgos e incidentes. Las conversaciones deben definir y ratificar las estrategias de colaboración, la comunicación con los inversores y cómo definir un "materiales" incidente cibernético relativo a las operaciones de la empresa que ahora requiere reportarse en el 8-K.
Estas conversaciones deben establecer una matriz de responsabilidades clara dentro de su empresa en relación con la divulgación de información sobre ciberseguridad. Los CISO también deben garantizar que su enfoque en ciberseguridad se comunique eficazmente a los inversores, cumpliendo así sus expectativas de transparencia. y Comprensión. Su equipo directivo también debe considerar las estrategias de comunicación existentes de la empresa en torno al riesgo cibernético. Deben determinar si se justifican nuevos métodos, como un informe independiente de ciberseguridad (auditoría anual de terceros), para transmitir con claridad su gobernanza de dichos riesgos. No se trata solo de cumplimiento normativo, sino de elaborar una narrativa externa e interna informada y coherente sobre la gobernanza de la ciberseguridad. El CISO desempeña un papel vital, pero no el único, en este proceso. El resultado de estas reuniones determinará la postura de ciberseguridad de la empresa y las relaciones con los inversores en el futuro.
Según los nuevos requisitos de la SEC, las organizaciones deben divulgar información diversa que ayude a los inversores a comprender sus procesos de gestión de riesgos de ciberseguridad. Esta información incluye la estrategia de ciberseguridad de la organización y la gestión de riesgos de terceros. Un marco comúnmente utilizado para dichas evaluaciones de riesgos es el Marco de ciberseguridad del NIST (NSF). Alternativamente, algunas empresas utilizan el Norma de gestión de riesgos NIST 800-171 Para su estrategia de cumplimiento. Posteriormente, el equipo directivo, incluyendo al CIO, el CISO, el CEO, el CFO y la junta directiva, debe crear un programa de informes que describa el logro y la mitigación de riesgos para la empresa en relación con los controles descritos en estos métodos de evaluación.
Además, se espera que las empresas compartan detalles sobre políticas clave, controles técnicos y evaluaciones de seguridad independientes como Certificaciones SOC 2. Se informan las métricas del programa, detallando su eficacia y los protocolos de gestión de incidentes. Se valida la cobertura del seguro cibernético, lo que ayuda a reducir el riesgo financiero derivado de incidentes cibernéticos y a determinar la importancia de los eventos y problemas de ciberseguridad.
Los CISO tienen la tarea de recopilar estos datos mediante la revisión de documentos y consultas con sus equipos de ciberseguridad y la alta dirección. Dado que muchas organizaciones podrían no tener acceso inmediato a toda esta información, puede ser beneficioso formar un equipo interdisciplinario para ayudar en el proceso de recopilación de información. Podría adoptar CyberHoot y recopilar métricas de cada empleado que apruebe sus políticas de gobernanza, complete videotutoriales de capacitación sobre concientización y realice simulaciones y pruebas de phishing. El objetivo final es informar a la Junta Directiva, a los altos ejecutivos y a...inversores razonables"una narrativa que sea accesible y comprensible para todos.
Si bien las empresas que desarrollan sus programas pueden preguntarse qué hacen los demás, es importante crear su propio programa de cumplimiento e informes en función de su tamaño, capacidades y expectativas de los inversores. Existen fuentes de información centralizada que podrían revisar para el desarrollo de su propio programa. Por ejemplo, en 2022, un análisis realizado por Centro de Asuntos de Junta Directiva de EY Las revelaciones de las empresas Fortune 100 revelaron una mayor transparencia en la gestión de riesgos de ciberseguridad.
A pesar de las divulgaciones anteriores, las nuevas regulaciones de ciberseguridad de la SEC exigen la adopción de prácticas de información detalladas y potencialmente transformadoras, comenzando por las empresas que cotizan en bolsa. Si bien las normas se dirigen principalmente a las empresas que cotizan en bolsa, otras empresas privadas y de menor tamaño deberían familiarizarse con estas nuevas normas y comenzar a preparar y supervisar sus operaciones para su propia resiliencia y preparación en materia de ciberseguridad.
Las empresas deben afrontar el desafío de determinar qué constituye una “materiales" incidente de ciberseguridad para fines de divulgación, según lo exige la SEC. La SEC define un incidente material como "uno que sería considerado importante por un inversor razonable al tomar una decisión de inversión"Esta determinación va más allá de los umbrales financieros y considera datos tanto cuantitativos como cualitativos. Incluye incidentes que causan daño a la reputación o robo de información y que, si bien no son cuantificables financieramente, tienen un impacto significativo en las personas o en la empresa.
La SEC sugiere que, si bien el impacto financiero se considera comúnmente, también se debe evaluar el alcance y la naturaleza del daño. Para comprender a fondo los posibles impactos, se recomienda a las empresas realizar una cuantificación financiera de los riesgos cibernéticos. Este análisis puede revelar las debilidades del programa, las necesidades de inversión y las estrategias de mitigación de riesgos.
Los CISO, si bien no suelen ser los árbitros finales de la materialidad, deben participar activamente en el proceso de evaluación y en el diseño de estrategias proactivas de remediación de riesgos. La materialidad de los incidentes debe determinarse caso por caso a través del asesor legal, el director ejecutivo y el consejo de administración. La decisión sobre la materialidad debe considerar las circunstancias específicas y las posibles implicaciones para la empresa y sus grupos de interés.
La SEC exige requisitos específicos de divulgación para riesgos cibernéticos de terceros, reconociendo su importante potencial para generar incidentes de ciberseguridad. Dado que cada vez más empresas externalizan sus servicios a proveedores para obtener mayores eficiencias y ventajas competitivas, los riesgos derivados de vulnerabilidades de terceros y de la cadena de suministro se han intensificado. Se recomienda a los CISO establecer una estrategia sólida de riesgos cibernéticos de terceros que incluya la identificación y priorización de socios externos (a menudo en función de la criticidad de los datos que contienen o a los que pueden acceder), la realización de evaluaciones cibernéticas basadas en riesgos y la monitorización continua de estas entidades para detectar nuevas amenazas. Un programa exhaustivo es esencial para que los CISO garanticen a las partes interesadas una gestión eficaz de riesgos y el cumplimiento de los requisitos de divulgación de la SEC.
Estos avances resaltan la importancia estratégica de la ciberseguridad en el gobierno corporativo y la necesidad de que los líderes estén bien informados y sean proactivos en la supervisión de la ciberseguridad. También indican una tendencia hacia una mayor transparencia en la gestión e informes de ciberseguridad de las empresas, con énfasis en la creación de una sólida cultura de seguridad que se ajuste a los intereses de los inversores y las expectativas regulatorias.
Fuentes:
https://www.sec.gov/news/press-release/2023-139
Descubra y comparta las últimas tendencias, consejos y mejores prácticas en ciberseguridad, junto con nuevas amenazas a las que debe prestar atención.
Un informe práctico para los vCISO LA ADVERTENCIA QUE IGNORAMOS O NO PUDIMOS COMPRENDER Durante años, la más creíble...
LEER MÁS
Una guía para detectar estafas de suplantación de identidad de altos ejecutivos antes de que el falso director ejecutivo reciba una transferencia bancaria real.
LEER MÁS
La inteligencia artificial (o IA) está haciendo que los correos electrónicos de phishing sean más sofisticados, el malware más sigiloso y el robo de credenciales más fácil...
LEER MÁSObtenga una visión más clara de los riesgos humanos, con un enfoque positivo que supera las pruebas de phishing tradicionales.
