Las consideraciones ambientales, sociales y de gobierno (ESG) no son temas nuevos cuando se trata de informes de cumplimiento para empresas de servicios financieros, pero el impacto de las infracciones de seguridad cibernética en el componente de gobierno pronto adquirirá un perfil mucho más alto para las organizaciones financieras y no financieras por igual. . Ya sea que aborden los problemas de privacidad, las pérdidas financieras del ransomware o la continuidad del negocio desde una perspectiva de gobierno, las amenazas cibernéticas están poniendo las discusiones de ESG al frente de las reuniones de la junta y las discusiones de C-suite en todo el mundo.
Los cambios en los informes que enfrentan las empresas de EE. UU. podrían expandirse significativamente debido a los recientes modificaciones de reglas del presidente de la Comisión de Bolsa y Valores, Gary Gensler. Los requisitos de informes de gobierno de seguridad cibernética similares a los de auditoría e informes financieros que se encuentran en la Ley Sarbanes-Oxley de 2002 (SOX) serían un componente clave de las nuevas regulaciones.
Los requisitos de gobernanza de SOX se centran en ayudar a proteger a los inversores de los informes financieros fraudulentos de las corporaciones, mientras que la gobernanza de la seguridad cibernética está diseñada para mejorar los informes sobre infracciones cibernéticas nuevas y pasadas. Las políticas y procedimientos de gobierno corporativo, riesgo y cumplimiento (GRC) existentes no serán suficientes para abordar estas reglas.
Alla Valente, analista sénior de Forrester, caracteriza las modificaciones propuestas a la regulación de la SEC como "Sarbanes-Oxley light". Las normas propuestas establecen que las empresas deben informar materiales incidentes de seguridad cibernética dentro de los cuatro días posteriores a la identificación, señala. El problema es que el “material” no está definido y varía según la industria, por lo que las empresas se quedan adivinando cuándo comienza el reloj para reportar incidentes. Esto podría conducir tanto a un informe excesivo como a un informe insuficiente de incidentes cibernéticos, dice ella.
La presión impulsa las medidas de ciberseguridad
Cumplir con las reglas propuestas también podría tener un impacto directo en la capacidad de una empresa para obtener un seguro cibernético, señala Valente. A pesar de la corriente caos en el mercado de seguros cibernéticos que está elevando los precios y reduciendo la cobertura mientras que las aseguradoras cibernéticas reducen el inventario, estos cambios en las reglas pueden aumentar aún más la presión sobre las empresas para que implementen controles de seguridad cibernética que de otro modo no habrían instituido en este momento. También requeriría mucha más información sobre infracciones pasadas y cómo se gestionan y mitigan.
“El nuevo rol de la administración en la presentación de informes y el cibergobierno, y la nueva responsabilidad de las juntas directivas de arrojar luz sobre su experiencia y supervisión, generarán un escrutinio adicional en los programas de seguridad empresarial”, dice Jason Hicks, CISO de campo en la firma consultora de ciberseguridad Coalfire.
“Esto pone al CISO en el banquillo”, continúa. “También es probable que impulse a las juntas directivas a intentar agregar ejecutivos con experiencia en seguridad cibernética a su equipo. Dada la pequeña cantidad de personas calificadas disponibles, también pude ver juntas contratando a sus propios consultores para asesorarlos sobre el riesgo de seguridad cibernética y la adecuación del programa de seguridad de la empresa.
“Todas estas áreas deberán tenerse en cuenta en la parte de gobernanza de su enfoque ESG”, agrega Hicks. “La gerencia ya es responsable de administrar el riesgo de seguridad cibernética, por lo que esto no está creando una clase de responsabilidad completamente nueva, aunque está realizando varios cambios en la carga y la complejidad”.
Las transnacionales toman la iniciativa
Hicks señala que la forma en que las organizaciones ven la transparencia y las normas culturales de los entornos operativos de una empresa pueden influir en cómo responden. “Las multinacionales necesitan equilibrar su enfoque dados los diferentes enfoques a nivel mundial”.
Valente está de acuerdo. Los europeos tienden a ser más proactivos en la defensa contra las filtraciones de datos que las empresas estadounidenses. El cambio de reglas podría obligar a las organizaciones nacionales a ser más proactivas, particularmente cuando se trata de la gestión de riesgos de terceros, un control de seguridad clave.
“Una vez que esto sea definitivo, veremos un esfuerzo por ser proactivos. Algunas [organizaciones] seguirán la letra de la ley y podrían tener éxito a corto plazo, pero marginalmente”, dice Valente. “Otros seguirán el espíritu de la ley y lo usarán como un medio para mejorar, diversificar y hacer que la gestión proactiva de riesgos [de terceros] sea parte de lo que son. Estará arraigado en su ADN corporativo. Esas son las organizaciones que realmente van a prosperar con esto”.
Las empresas pueden empezar
Steven Yadegari, director ejecutivo de la firma de consultoría de inversiones FiSolve y ex asesor general de la firma de abogados Cramer Rosenthal McGlynn, dice que los miembros de la junta buscarán informes específicos sobre seguridad cibernética. Esto incluirá informes trimestrales centrados en la seguridad cibernética y reuniones con personas encargadas de supervisar el área, como el CISO, que lidera el esfuerzo.
“Las nuevas reglas requerirían evaluaciones de riesgo formales, controles específicos, medidas de monitoreo y un sistema de reporte de incidentes. En la medida en que algunas de estas áreas no se aborden en los programas existentes, las juntas querrán entender cómo los gerentes pretenden cumplir con estos requisitos potenciales. Esas conversaciones deberían estar en marcha y no deberían esperar la adopción de nuevas reglas”, dice Yadegari.
Muchas empresas en la actualidad gestionan con más cuidado a sus proveedores y supervisan sus políticas y procedimientos, señala. Esto es particularmente cierto en el caso de los proveedores y proveedores de servicios externos que podrían tener contacto con la información confidencial de una empresa.
“Le corresponde a las empresas asegurarse de que cuentan con un sólido programa de ciberseguridad y un programa de gestión de riesgos de terceros (TPRM), que a su vez brindará comodidad a las empresas que confían en sus servicios”, dice Yadegari.
Si bien el lenguaje final de los cambios propuestos a la regla de la SEC aún no se ha hecho público, el lenguaje propuesto se puede encontrar esta página.
- blockchain
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- Lectura oscura
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Kaspersky
- el malware
- Mcafee
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- VPN
- seguridad del sitio web
