Usamos cookies en nuestro sitio web para brindarte la experiencia más relevante recordando tus preferencias y visitas repetidas. Haz clic en "Aceptar todas las cookies" para disfrutar de esta web con todas las cookies, configura tus preferencias antes de aceptarlas, o utiliza el botón "Rechazar todas las cookies" para continuar sin aceptar.

Gestión de Cookies
Apuesta por el Desarrollo Competitivo.
 

Actualidad

Cómo abordar el mandato de presentación de informes 8-K de la SEC: desafíos de ciberseguridad y realidades de cumplimiento

>> 17 de Septiembre

Las normas de divulgación de ciberseguridad tienen un año de antigüedad, pero aún quedan preguntas para muchas organizaciones

Las normas de divulgación de información sobre seguridad cibernética de la SEC cumplieron recientemente un año, pero muchas organizaciones aún tienen dudas sobre su cumplimiento. Bill McLaughlin, presidente de Thrive, un proveedor de servicios gestionados, analiza algunos de los problemas que persisten.

Ha transcurrido aproximadamente un año desde que la SEC promulgó su mandato de divulgación de ciberseguridad , que requiere la divulgación de cualquier violación material de ciberseguridad en el formulario 8-K , ítem 1.05, así como adiciones específicas de ciberseguridad a la presentación anual del 10-K de las empresas.

Es posible que las empresas aún estén lidiando con preguntas en torno a las nuevas reglas y procesos necesarios para cumplir con los requisitos de la SEC.

 

Plazo de 4 días

El formulario 8-K debe presentarse dentro de los cuatro días hábiles posteriores a la ocurrencia de un incidente de ciberseguridad, a partir del primer día hábil posterior a la identificación del incidente (también llamado Día Uno). Las empresas deben tomar nota de lo que se dice aquí: son cuatro días después de que se identificó el incidente , no después de que ocurrió el incidente. Ese matiz y el estrecho margen de tiempo pueden hacer que una empresa cumpla con las normas o que no las cumpla.

Sin embargo, y como señalan muchas empresas, cuatro días pueden no ser suficientes para determinar si se produjo un incidente de ciberseguridad, y mucho menos si se considera "material" o no. El formulario 8-K obligatorio y los informes continuos documentan la causa de cualquier infracción, sus resoluciones y los impactos corporativos. La SEC reconoce que es posible que las empresas no puedan determinar la materialidad con tanta rapidez y señala que, si no hay una demora irrazonable en la presentación de informes, puede haber cierto margen de maniobra.

 

¿Qué constituye la materialidad?

Según las directrices de la SEC, “material” se define como cualquier evento que una persona razonable consideraría importante al tomar una decisión de inversión. Se podría pensar que el acceso a la información financiera es el único evento digno de mención. Sin embargo, cualquier evento cibernético que pueda afectar la capacidad de una empresa para funcionar correctamente se considera un evento material y, más allá del impacto financiero, podría incluir:

Impacto operativo, o interrupciones o tiempos de inactividad en las operaciones comerciales, incluida la imposibilidad de acceder a sistemas críticos, pérdida de datos e interrupción de servicios.

Impacto reputacional, o cómo un incidente podría afectar la imagen de marca entre los consumidores o compradores clave.

Implicaciones legales y regulatorias, o si su empresa no cumplía con los requisitos de la industria o geográficos.

Impacto en los clientes y las partes interesadas, o si los datos pertenecientes a consumidores, socios, etc. se vieron comprometidos como resultado del incidente.

Las infracciones cibernéticas tienen consecuencias significativamente mayores para los resultados finales que hace apenas cinco años. El daño se propaga a velocidades alarmantes, lo que genera costos significativos. Debido a los requisitos de notificación, las infracciones ahora son de conocimiento público y tienen un impacto duradero. Los informes deben incluir información sobre el incidente, la respuesta y el impacto/efecto. Cada uno de ellos debe actualizarse durante el triaje y durante la resolución.

 

¿Qué se informa en los formularios 8-K y 10-K?

Es importante tener en cuenta la diferencia entre los formularios 8-K y 10-K y el nivel de detalle requerido:

Al informar un incidente de ciberseguridad en el ítem 1.05 del Formulario 8-K, se deben documentar los detalles de lo sucedido, incluido el alcance, el momento y el impacto material en la empresa.

El informe 10-K incluye una descripción completa de la actividad financiera de la empresa durante un año fiscal, incluidos riesgos , pasivos, operaciones, acuerdos y más.

En pocas palabras, las empresas públicas deben presentar un informe 10-K todos los años a la SEC, mientras que presentan un formulario 8-K solo después de que se haya producido un incidente. Ambas deberían pecar de exceso de detalle para cumplir con los requisitos en lugar de retener información.

 

Los eventos notificables deben ser certificados por la junta

La SEC exige que las empresas informen sobre cada infracción significativa para ayudar a los inversores a identificar posibles problemas. Los incidentes materiales incluyen infracciones, acceso o uso no autorizado de datos, manipulación de datos, exfiltración de datos, malware, eventos que contribuyen a daños financieros o a los datos, conducen a la pérdida de ventas o confianza, eventos que dañan la reputación y más. Todos ellos son denunciables. 

Si ocurre un incidente que no se informa, pero luego se determina que es "material", comienza a contar el período de cuatro días para que se informe. El informe inicial proporciona un resumen del incidente. Se archivará la información de seguimiento, incluida la respuesta al incidente, la resolución, los impactos, etc. Los incidentes se informan en EDGAR, el sistema electrónico de recopilación, análisis y recuperación de datos de la SEC, independientemente del progreso de la resolución. 

El informe inicial y todas las actualizaciones tienen los mismos requisitos de certificación de la junta que otros informes de la SEC. Esto impone a la junta la responsabilidad de tener conocimientos o habilidades en materia de ciberseguridad, ya que los miembros de la junta deben:

  • Conozca más sobre el incidente
  • Saber que la información transmitida es verdadera y lo suficientemente precisa para su certificación.
  • Informar el nivel exacto de detalle para cada requisito como firmantes del informe.
  • Experiencia de la junta directiva

Si bien no es un requisito tener un director de seguridad de la información (CISO) en una presentación 10-K, las empresas están avanzando en la dirección de tener miembros de la junta con conocimientos cibernéticos para cumplir con la regla del "rol de la gerencia". Sin embargo, no es una tarea fácil abordar la responsabilidad de seguridad. La cantidad de personal de seguridad, educación, capacitación y recursos internos para lograr la supervisión de un CISO a nivel de la junta es abrumadora para muchas empresas.

Para lograr este nivel de experiencia, a la vez que se gestionan presupuestos y se complementan los recursos internos, muchas organizaciones han recurrido a los CISO virtuales (vCISO). Si bien no es un requisito, tener un CISO o un vCISO al mando puede garantizar que las iniciativas de ciberseguridad se tomen en serio y se implementen realmente, que el cumplimiento sea una prioridad para la norma de la SEC y otros requisitos específicos de la industria o la geografía, y que la empresa mejore su postura cibernética con el tiempo para mejorar la resiliencia empresarial.

 

Fuente:corporatecomplianceinsights.com

Más Actualidad

17/09/2024
Norma SA 8000: El Estándar Global para el Trabajo Decente en Revisión

En Intedya, como líderes en consultoría y formación sobre estándares internacionales, comprendemos la importancia de implementar sistemas que aseguren condiciones laborales éticas y justas. Uno de los ...

16/09/2024
Cómo abordar el mandato de presentación de informes 8-K de la SEC: desafíos de ciberseguridad y realidades de cumplimiento

Las normas de divulgación de ciberseguridad tienen un año de antigüedad, pero aún quedan preguntas para muchas organizaciones Las normas de divulgación de información sobre seguridad cibernética ...

17/09/2024
Suspensión provisional de la certificación del MCT

La suspensión, que tendrá vigencia durante ocho meses a partir del 13 de septiembre de 2024, es una medida de precaución en respuesta a las preocupaciones sobre la ubicación de la concesión de gestión ...

16/09/2024
Crean el primer rating de debida diligencia para inversores

La empresa de tecnología RepRisk anunció “Due Diligence Scores”, una nueva solución para identificar riesgos ESG específicos de la empresa. Las puntuaciones evalúan factores de riesgo específicos como ...

15/09/2024
Reducción de las desigualdades en favor de la seguridad alimentaria y la nutrición

Las desigualdades en materia de seguridad alimentaria y nutrición, ya sea entre países o regiones o en el seno de países, comunidades y hogares, existen en todo el mundo y no hacen sino exacerbar las ...

14/09/2024

Reconocimientos y participación

INCIBEUniversidad Europea Miguel de Cervantes. Cursos de Formación Permanente.StaregisterUNE Normalización EspañolaOganización Asociada a la WORLD COMPLIANCE ASSOCIATIONStandards Boost BusinessMiembros de ANSI (American National Standards Institute)Miembros de la Green Industry PlatformMiembros de la Asociación Española de la CalidadAdheridos al Pacto de LuxemburgoMiembros de la European Association for International Education