El impacto de las normas cibernéticas de la SEC en la gestión de riesgos corporativos

Si trabajas en ciberseguridad, sigue los cambios regulatorios o es parte de la industria, es probable que haya estado monitoreando de cerca los desarrollos regulatorios recientes. Normas de divulgación de incidentes de ciberseguridad de la SEC y la UE Ley de Resiliencia Cibernética (CRA), Han impulsado a las organizaciones a reevaluar y redefinir sus estrategias. Ahora, con el rápido avance de la IA, es hora de un uso responsable y una supervisión regulatoria más estricta. 

Si bien el desarrollo y uso seguro de AI Aún no está regulada. Una regulación de ciberseguridad destacada del año pasado fueron las nuevas normas de la SEC sobre gestión de riesgos de ciberseguridad y divulgación de incidentes. Ahora exige a las empresas que cotizan en bolsa:

• Divulgar incidentes cibernéticos significativos a la SEC dentro de cuatro días hábiles.
• Proporcionar información detallada sobre la supervisión de los riesgos de ciberseguridad por parte de su junta directiva. 

Para comprender mejor el impacto de estos cambios, nos asociamos con Investigación Sapio Para encuestar a 500 responsables de la toma de decisiones en ciberseguridad de grandes empresas de EE. UU. y el Reino Unido. Descargue el informe completo: Regulación 2024 vs. Realidad: ¿Son efectivos los intentos de la Reserva Federal por gestionar la divulgación de incidentes?

El costo de descuidar las regulaciones de ciberseguridad 

Como Director de Seguridad de la Información (CISO) de Swimlane, he visto de primera mano cómo los cambios regulatorios están transformando nuestra industria y qué sucede si se descuidan. Por ejemplo, incidentes de alto perfil como el ataque de ransomware a... Cambiar la atención médica, han disminuido continuamente la confianza pública.

El ataque de ransomware a Change Healthcare es uno de varios incidentes ocurridos este año que ponen de relieve las graves consecuencias que pueden enfrentar las organizaciones si descuidan la gestión de riesgos. Esto incluye: 

• Daño a la reputación 
• Pérdidas financieras
• Tiempo de inactividad empresarial 
• Pérdida de datos sensibles

Mira ese número otra vez… $1.6B podría ser el impacto financiero total en Change Healthcare. En mi blog reciente, El misterio de la “materialidad”: Guía del CISO para el cumplimiento de la SEC, Destaqué la importancia de comprender la definición de materialidad, los riesgos y el posible impacto financiero si no se comprende. Algunos impactos financieros incluyen honorarios legales, multas regulatorias, costos de remediación y notificaciones a clientes. Otro problema importante bajo las regulaciones de ciberseguridad de la SEC es la definición poco clara de "materialidad". Sin una guía clara, las organizaciones deben ser proactivas para definir qué se considera un incidente de ciberseguridad "material". 

Teniendo esto en mente, es seguro decir que el reciente aumento del escrutinio regulatorio es crucial para reconstruir la confianza y garantizar que las empresas prioricen la ciberseguridad. 

3 consejos proactivos de ciberseguridad para abordar las regulaciones

Cumplir con los requisitos reglamentarios recientes implica numerosas tareas por hacer y Operaciones de seguridad tácticas. Sin embargo, es importante distinguir entre simplemente cumplir con el cumplimiento y desarrollar una estrategia de gestión de riesgos verdaderamente proactiva. Hacer lo mínimo indispensable y conformarse con... “seguridad ”suficientemente buena” No protegerá a su organización. No se fíe solo de mi palabra: observe las numerosas empresas que sufrieron Violaciones de datos y ciberataques en 2024 solo.

A continuación se presentan tres formas en las que puede ser proactivo con las estrategias de gestión de riesgos:

1. Implementar la experiencia en ciberseguridad en toda la empresa 

El enfoque de "marcar la casilla" falla una y otra vez. Como líderes, debemos comprometernos desde arriba hacia abajo con la ciberseguridad. Este compromiso es esencial para mitigar los riesgos y prevenir ciberataques.

Esto comienza con la experiencia en ciberseguridad a nivel directivo. Nuestro informe reciente destaca:

• 81% Dijo que todas las empresas con Junta Directiva deberían tener al menos un miembro con experiencia en ciberseguridad.
• A pesar de, sólo 55% de los encuestados dijeron que tienen un miembro de la junta directiva con experiencia en ciberseguridad.

Invertir en las herramientas y la capacitación adecuadas en ciberseguridad para su equipo mejorará significativamente sus procesos generales. Este enfoque proactivo garantiza que todos, desde los empleados de nivel inicial hasta los altos ejecutivos, comprendan la importancia de la ciberseguridad y estén preparados para responder eficazmente a los incidentes con las herramientas adecuadas. Esto reforzará las defensas, mejorará la gestión de riesgos y optimizará... respuesta a incidentes, y crear una organización más resiliente.

Tenga en cuenta que la gobernanza y el cumplimiento normativo no son sinónimo de reducción de riesgos ni de mejora de la ciberseguridad. Sin embargo, la postura de seguridad, la resiliencia, los controles técnicos y la Confianza Cero sí lo son. Primero debe dominar los conceptos básicos. 

2. Cambiar el enfoque en la divulgación de eventos cibernéticos

Las organizaciones deben reorientar su enfoque al divulgar cibereventos a los reguladores y al público. Es importante ir más allá de los aspectos técnicos de un ciberevento y evaluar los riesgos financieros, operativos y de reputación más amplios para una notificación precisa. Nuestro informe afirma:

• Sólo el 25% de los encuestados reportan incidentes de seguridad dentro de 3-4 días hábiles.
• Y 43% se ha enfrentado a tiempos de presentación de informes más largos durante el año pasado.

Esto pone de relieve el reto que muchas organizaciones tienen para mantener procesos ágiles y optimizados. Sin embargo, el uso de una plataforma de automatización de la seguridad, como Swimlane Turbine, puede ayudar a solucionar este problema.

3. Automatizar la respuesta a incidentes

Aproveche los playbooks para automatizar respuesta a incidentes Procesos. Este enfoque optimizado facilita una toma de decisiones más rápida, lo que permite a las organizaciones responder con rapidez a los incidentes de ciberseguridad y mitigar los riesgos con prontitud. En Swimlane, aprovechamos nuestra propia... automatización de la seguridad plataforma para construir manuales de respuesta a incidentes. Esto da como resultado procesos más simples que me permiten tomar decisiones informadas e informar con mayor claridad al equipo de liderazgo sobre los detalles críticos de la respuesta a incidentes. 

Equilibrio entre la experiencia humana y la automatización mejorada por IA

Al priorizar el equilibrio entre la experiencia humana y las herramientas de automatización mejoradas con IA, se alivia la presión operativa. Es hora de automatizar tareas rutinarias como la detección de amenazas y el análisis de registros para que los profesionales de seguridad puedan tomar decisiones críticas basadas en juicios. Esto aumenta la eficiencia y la eficacia, lo que, en última instancia, aumenta la confianza de los responsables de la toma de decisiones en su capacidad para cumplir con las normativas. 

A medida que su organización se adapta a las nuevas regulaciones y desafíos de ciberseguridad, espero que estos conocimientos le ayuden a orientarse hacia la resiliencia y la gestión proactiva de riesgos. Mientras tanto, espero que todos mis colegas líderes de seguridad se pongan en contacto conmigo en LinkedIn para promover conversaciones proactivas.