Security Operations

Comprendiendo las nuevas reglas de seguridad cibernética de la SEC: una guía para ejecutivos

Las nuevas reglas de seguridad cibernética de la SEC mejoran significativamente los requisitos de divulgación, enfatizan el papel de la junta en la gestión de riesgos e introducen un cronograma de informes estricto de cuatro días, lo que requiere que las empresas públicas refuercen sus estrategias de seguridad cibernética, mejoren los procesos de respuesta a incidentes y garanticen planes de comunicación sólidos.

La Comisión de Bolsa y Valores de EE. UU. (SEC, por sus siglas en inglés) tiene un largo historial de brindar orientación sobre seguridad cibernética para empresas que cotizan en bolsa. A lo largo de los años, la SEC ha enfatizado la divulgación de riesgos e incidentes de seguridad cibernética a los inversores. La regla final más reciente, publicada en 2023, representa una evolución significativa en el enfoque de la SEC para la divulgación de seguridad cibernética. Esta publicación analiza exhaustivamente las nuevas reglas, incluidos ejemplos detallados, ideas desde nuestra perspectiva y consejos prácticos para juntas, ejecutivos y equipos de respuesta a incidentes.

Una breve historia de la guía de la SEC sobre ciberseguridad

El enfoque de la SEC en la seguridad cibernética comenzó en serio en 2011 cuando la División de Finanzas Corporativas emitió una guía sobre divulgaciones de seguridad cibernética. Esta guía aclaró que aunque ningún requisito de divulgación existente se refirió explícitamente a los riesgos de seguridad cibernética y los incidentes cibernéticos, varios requisitos pueden imponer a las entidades registradas la obligación de divulgar dichos riesgos e incidentes.

En 2018, la SEC emitió una guía interpretativa para ayudar a las empresas públicas a preparar divulgaciones sobre riesgos e incidentes de seguridad cibernética. Esta guía enfatizó la importancia de mantener políticas y procedimientos integrales relacionados con los riesgos e incidentes de seguridad cibernética, y la aplicación de prohibiciones de abuso de información privilegiada en el contexto de la seguridad cibernética.

La regla final de 2023 representa un importante paso adelante en el enfoque de la SEC para la divulgación de seguridad cibernética. Proporciona requisitos más detallados para divulgar riesgos e incidentes de seguridad cibernética y enfatiza el papel de la junta en la supervisión de la gestión de riesgos de seguridad cibernética.

La nueva regla final: un desglose simplificado

La nueva regla final requiere que las empresas divulguen los riesgos e incidentes materiales de seguridad cibernética con prontitud. También requiere que las empresas describan su gestión de riesgos de ciberseguridad, incluido el papel de la junta directiva en la supervisión de estos procesos.

Por ejemplo, supongamos que una empresa sufre una importante filtración de datos. En ese caso, debe revelar la naturaleza y las consecuencias del incumplimiento, su respuesta y los esfuerzos de remediación, y el posible impacto futuro en la empresa. La empresa también debe revelar si la infracción ha informado cambios materiales en su gobierno, políticas, procedimientos o tecnologías.

La regla final también requiere que las empresas divulguen si tienen un programa de evaluación de riesgos de seguridad cibernética y que describan el programa. Esto incluye describir cómo las empresas abordan la identificación y gestión de las amenazas a la ciberseguridad. Las empresas deben revelar si contratan asesores, consultores, auditores u otros terceros en relación con su programa de evaluación de riesgos de seguridad cibernética.

La regla también enfatiza el papel de la junta en la supervisión de los riesgos de seguridad cibernética. La junta debe tener procesos para estar informado sobre los riesgos e incidentes de ciberseguridad. Esto incluye actualizaciones periódicas de la gerencia o del equipo de ciberseguridad de la empresa.

Requisito de divulgación de cuatro días

El requisito de cuatro días hábiles de la regla final cambiará las reglas del juego para muchas empresas públicas. Las organizaciones deben tener un proceso sólido de respuesta a infracciones, que incluya ejercicios de simulación regulares que simulen cómo recopilarían datos sobre un incidente, determinarían su materialidad e informarían dentro de la ventana de cuatro días. Esto no es trivial, dado que comprender el análisis de causa raíz (RCA) y evaluar el daño de muchos ataques puede llevar mucho más tiempo.

Este requisito también subraya la necesidad de un plan de comunicaciones bien diseñado. A raíz de un incidente de ciberseguridad, las empresas públicas deben gestionar las consultas de la prensa y las conversaciones en las redes sociales que podrían alarmar a los inversores, accionistas y consumidores. Un plan de comunicaciones bien ejecutado puede ayudar a controlar la narrativa, brindando tranquilidad mientras se cumplen los requisitos de divulgación.

El requisito de presentación de informes también podría verse como un arma de doble filo. Si bien promueve la transparencia y la puntualidad, es posible que no permita una comprensión completa de la amenaza o el tipo de ataque. Esto podría llevar a que los informes iniciales carezcan de detalles cruciales, lo que podría ser un punto de discusión. Es importante tener en cuenta que la cuenta regresiva de cuatro días comienza cuando se determina la materialidad, no desde la detección inicial de la infracción. Esto enfatiza la necesidad de un proceso rápido y efectivo para evaluar la materialidad de un incidente, lo que subraya la importancia de la preparación y agilidad cibernética en los mercados públicos de hoy..

Influencia pública notable

Como parte del desarrollo de la regla final, la SEC recibió numerosos comentarios públicos sobre varias enmiendas propuestas. Aquí están las enmiendas que fueron notablemente influenciadas por el público.

  1. Impactos materiales futuros: algunos comentaristas encontraron que el requisito propuesto de divulgar “cualquier impacto futuro material potencial” es vago y difícil de aplicar. Instaron a que se elimine o se revise. La regla final consideró estos comentarios, con el objetivo de proporcionar una guía más precisa.
  2. Progreso en la remediación: los comentaristas expresaron su preocupación sobre el requisito de divulgar el progreso en la remediación y señalaron que dicha información podría exponerlos a más ataques. Algunos sugirieron que no se deberían requerir actualizaciones hasta que la remediación esté lo suficientemente completa. Estos comentarios fueron considerados en la regla final, conduciendo a modificaciones en los requisitos de divulgación.
  3. Cambios en las Políticas y Procedimientos: Algunos comentaristas sintieron que el requisito de revelar los cambios en las políticas y procedimientos era innecesario y demasiado amplio. Un comentarista sugirió reducir el requisito a “cambios materiales”. La regla final consideró estos comentarios, lo que resultó en un enfoque más simplificado para los requisitos de divulgación.
  4. Diferenciar las actualizaciones: los comentaristas buscaron aclaraciones sobre cómo determinar las instancias en las que las actualizaciones deben incluirse en los informes periódicos de los casos en los que las actualizaciones deben presentarse en el Formulario 8-K; la regla final tenía como objetivo proporcionar una guía más explícita en respuesta a estos comentarios.
  5. Compañías de informes más pequeñas: La regla final también consideró los comentarios relacionados con las compañías de informes más pequeñas. En respuesta a los comentarios planteados por los comentaristas, la SEC adoptó una fecha de cumplimiento posterior para las empresas informantes más pequeñas.
  6. Requisitos de datos estructurados: La regla final también consideró comentarios relacionados con los requisitos de datos estructurados. Si bien los detalles de estos comentarios no se especifican en el texto extraído, está claro que la SEC consideró estos comentarios al formular la regla final.

Estos ejemplos demuestran cómo la SEC consideró los comentarios de los comentaristas públicos al formular la regla final, lo que llevó a modificaciones en varias áreas para abordar las preocupaciones de los comentarios.

Definición de materialidad

Determinar la materialidad de un incidente de ciberseguridad es un paso crítico en la respuesta a incidentes. La materialidad debe definirse en términos del impacto potencial del incidente en las operaciones, el desempeño financiero y la reputación de la empresa. Esto incluye impactos directos, como el costo de responder y recuperarse del incidente, e impactos indirectos, como el daño a la reputación de la empresa y las posibles consecuencias legales y reglamentarias.

El proceso para determinar la materialidad debe involucrar varios roles críticos dentro de la organización. El equipo de respuesta a incidentes debe identificar y evaluar el incidente, incluida la determinación de su alcance e impacto potencial. El director de seguridad de la información (CISO) debe supervisar este proceso y comunicar los detalles del incidente al equipo ejecutivo y al directorio. El asesor legal principal debe asesorar sobre las implicaciones legales del incidente, incluidas las posibles violaciones de las leyes o reglamentos y los posibles riesgos de litigio.

El equipo ejecutivo y la junta deben tomar la determinación final de materialidad en función de la información proporcionada por el equipo de respuesta a incidentes, el CISO y el asesor legal principal. Deben considerar el impacto potencial del incidente en los planes estratégicos, el desempeño financiero y la reputación de la empresa.

Críticas y Sugerencias de Mejora

Si bien la nueva regla final representa un importante paso adelante en el enfoque de divulgación de seguridad cibernética de la SEC, tiene deficiencias. Una posible crítica es que la regla puede no ir lo suficientemente lejos como para exigir a las empresas que divulguen detalles específicos sobre sus prácticas de gestión de riesgos de ciberseguridad. Por ejemplo, la regla requiere que las empresas divulguen si tienen un programa de evaluación de riesgos de seguridad cibernética. Aun así, no les obliga a revelar detalles específicos sobre el programa, como las metodologías utilizadas o la frecuencia de las evaluaciones.

Otra posible crítica es que es posible que la regla deba proporcionar más orientación para determinar la materialidad de un incidente de seguridad cibernética. La regla establece que las empresas deben divulgar los incidentes de seguridad cibernética importantes con prontitud, pero no brinda criterios específicos para determinar la materialidad. Esto podría conducir a divulgaciones inconsistentes y dificultar que los inversores comparen los riesgos e incidentes de ciberseguridad de las empresas.

Para abordar estas deficiencias, la SEC podría proporcionar una guía más detallada sobre lo que las empresas deben incluir en sus divulgaciones sobre sus prácticas de gestión de riesgos de seguridad cibernética. La SEC también podría considerar proporcionar criterios más específicos para determinar la materialidad de un incidente de seguridad cibernética, como umbrales basados ​​en el impacto financiero potencial del incidente o la cantidad de personas afectadas.

Matices y su interpretación

La nueva regla final contiene varios matices que las empresas deben tener en cuenta. Uno de esos matices es el énfasis en el papel de la junta en la supervisión de la gestión de riesgos de ciberseguridad. Esto representa un cambio con respecto a la orientación anterior centrada principalmente en la gestión de la empresa. Según la nueva regla, se espera que la junta desempeñe un papel activo en la comprensión de los riesgos de ciberseguridad de la empresa y las medidas implementadas para gestionar esos riesgos. Esto incluye recibir actualizaciones periódicas sobre los riesgos e incidentes de ciberseguridad de la empresa y comprender cómo estos riesgos se integran en la estrategia comercial y la planificación financiera de la empresa.

Otro es el requisito de revelar si los incidentes de seguridad cibernética anteriores han informado cambios, políticas, procedimientos o tecnologías de gobierno de la empresa. Este requisito reconoce que la ciberseguridad no es un campo estático y que las empresas deben aprender continuamente de sus experiencias y adaptar sus prácticas en consecuencia.

Un tercer matiz es el requisito de revelar el uso que hace la empresa de proveedores de servicios externos para gestionar los riesgos de ciberseguridad. Este requisito reconoce el papel importante que suelen desempeñar los proveedores de servicios externos en la gestión de riesgos de ciberseguridad de una empresa y los riesgos potenciales asociados con estos proveedores.

Evolución de los programas de gestión de riesgos cibernéticos

La mayoría de las empresas públicas ya cuentan con algún nivel de gestión del riesgo cibernético. Sin embargo, la nueva regla final probablemente impulsará cambios significativos en estos programas. Las empresas deberán asegurarse de que sus programas puedan identificar y gestionar los riesgos materiales de ciberseguridad y contar con procesos para divulgar estos riesgos con prontitud.

Las empresas también deben asegurarse de que sus directorios supervisen activamente los programas de gestión de riesgos cibernéticos. Esto puede requerir brindar capacitación adicional (como la que brinda NACD) a los miembros de la junta para garantizar que comprendan los riesgos de seguridad cibernética de la empresa y las medidas para administrarlos.

Finalmente, las empresas deben asegurarse de que sus programas de gestión de riesgos cibernéticos estén integrados con su estrategia comercial y planificación financiera. Esto puede requerir una colaboración más estrecha entre el equipo de seguridad cibernética de la empresa, la dirección ejecutiva y la junta directiva.

Consejos prácticos para juntas, ejecutivos y equipos de respuesta a incidentes

Para las juntas, la nueva regla final subraya la importancia de la participación activa en la supervisión de la gestión de riesgos de seguridad cibernética de la empresa. Las juntas deben recibir actualizaciones periódicas sobre los riesgos e incidentes de seguridad cibernética de la empresa y comprender cómo se integran en su estrategia comercial y planificación financiera.

Para los ejecutivos, la nueva regla final enfatiza la importancia de comprender los riesgos de seguridad cibernética de la empresa y las medidas implementadas para administrar esos riesgos. Los ejecutivos deben trabajar en estrecha colaboración con el equipo de ciberseguridad de la empresa para garantizar que el programa de gestión de riesgos cibernéticos de la empresa sea efectivo y que los riesgos e incidentes de ciberseguridad materiales se divulguen con prontitud.

Para los equipos de respuesta a incidentes, la nueva regla final destaca la importancia de identificar y evaluar rápidamente los incidentes de seguridad cibernética. Los equipos deben tener procesos implementados para brindar liderazgo y asesoramiento con información suficiente para decidir sobre la materialidad de un incidente y divulgar rápidamente el incidente si es material.

Implicaciones para el futuro

Es probable que la nueva regla final tenga implicaciones significativas para las empresas públicas y previas a la OPI. Para las empresas públicas, la regla probablemente impulsará cambios en sus programas de gestión de riesgos cibernéticos y su enfoque para divulgar riesgos e incidentes de seguridad cibernética. Para las empresas previas a la salida a bolsa, la regla puede influir en su decisión de cotizar en bolsa, ya que deben asegurarse de tener programas sólidos de gestión de riesgos cibernéticos y estar preparados para cumplir con los requisitos de divulgación.

La nueva regla también puede influir en otros reguladores y organismos de establecimiento de estándares en los EE. UU. e internacionalmente. Podría dar lugar a requisitos de divulgación más coherentes y completos para los riesgos e incidentes de ciberseguridad, lo que beneficiaría a empresas e inversores.

Correlaciones con otros requisitos de notificación de incidentes

Muchas empresas públicas están sujetas a otros requisitos de informes de incidentes, como los impuestos por North American Electric Reliability Corporation (NERC), la Ley Gramm-Leach-Bliley de la Comisión Federal de Comercio (FTC GLBA) y la Administración de Seguridad del Transporte (TSA). La nueva regla final es consistente con estos requisitos, y enfatiza la divulgación inmediata de incidentes materiales de seguridad cibernética.

Las empresas podrían crear eficiencias alineando sus procesos para cumplir con estos requisitos. Por ejemplo, podrían establecer un equipo de respuesta a incidentes centralizado responsable de identificar y evaluar los incidentes de seguridad cibernética y determinar qué incidentes deben informarse bajo qué requisitos. También podrían usar un sistema único para rastrear y reportar incidentes de seguridad cibernética, lo que podría ayudar a garantizar divulgaciones consistentes y oportunas.

Conclusión

La nueva regla final representa una evolución significativa en el enfoque de la SEC para la divulgación de seguridad cibernética. Proporciona requisitos más detallados para divulgar riesgos e incidentes de seguridad cibernética y enfatiza el papel de la junta en la supervisión de la gestión de riesgos de seguridad cibernética. Si bien la regla tiene deficiencias, representa un importante paso adelante en la promoción de la transparencia y la rendición de cuentas en la gestión de riesgos de ciberseguridad. Al comprender e implementar de manera efectiva la nueva regla, las empresas pueden cumplir con sus obligaciones regulatorias, mejorar su postura de seguridad cibernética y generar confianza con sus partes interesadas.

Apéndice A: Ejemplo de informe 8-k

Aquí hay un ejemplo simplificado de cómo se puede completar un Formulario 8-K en respuesta a un incidente de seguridad cibernética bajo el nuevo Artículo 1.05

COMISIÓN DE BOLSA Y VALORES DE LOS ESTADOS UNIDOS

Washington, DC 20549

FORMULARIO 8-K

INFORME ACTUAL

De conformidad con la Sección 13 o 15 (d) de la Ley de Bolsa de Valores de 1934

Fecha del informe (fecha del primer evento informado): 28 de julio de 2023

Corporación XYZ

(Nombre exacto del registrante como se especifica en sus estatutos)

Artículo 1.05. Incidente Relevante de Ciberseguridad.

El 28 de julio de 2023, XYZ Corporation (la “Compañía”) identificó un incidente de ciberseguridad material que resultó en el acceso no autorizado a los sistemas internos de la Compañía. El Equipo de Respuesta a Incidentes de la Compañía detectó actividad inusual en la red e inmediatamente inició una investigación con la ayuda de expertos en seguridad cibernética externos.

La investigación está en curso. Pero en este momento, es posible que se haya accedido a algunos datos de clientes, incluidos nombres y direcciones de correo electrónico. No hay evidencia en este momento de que se haya accedido a información financiera o números de seguro social.

La empresa ha tomado medidas inmediatas para contener el incidente y está trabajando en estrecha colaboración con expertos en seguridad cibernética para proteger aún más sus sistemas. La Compañía también ha notificado a la policía y cooperará plenamente con cualquier investigación.

La Compañía está en proceso de notificar a los clientes potencialmente afectados y les ofrecerá servicios de monitoreo de crédito sin cargo.

La Compañía aún está evaluando el impacto financiero del incidente, pero podría ser material. La Compañía tiene un seguro de ciberseguridad y está en proceso de hacer un reclamo.

La Junta Directiva y la gerencia ejecutiva de la Compañía están supervisando activamente la respuesta al incidente y han contratado asesores legales externos para asesorar sobre la divulgación y otras obligaciones legales.

La Compañía proporcionará más actualizaciones a medida que haya más información disponible y según se justifique.

FIRMA

De conformidad con los requisitos de la Ley de Bolsa de Valores de 1934, el registrante ha hecho que este informe sea firmado en su nombre por el abajo firmante debidamente autorizado.

CORPORACIÓN XYZ

Por: /f/ Jane Doe

fulano de tal

Director ejecutivo

Fecha: 29 de julio de 2023

Apéndice B: Ejemplo de informe 8-k a través de XBRL

Este es un ejemplo detallado de cómo se podría representar un incidente de ciberseguridad en formato XBRL (también está disponible como resumen en GitHub).