Las normas de divulgación de ciberseguridad tienen un año de antigüedad, pero aún quedan preguntas para muchas organizaciones
Las normas de divulgación de información sobre seguridad cibernética de la SEC cumplieron recientemente un año, pero muchas organizaciones aún tienen dudas sobre su cumplimiento. Bill McLaughlin, presidente de Thrive, un proveedor de servicios gestionados, analiza algunos de los problemas que persisten.
Ha transcurrido aproximadamente un año desde que la SEC promulgó su mandato de divulgación de ciberseguridad , que requiere la divulgación de cualquier violación material de ciberseguridad en el formulario 8-K , ítem 1.05, así como adiciones específicas de ciberseguridad a la presentación anual del 10-K de las empresas.
Es posible que las empresas aún estén lidiando con preguntas en torno a las nuevas reglas y procesos necesarios para cumplir con los requisitos de la SEC.
Plazo de 4 días
El formulario 8-K debe presentarse dentro de los cuatro días hábiles posteriores a la ocurrencia de un incidente de ciberseguridad, a partir del primer día hábil posterior a la identificación del incidente (también llamado Día Uno). Las empresas deben tomar nota de lo que se dice aquí: son cuatro días después de que se identificó el incidente , no después de que ocurrió el incidente. Ese matiz y el estrecho margen de tiempo pueden hacer que una empresa cumpla con las normas o que no las cumpla.
Sin embargo, y como señalan muchas empresas, cuatro días pueden no ser suficientes para determinar si se produjo un incidente de ciberseguridad, y mucho menos si se considera "material" o no. El formulario 8-K obligatorio y los informes continuos documentan la causa de cualquier infracción, sus resoluciones y los impactos corporativos. La SEC reconoce que es posible que las empresas no puedan determinar la materialidad con tanta rapidez y señala que, si no hay una demora irrazonable en la presentación de informes, puede haber cierto margen de maniobra.
¿Qué constituye la materialidad?
Según las directrices de la SEC, “material” se define como cualquier evento que una persona razonable consideraría importante al tomar una decisión de inversión. Se podría pensar que el acceso a la información financiera es el único evento digno de mención. Sin embargo, cualquier evento cibernético que pueda afectar la capacidad de una empresa para funcionar correctamente se considera un evento material y, más allá del impacto financiero, podría incluir:
Impacto operativo, o interrupciones o tiempos de inactividad en las operaciones comerciales, incluida la imposibilidad de acceder a sistemas críticos, pérdida de datos e interrupción de servicios.
Impacto reputacional, o cómo un incidente podría afectar la imagen de marca entre los consumidores o compradores clave.
Implicaciones legales y regulatorias, o si su empresa no cumplía con los requisitos de la industria o geográficos.
Impacto en los clientes y las partes interesadas, o si los datos pertenecientes a consumidores, socios, etc. se vieron comprometidos como resultado del incidente.
Las infracciones cibernéticas tienen consecuencias significativamente mayores para los resultados finales que hace apenas cinco años. El daño se propaga a velocidades alarmantes, lo que genera costos significativos. Debido a los requisitos de notificación, las infracciones ahora son de conocimiento público y tienen un impacto duradero. Los informes deben incluir información sobre el incidente, la respuesta y el impacto/efecto. Cada uno de ellos debe actualizarse durante el triaje y durante la resolución.
¿Qué se informa en los formularios 8-K y 10-K?
Es importante tener en cuenta la diferencia entre los formularios 8-K y 10-K y el nivel de detalle requerido:
Al informar un incidente de ciberseguridad en el ítem 1.05 del Formulario 8-K, se deben documentar los detalles de lo sucedido, incluido el alcance, el momento y el impacto material en la empresa.
El informe 10-K incluye una descripción completa de la actividad financiera de la empresa durante un año fiscal, incluidos riesgos , pasivos, operaciones, acuerdos y más.
En pocas palabras, las empresas públicas deben presentar un informe 10-K todos los años a la SEC, mientras que presentan un formulario 8-K solo después de que se haya producido un incidente. Ambas deberían pecar de exceso de detalle para cumplir con los requisitos en lugar de retener información.
Los eventos notificables deben ser certificados por la junta
La SEC exige que las empresas informen sobre cada infracción significativa para ayudar a los inversores a identificar posibles problemas. Los incidentes materiales incluyen infracciones, acceso o uso no autorizado de datos, manipulación de datos, exfiltración de datos, malware, eventos que contribuyen a daños financieros o a los datos, conducen a la pérdida de ventas o confianza, eventos que dañan la reputación y más. Todos ellos son denunciables.
Si ocurre un incidente que no se informa, pero luego se determina que es "material", comienza a contar el período de cuatro días para que se informe. El informe inicial proporciona un resumen del incidente. Se archivará la información de seguimiento, incluida la respuesta al incidente, la resolución, los impactos, etc. Los incidentes se informan en EDGAR, el sistema electrónico de recopilación, análisis y recuperación de datos de la SEC, independientemente del progreso de la resolución.
El informe inicial y todas las actualizaciones tienen los mismos requisitos de certificación de la junta que otros informes de la SEC. Esto impone a la junta la responsabilidad de tener conocimientos o habilidades en materia de ciberseguridad, ya que los miembros de la junta deben:
Si bien no es un requisito tener un director de seguridad de la información (CISO) en una presentación 10-K, las empresas están avanzando en la dirección de tener miembros de la junta con conocimientos cibernéticos para cumplir con la regla del "rol de la gerencia". Sin embargo, no es una tarea fácil abordar la responsabilidad de seguridad. La cantidad de personal de seguridad, educación, capacitación y recursos internos para lograr la supervisión de un CISO a nivel de la junta es abrumadora para muchas empresas.
Para lograr este nivel de experiencia, a la vez que se gestionan presupuestos y se complementan los recursos internos, muchas organizaciones han recurrido a los CISO virtuales (vCISO). Si bien no es un requisito, tener un CISO o un vCISO al mando puede garantizar que las iniciativas de ciberseguridad se tomen en serio y se implementen realmente, que el cumplimiento sea una prioridad para la norma de la SEC y otros requisitos específicos de la industria o la geografía, y que la empresa mejore su postura cibernética con el tiempo para mejorar la resiliencia empresarial.
Fuente:corporatecomplianceinsights.com
En Intedya, como líderes en consultoría y formación sobre estándares internacionales, comprendemos la importancia de implementar sistemas que aseguren condiciones laborales éticas y justas. Uno de los ...
Las normas de divulgación de ciberseguridad tienen un año de antigüedad, pero aún quedan preguntas para muchas organizaciones Las normas de divulgación de información sobre seguridad cibernética ...
La suspensión, que tendrá vigencia durante ocho meses a partir del 13 de septiembre de 2024, es una medida de precaución en respuesta a las preocupaciones sobre la ubicación de la concesión de gestión ...
La empresa de tecnología RepRisk anunció “Due Diligence Scores”, una nueva solución para identificar riesgos ESG específicos de la empresa. Las puntuaciones evalúan factores de riesgo específicos como ...
Las desigualdades en materia de seguridad alimentaria y nutrición, ya sea entre países o regiones o en el seno de países, comunidades y hogares, existen en todo el mundo y no hacen sino exacerbar las ...