Las empresas que cotizan en bolsa deberán informar las amenazas cibernéticas importantes a la SEC a partir del 18 de diciembre. Deloitte ofrece consejos a los líderes empresariales.
Las nuevas reglas de la Comisión de Bolsa y Valores de EE. UU. sobre la divulgación de incidentes de ciberseguridad entrarán en vigor el 15 de diciembre para las empresas públicas con años fiscales que comiencen en esa fecha o después.
Las empresas que cotizan en bolsa deben informar anualmente sus procesos para detectar, juzgar y mitigar las amenazas a la ciberseguridad. También deben informar los posibles efectos materiales de tales amenazas, la supervisión de los riesgos de ciberseguridad por parte de la junta directiva y el papel y la experiencia de la administración en el manejo de amenazas de ciberseguridad.
Además de los informes anuales, a partir del 18 de diciembre, todas las empresas que cotizan en bolsa deben revelar incidentes importantes de ciberseguridad a la SEC en un plazo de cuatro días si se determina que el incidente es importante. La divulgación debe realizarse según el punto 1.05 del formulario SEC 8-K.
Salta a:
Redactar nuevas divulgaciones y suavizar el proceso de divulgación.
Los CISO, CFO y otros líderes empresariales pueden prepararse para la entrada en vigor de estas reglas redactando nuevas divulgaciones mucho antes de que finalice el año fiscal, de modo que todos los empleados relevantes tengan la oportunidad de revisarlas. Los equipos de TI, seguridad de la información, asuntos legales, informes de la SEC y asesores externos deben participar en la creación y evaluación de controles y procedimientos de divulgación.
Muchas empresas ya están en el proceso de realizar evaluaciones de preparación, dijo Naj Adib, director de riesgos cibernéticos y estratégicos de Deloitte, en una entrevista telefónica con TechRepublic. Las empresas públicas ya están acostumbradas a completar divulgaciones 8-K y 10-K para eventos importantes o nuevas acciones, respectivamente. Ahora, esas organizaciones se preguntan qué necesitan modificar o mejorar en sus procedimientos de divulgación, respuesta a incidentes y capacidades cibernéticas existentes.
VER: Apple recomienda a los usuarios actualizar su sistema operativo contra dos vulnerabilidades de seguridad. (República Tecnológica)
“En última instancia, lo que está cambiando es la orquestación entre cibernética y TI y el comité de divulgación y las personas que hacen la divulgación”, dijo Adib.
Las nuevas reglas se suman a los procesos estándar de respuesta a incidentes. Ahora, “Necesitamos tomar los resultados de esos procesos y escalarlos a un grupo de personas que serían responsables de determinar la materialidad”, dijo Adib. “Podría ser cualquiera en el comité de divulgación, personas que formen parte del asesoramiento legal y la oficina del secretario corporativo, dependiendo de la organización”.
Determinar si un incidente de ciberseguridad es material
Determinar si un incidente es material puede resultar difícil y la SEC no proporciona una definición exacta. Un incidente material en la ley de valores generalmente se considera un incidente en el que “existe una probabilidad sustancial de que un accionista razonable lo considere importante”, según tres casos legales citados por la SEC.
Al determinar si un incidente es material, los comités de divulgación deben analizar si la organización corre riesgo de sufrir pérdidas financieras, una reputación empañada, un tiempo de inactividad significativo o una pérdida de confianza del público, dijo Deloitte.
Para que el proceso sea fluido, las personas, los procesos y la tecnología deben estar alineados, dijo Adib. Las organizaciones necesitan crear procesos para reunir a personas de diferentes grupos de partes interesadas (cibernética, informática, financiera y jurídica) en un comité de divulgación para discutir un posible incidente. Esas personas deberán tomar una decisión profesional sobre si el incidente es material.
La tecnología utilizada para determinar la materialidad será diferente según la organización, pero generalmente incluirá:
- Plataformas de gestión de eventos e información de seguridad.
- Plataformas de orquestación, automatización y respuesta de seguridad.
- Plataformas de inteligencia de amenazas.
- Plataformas de respuesta a amenazas.
- Plataformas de venta de entradas.
“Hay que tener estas plataformas, herramientas, procesos y capacidades en juego para poder identificar que hay un incidente cibernético y luego llevarlo a la cadena para tomar una determinación de materialidad”, dijo Adib. “Pero, como sabemos, las herramientas son tan buenas como las personas que las implementan”.
En caso de que se considere la materialidad de un incidente, Adib dijo que las organizaciones deben asegurarse de considerar:
- ¿Quién está en la mesa?
- ¿Tenemos suficiente información?
- ¿Cómo afecta el incidente a nuestro negocio?
En los planes de Deloitte para determinar la materialidad basándose en las directrices de la SEC, utilizan una taxonomía que incluye varios dominios de riesgo: financiero, operativo, reputacional, regulatorio, empresarial extendido (terceros, proveedores y clientes), estratégico, tecnológico y de talento (salud y seguridad). , dijo Adib.
Las empresas refuerzan las normas de ciberseguridad en respuesta
El objetivo de las normas es informar a los inversores sobre el posible impacto del incidente para “beneficiar a los inversores, las empresas y los mercados que los conectan”, dijo el presidente de la SEC, Gary Gensler, en un comunicado de prensa publicado el 26 de julio de 2023.
El 2 de agosto de 2022, Deloitte realizó una encuesta entre más de 1.300 ejecutivos de alto nivel y otros ejecutivos de organizaciones que cotizan en bolsa y descubrió que el 64,8% planeaba fortalecer sus esfuerzos de ciberseguridad en respuesta a las nuevas reglas de la SEC. Y más de la mitad (54,1%) de los ejecutivos encuestados dijeron que presionarían a terceros para que mejoraran sus programas cibernéticos en respuesta a las nuevas reglas de la SEC. La encuesta se realizó durante un seminario web sobre los nuevos requisitos de la SEC.
