La SEC propone normas de ciberseguridad

El 13 de marzo de 2023, la Comisión de Bolsa y Valores (SEC) propuso nuevas normas y requisitos de ciberseguridad para que todas las entidades del mercado aborden los riesgos. Entre las regulaciones propuestas se encontraban requisitos actualizados para Formulario 8-K informes, así como nuevas directrices para Enmiendas al Formulario 10-K. 

Según la normativa propuesta sobre la presentación de informes del Formulario 8-K, las empresas deberán informar sobre las infracciones en un plazo de cuatro días tras el incidente. Todos los informes de incidentes deben incluir cinco preguntas y respuestas documentadas, con respuestas detalladas para que el inversor razonable pueda comprender la infracción. Las siguientes preguntas son obligatorias para todos los informes de incidentes del Formulario 8-K según la normativa propuesta:

1. Cuándo se descubrió el incidente y si sigue en curso.
2. Una breve descripción de la naturaleza y el alcance del incidente.
3. Si algún dato fue robado, alterado, accedido o utilizado para cualquier otro propósito no autorizado.
4. El efecto del incidente sobre las operaciones del registrante.
5. Si el registrante ha remediado o está remediando actualmente el incidente.

Responder a las preguntas requeridas evitando detalles excesivamente técnicos permitirá que las conversaciones sobre los riesgos de la ciberseguridad sean más accesibles para todas las partes involucradas en la empresa.

Políticas y procedimientos de gestión de riesgos cibernéticos 

Además, la propuesta de la SEC exigió la inclusión de políticas y procedimientos específicos para gestionar la ciberseguridad en las Enmiendas al Formulario 10-K. Las políticas y procedimientos sobre riesgos de ciberseguridad incluidos en el Formulario 10-K deben ser lo más comprensibles posible para facilitar la participación tanto de la alta dirección como del consejo de administración. Esta enmienda adicional sobre ciberseguridad al Formulario 10-K también es importante, ya que aclarará la regulación de los protocolos de ciberseguridad de una empresa. 

En la última década, las brechas de ciberseguridad han aumentado y se han convertido en uno de los mayores riesgos para empresas de todos los sectores y verticales. De hecho, de cara al futuro, el riesgo seguirá aumentando. En una encuesta de 2019, 200 de las mayores empresas globales calificaron la ciberseguridad como la principal amenaza tanto para el crecimiento de sus negocios como para el de la economía global durante la próxima década. La SEC decidió desarrollar las regulaciones propuestas con la esperanza de estandarizar la divulgación de información sobre la gestión de riesgos de ciberseguridad y la notificación de incidentes, a medida que se convierten en conversaciones y prácticas comunes en todas las organizaciones.

Consejos para crear una cultura consciente del riesgo

En caso de que la propuesta de la SEC se haga realidad, las empresas deben estar preparadas para contar con un proceso de respuesta a incidentes muy completo. Mantener la seguridad de la empresa no es solo responsabilidad del director de seguridad de la información (CISO), el equipo de seguridad y el de TI. Todos los miembros de la empresa deben recibir capacitación y estar atentos a cualquier amenaza potencial. Saber cuándo alertar sobre una posible brecha, por pequeña que sea, es fundamental para que todos los empleados contribuyan al cumplimiento de las regulaciones de la SEC. Difundir la concienciación sobre los riesgos de ciberseguridad en toda la organización puede contribuir a la seguridad de la empresa, ya que casi todos los equipos operan con datos que podrían ponerla en riesgo. 

Para ayudar a mantener la conversación sobre un tema tan importante, es necesario emplear las herramientas adecuadas, como CNAPP y automatización y respuesta de orquestación de seguridad (SOAR), Puede permitir al CISO presentar la postura de riesgo de la empresa a la alta dirección y a la junta directiva, estableciendo un lenguaje común para iniciar el debate. Abrir el diálogo a los líderes de la empresa cada trimestre, no solo cuando se produce un incidente, puede ayudar a orientar el presupuesto y la visibilidad para subsanar deficiencias importantes, contribuyendo así a prevenir incidentes de seguridad como filtraciones de datos en el futuro. Los riesgos de ciberseguridad son una parte muy real de las empresas hoy en día, pero al cumplir con todas las regulaciones, utilizar las herramientas de automatización adecuadas y hablar de ciberseguridad de forma regular, es posible proteger una empresa.