Reglas de ciberseguridad de la SEC para empresas públicas
Las nuevas reglas de la SEC requerirán una divulgación rápida de los incidentes, informes claros sobre las políticas y procedimientos de gestión de riesgos cibernéticos y una participación más activa por parte de la junta directiva.
En julio de 2023, la Comisión de Bolsa y Valores de EE. UU. (SEC) emitió un nuevo conjunto de reglas de divulgación de ciberseguridad relacionadas con las empresas públicas en los Estados Unidos. Estas reglas están destinadas a ayudar a los inversores a tomar decisiones sobre dónde invertir proporcionando más información sobre la seriedad con la que una organización toma los riesgos de ciberseguridad.
Las empresas que pueden compartir detalles sobre su proceso de seguimiento del riesgo cibernético (por ejemplo, cómo crean y siguen las puntuaciones de riesgo cibernético a lo largo del tiempo, mientras crean un proceso sencillo y repetible para que su junta directiva participe y esté al tanto sobre el riesgo de seguridad cibernética) son llamativas para los inversores.
La SEC trata de establecer un punto intermedio entre que las organizaciones proporcionen suficientes datos para informar a los inversores y que, al mismo tiempo, "no aumenten la vulnerabilidad de una empresa a un ciberataque... para evitar exigir la divulgación de los tipos de detalles operativos que podrían ser utilizados como armas por los actores de amenazas."
El Registro Federal muestra que las reglas entraron en vigor el 5 de septiembre de 2023.
Divulgación de los detalles de incidentes importantes de ciberseguridad dentro de los cuatro días hábiles posteriores a dicha determinación.
Proporcione una descripción de los "procesos, si los hubiera, para evaluar, identificar y gestionar riesgos materiales derivados de amenazas a la ciberseguridad..."
Se presentará en Inline eXtensible Business Reporting Language (Inline XBRL).
Proporcione una descripción de la supervisión de los riesgos de ciberseguridad por parte de la junta directiva y su función y experiencia en la evaluación y gestión de riesgos materiales derivados de amenazas de ciberseguridad.
Revise las nuevas reglas con los líderes de seguridad, así como con los equipos de auditoría y finanzas que administran las presentaciones, para crear un proceso que cumpla con el plazo de cuatro días en el caso de un evento importante.
Asegúrese de que su empresa conozca bien cómo se determina cuándo un suceso de ciberseguridad alcanza el umbral de ser "material".
Los líderes de seguridad deben redactar su descripción del proceso para comprender y evaluar el riesgo cibernético. Esto puede incluir las herramientas de riesgo cibernético, los riesgos que abordan dichas herramientas (por ejemplo, la superficie de ataque externa o el riesgo de pérdida de datos) y los procesos que siguen sus equipos para mitigar los riesgos identificados.
Los líderes de seguridad y auditoría deben trabajar con la junta directiva para crear un proceso (si aún no existe uno) sobre cómo la junta planeará supervisar el riesgo cibernético. Esto puede incluir hacer de la ciberseguridad un tema permanente en las revisiones trimestrales de la actividad para revisar las puntuaciones de riesgo, los factores clave del riesgo, las acciones de mitigación y las inversiones necesarias.
Los líderes de seguridad deben identificar y entrevistar a los miembros de la junta directiva con experiencia en ciberseguridad para capturar y compartir en las presentaciones anuales y de representación.
Risk360 mide el riesgo cibernético en áreas clave de la cadena de ataque:
Vea el riesgo de que los atacantes encuentren y aprovechen las debilidades de la superficie de ataque con una evaluación de las variables detectables.
Comprenda y mitigue el riesgo observando una amplia gama de eventos, configuraciones de seguridad y atributos de flujo de tráfico para calcular la probabilidad de un compromiso.
Vea el riesgo de propagación lateral de amenazas de la empresa examinando una variedad de configuraciones y métricas de acceso privado.
Analice y limite el riesgo de que los atacantes extraigan datos.
Risk360
Dé el paso siguiente
Permita que nuestros expertos le muestren cómo Zscaler Risk360 minimiza la superficie de ataque de su organización, previene el movimiento lateral y elimina el riesgo de pérdida de datos.