Normas de ciberseguridad de la SEC para las empresas públicas
Las nuevas normas de la SEC exigirán una rápida divulgación de los incidentes, informes claros sobre las políticas y procedimientos de gestión de riesgos cibernéticos y una participación más profunda a nivel del consejo de administración.
En julio de 2023, la Comisión de Bolsa y Valores de EE. UU. (SEC) emitió una nueva serie de normas de divulgación de ciberseguridad relacionadas con las empresas públicas en Estados Unidos. Estas normas están destinadas a ayudar a los inversores a tomar decisiones sobre dónde invertir proporcionando más información sobre la seriedad con la que una organización se toma los riesgos de ciberseguridad.
Las empresas que pueden dar detalles sobre su proceso de seguimiento del riesgo cibernético (por ejemplo, cómo crean y rastrean las puntuaciones de riesgo cibernético a lo largo del tiempo, a la vez que crean un proceso sencillo y repetible para informar y hacer partícipe a su consejo de administración de todo lo referente a los riesgos de seguridad cibernética) pueden diferenciarse a los ojos de los inversores.
La SEC intenta lograr un equilibrio entre las organizaciones que brindan suficientes datos para informar a los inversores sin "aumentar la vulnerabilidad de una empresa al ciberataque... para evitar exigir la divulgación de los tipos de detalles operativos que los actores de amenazas podrían utilizar como armas".
El Registro Federal muestra que las normas entraron en vigor el 5 de septiembre de 2023.
Nuevas normas clave de ciberseguridad de la SEC
Revise las nuevas normas con los líderes de seguridad, así como con los equipos de auditoría y finanzas que administran las presentaciones, para crear un proceso que cumpla con el plazo de cuatro días en el caso de un incidente significativo.
Asegúrese de que su empresa tenga un conocimiento potente sobre cómo determinar cuándo un evento de ciberseguridad alcanza el umbral de ser significativo.
Los líderes de seguridad deben redactar su descripción del proceso para comprender y evaluar el riesgo cibernético. Este puede incluir herramientas de riesgo cibernético, los riesgos que abordan esas herramientas (por ejemplo, superficie de ataque externa o riesgo de pérdida de datos) y los procesos que siguen sus equipos para mitigar los riesgos identificados.
Los líderes de seguridad y auditoría deben trabajar con la junta directiva para crear un proceso, si aún no hay uno, sobre cómo piensa el consejo supervisar el riesgo cibernético. Este puede incluir hacer de la ciberseguridad un tema recurrente en las revisiones trimestrales para examinar las puntuaciones de riesgo, los factores clave del riesgo, las acciones de mitigación y las inversiones necesarias.
Los líderes de seguridad deben identificar y hablar con los miembros del consejo con experiencia en ciberseguridad para que contribuyan a los documentos anuales e informativos que se deben presentar.
Risk360: cómo ve Zscaler el riesgo cibernético
Zscaler Risk360™ es un marco de riesgo integral y procesable que ofrece una poderosa cuantificación del riesgo cibernético al incorporar datos reales del entorno Zscaler de una organización. Risk360 ofrece visualizaciones intuitivas, detalles de exposición financiera e informes listos para presentar al consejo, junto con información detallada y procesable sobre riesgos de seguridad para usar de inmediato a fin de mitigarlos.
Risk360 mide el riesgo cibernético en áreas clave de la cadena de ataque:
Risk360
Dé el paso siguiente
Deje que nuestros expertos le muestren cómo Zscaler Risk360 minimiza la superficie de ataque de su organización, previene el movimiento lateral y anula el riesgo de pérdida de datos.