Normas de ciberseguridad de la SEC para las empresas públicas
Las nuevas normas de la SEC exigirán una rápida divulgación de los incidentes, informes claros sobre las políticas y procedimientos de gestión de riesgos cibernéticos y una participación más profunda a nivel del consejo de administración.
En julio de 2023, la Comisión de Bolsa y Valores de EE. UU. (SEC) emitió una nueva serie de normas de divulgación de ciberseguridad relacionadas con las empresas públicas en Estados Unidos. Estas normas están destinadas a ayudar a los inversores a tomar decisiones sobre dónde invertir proporcionando más información sobre la seriedad con la que una organización se toma los riesgos de ciberseguridad.
Las empresas que pueden dar detalles sobre su proceso de seguimiento del riesgo cibernético (por ejemplo, cómo crean y rastrean las puntuaciones de riesgo cibernético a lo largo del tiempo, a la vez que crean un proceso sencillo y repetible para informar y hacer partícipe a su consejo de administración de todo lo referente a los riesgos de seguridad cibernética) pueden diferenciarse a los ojos de los inversores.
La SEC intenta lograr un equilibrio entre las organizaciones que brindan suficientes datos para informar a los inversores sin "aumentar la vulnerabilidad de una empresa al ciberataque... para evitar exigir la divulgación de los tipos de detalles operativos que los actores de amenazas podrían utilizar como armas".
El Registro Federal muestra que las normas entraron en vigor el 5 de septiembre de 2023.
Divulgación de los detalles de incidentes materiales de ciberseguridad dentro de los cuatro días hábiles posteriores a su determinación.
Proporcionar una descripción de los "procesos, si los hubiera, para evaluar, identificar y gestionar riesgos materiales derivados de amenazas a la ciberseguridad...".
Se presentará en Inline eXtensible Business Reporting Language (Inline XBRL).
Proporcionar una descripción de la supervisión de los riesgos de ciberseguridad por parte del consejo de administración y su función y experiencia en la evaluación y gestión de riesgos significativos derivados de amenazas de ciberseguridad.
Revise las nuevas normas con los líderes de seguridad, así como con los equipos de auditoría y finanzas que administran las presentaciones, para crear un proceso que cumpla con el plazo de cuatro días en el caso de un incidente significativo.
Asegúrese de que su empresa tenga un conocimiento potente sobre cómo determinar cuándo un evento de ciberseguridad alcanza el umbral de ser significativo.
Los líderes de seguridad deben redactar su descripción del proceso para comprender y evaluar el riesgo cibernético. Este puede incluir herramientas de riesgo cibernético, los riesgos que abordan esas herramientas (por ejemplo, superficie de ataque externa o riesgo de pérdida de datos) y los procesos que siguen sus equipos para mitigar los riesgos identificados.
Los líderes de seguridad y auditoría deben trabajar con la junta directiva para crear un proceso, si aún no hay uno, sobre cómo piensa el consejo supervisar el riesgo cibernético. Este puede incluir hacer de la ciberseguridad un tema recurrente en las revisiones trimestrales para examinar las puntuaciones de riesgo, los factores clave del riesgo, las acciones de mitigación y las inversiones necesarias.
Los líderes de seguridad deben identificar y hablar con los miembros del consejo con experiencia en ciberseguridad para que contribuyan a los documentos anuales e informativos que se deben presentar.
Risk360 mide el riesgo cibernético en áreas clave de la cadena de ataque:
Vea el riesgo de que los atacantes encuentren y aprovechen las debilidades de la superficie de ataque con un análisis de las variables detectables.
Comprenda y mitigue el riesgo teniendo en cuenta una amplia gama de eventos, configuraciones de seguridad y atributos de flujo de tráfico para calcular la probabilidad de un compromiso.
Vea el riesgo de propagación lateral de amenazas de la empresa examinando una variedad de configuraciones y métricas de acceso privado.
Analice y limite el riesgo de que los atacantes extraigan datos.
Risk360
Dé el paso siguiente
Deje que nuestros expertos le muestren cómo Zscaler Risk360 minimiza la superficie de ataque de su organización, previene el movimiento lateral y anula el riesgo de pérdida de datos.