Propuesta de norma de la SEC para normalizar la información sobre ciberseguridad

La Comisión del Mercado de Valores de Estados Unidos (SEC) emitió el 9 de marzo de 2022 un Regla propuesta y Comunicado de prensa para mejorar y normalizar la información relativa a la gestión de riesgos de ciberseguridad, la estrategia, la gobernanza y la notificación de incidentes de ciberseguridad por parte de las empresas públicas. Hay un plazo de 60 días para presentar comentarios, así que si le apasiona este tema, no dude en hacerlo siguiendo las instrucciones de la norma propuesta. Este artículo resume la Norma Propuesta, junto con los comentarios del Presidente de la SEC, Gary Gensler, a favor, y del Comisario Hester Pierce, en contra. También explora la evolución y la práctica de las actuales normas de información de la SEC que respaldan la Ley Sarbanes – Oxley de 2002 (SOX) y el COSO Control Interno – Marco Integrado, así como las prácticas empresariales y de gobernanza encaminadas a respaldar dicho esfuerzo.

Puntos clave de las normas propuestas por la SEC

La SEC ha publicado históricamente una serie de observaciones y orientaciones sobre la divulgación de información relativa a la ciberseguridad con el fin de mejorar la transparencia general de las políticas y procedimientos de ciberseguridad para reforzar la capacidad de los inversores de evaluar las prácticas de ciberseguridad y la notificación de incidentes. Estos esfuerzos mejoran la capacidad del público para determinar el riesgo de las inversiones, especialmente desde que el análisis de datos corporativos, los controles internos de TI y las operaciones de red interconectadas entre la dirección, los clientes y los proveedores han adquirido cada vez más importancia en las prácticas empresariales actuales. Las graves violaciones de datos que han sido noticia en la última década demuestran que la ciberseguridad es un riesgo emergente con un fuerte potencial y amplios perjuicios económicos. A pesar de las importantes lecciones aprendidas, a menudo nos enteramos de una nueva brecha importante o de una acción de amenaza, que en muchas situaciones demuestran que la dirección de la empresa tenía insuficientes revisiones de control interno y prácticas de higiene de ciberseguridad. Estas normas, y los crecientes llamamientos a una gobernanza obligatoria por parte del gobierno, se hacen eco de la evolución y la legislación en materia de prácticas de información y gobernanza SOX.

Los puntos clave de la norma propuesta se recogen en un discurso pronunciado el 9 de marzo de 2022 por el presidente de la SEC, Gary Gensler (Intervención del presidente Gensler). El presidente Gensler afirma: La publicación de hoy mejoraría las divulgaciones de ciberseguridad de los emisores de dos maneras clave:

  • En primer lugar, exigiría la divulgación obligatoria y continua de información sobre la gobernanza, la gestión de riesgos y la estrategia de las empresas con respecto a los riesgos de ciberseguridad. Esto permitiría a los inversores evaluar estos riesgos con mayor eficacia. Por ejemplo, según las normas propuestas, las empresas revelarían información como:
    • el papel de la dirección y del consejo y la supervisión de los riesgos de ciberseguridad;
  • En segundo lugar, exigiría la notificación obligatoria de incidentes materiales de ciberseguridad. Esto es fundamental porque los incidentes importantes de ciberseguridad podrían afectar a la toma de decisiones de los inversores.

Las normas específicas propuestas incluyen:

  • La violación grave de datos debe hacerse pública en un plazo de 4 días
  • Informes más detallados sobre el ataque, especialmente sobre la naturaleza de los datos violados o bloqueados por el ransomware.
  • Mejora de los archivos periódicos SEC 8-K relativos a:
    • Gestión de riesgos cibernéticos
  • Pide normas de divulgación coherentes, comparables y útiles para las decisiones de los inversores (como la legislación SOX)
    • Declaración del papel de la dirección & experiencia en la evaluación y gestión de los riesgos de ciberseguridad, así como en la aplicación de políticas y procedimientos de ciberseguridad (como la Requisito de informe anual de la dirección sobre el control interno de la información financiera)

El 9 de marzo de 2022, la Comisaria de la SEC Hester Peirce ofreció una declaración y una perspectiva discrepantes a la Norma Propuesta (Discurso del Comisario Peirce). El Comisario Peirce afirma: Nuestro papel con respecto a las actividades de las empresas públicas, de ciberseguridad o de otro tipo, es limitado. La Comisión regula las divulgaciones de las empresas públicas; no regula las actividades de las empresas públicas. Las empresas registran la oferta y venta, y las clases de valores con la Comisión; ellas mismas no están registradas con nosotros, y no tenemos la misma autoridad sobre las empresas públicas que sobre los asesores de inversión, los agentes de bolsa u otras entidades registradas. La propuesta, aunque redactada en un lenguaje de divulgación estándar, orienta a las empresas de forma sustancial, aunque algo sutil.

  • En primer lugar, los requisitos de información sobre gobernanza suponen una microgestión sin precedentes por parte de la Comisión de la composición y el funcionamiento tanto de los consejos de administración como de la dirección de las empresas públicas. La propuesta requiere que los emisores revelen el nombre de cualquier miembro del consejo que tenga experiencia en ciberseguridad y tantos detalles como sea necesario para describir completamente la naturaleza de la experiencia.
  • En segundo lugar, la propuesta exige a los emisores que revelen si tienen un jefe de seguridad de la información, su experiencia pertinente y su lugar en el organigrama. En tercer lugar, la propuesta exige información detallada sobre las interacciones de la dirección y el consejo de administración en materia de ciberseguridad, incluida la frecuencia con la que el consejo considera el tema y la frecuencia con la que los expertos pertinentes del consejo y la dirección debaten el tema.
  • En tercer lugar, la propuesta exige información detallada sobre las interacciones de la dirección y el consejo de administración en materia de ciberseguridad, incluida la frecuencia con la que el consejo considera el tema y la frecuencia con la que los expertos pertinentes del consejo y la dirección debaten el tema.

El Comisario Peirce continúa utilizando el análogo de la Norma Propuesta al requisito de divulgación SOX relativo a los expertos financieros del comité de auditoría diciendo que El Congreso ordenó esa incursión en el gobierno corporativo, que, al menos, estaba directamente relacionada con la fiabilidad de los estados financieros en el corazón de nuestro sistema de divulgación. Esta vez vamos un paso más allá al exigir información detallada sobre los conocimientos especializados de los consejeros y empleados que no sean necesariamente directivos o empleados significativos, y sobre la frecuencia de las interacciones entre el consejo y la dirección sobre un tema específico..

El discurso del Comisario Peirce deja claro que la integración de la experiencia en ciberseguridad en la toma de decisiones de las empresas es probablemente una decisión empresarial prudente; sin embargo, la emisión de tales normas por la SEC sin la legislación de apoyo adecuada (como SOX) no está dentro del mandato de gobierno de la SEC. Señala además que la norma propuesta de 4 días para la notificación de incidentes de violación material también podría tener consecuencias imprevistas relacionadas con la interferencia con las actividades de aplicación de la ley y causar potencialmente pérdidas adicionales.

La analogía y evolución de las normas y prácticas de ciberseguridad es similar al desarrollo de los controles internos corporativos y la gobernanza relacionada. El Comité de Organizaciones Patrocinadoras (COSO) de la Comisión Treadway desarrolló el COSO original Control Interno – Marco Integrado en 1992, y fue revisado en 2013. A pesar de su amplitud a la hora de respaldar prácticas sólidas de control interno en las empresas, realmente no se generalizó su aplicación hasta que el Congreso aprobó la SOX. La legislación SOX sentó las bases de las prácticas de gobierno específicas y de la divulgación de los estados financieros, exigiendo a la dirección la adopción de sólidas prácticas de control interno para garantizar la fiabilidad de la información de sus estados financieros. La tergiversación de tales prácticas podría llevar a los ejecutivos a ser procesados en virtud de la legislación federal estadounidense y a enfrentarse a multas significativas y posible encarcelamiento.

Cumpliendo con el espíritu de COSO Control Interno – Marco Integrado implica hacer referencia a un conjunto de políticas y procesos (es decir, «controles»). Del mismo modo, un «programa de gestión de riesgos de ciberseguridad» (CRMP) es un conjunto de políticas, procesos y actividades de control que la dirección pone en marcha para proteger la información y los sistemas frente a eventos de seguridad que podrían comprometer la consecución de los objetivos. Un CRMP define la hoja de ruta para detectar, responder, mitigar y recuperarse a tiempo de los incidentes de seguridad.

SOC para ciberseguridad

En un enfoque similar para mejorar la higiene de la ciberseguridad y la gobernanza de la presentación de informes, el Instituto Americano de Contadores Públicos Certificados (AICPA) creó un marco de presentación de informes de gestión de riesgos de ciberseguridad, «Systems and Organizational Controls for Cybersecurity» (SOC de Ciberseguridad) en 2017. Está orientado a inversores, banqueros, directivos, miembros del consejo de administración y otras partes interesadas para proporcionar una opinión independiente de una empresa auditora e informar sobre las prácticas generales de ciberseguridad de la organización. Al igual que un auditor opina sobre el trabajo del director financiero, el interventor y otros responsables de la empresa, el informe SOC sobre ciberseguridad incluye una opinión sobre el trabajo del director de información y los expertos en seguridad de la empresa. El informe SOC de Ciberseguridad detalla las prácticas de gestión de riesgos de ciberseguridad de una organización y los procesos y controles implantados para gestionar un ataque de ciberseguridad.

Pocas organizaciones han realizado un examen SOC de Ciberseguridadn[1] , probablemente porque son voluntarios, ya que no existe legislación que exija dichos informes. Esto puede cambiar con el tiempo, ya que los riesgos cibernéticos siguen aumentando sin fin a la vista. Muchas de las infracciones del pasado y las pérdidas resultantes se debieron a la laxitud de los controles generales de TI y de la supervisión de la gestión, así como a no ser plenamente conscientes de los riesgos cibernéticos. Por ejemplo, la filtración de datos de 2021 y el cierre de las operaciones del oleoducto en Colonial Pipeline fue el resultado de una conexión VPN «olvidada» y no supervisada ni actualizada según las normas de cifrado actuales. Literalmente, su puerta trasera quedó abierta. Un escaneo independiente y periódico de su red probablemente habría puesto de manifiesto esta deficiencia. Identificar y corregir estas deficiencias es el objetivo del proceso SOC de Ciberseguridad.

El reciente endurecimiento del mercado de seguros para hacer frente a los riesgos de ciberseguridad es en parte el resultado de la suscripción previa de coberturas de seguros sin pruebas claras de controles adecuados. En muchos casos, el agente o corredor facilitaba una lista de comprobación de ciberriesgos al gestor de riesgos de la empresa, que a su vez encargaba a su departamento informático que cumplimentara por sí mismo la presentación al suscriptor de la compañía de seguros. Sin una evaluación independiente, que muchas aseguradoras exigirían para la cobertura de un edificio físico o inventario, no comprendían realmente los riesgos que estaban cubriendo. Hoy en día, la cobertura del riesgo cibernético se está haciendo más estricta, con algunas operaciones de correduría que ofrecen análisis independientes y exigen criterios de suscripción más detallados, incluidas pruebas de prácticas de ciberseguridad adecuadas. Un informe SOC de Ciberseguridad sería una forma ideal de abordar esta cuestión.

Conclusión

La adopción de prácticas de ciberseguridad como SOC for Cybersecurity, ISO 27001/ISO 27002 y el National Institute of Science & Technology-Cybersecurity Framework conducirá a una mejora de la higiene de la ciberseguridad y a una preparación completa para la respuesta a incidentes, ya que son elementos cruciales para un proceso de gestión de riesgos de ciberseguridad y un programa de gestión de riesgos empresariales (ERM) compresivo. Los miembros del consejo de administración, el asesor jurídico y la dirección de la empresa deben considerar si ha habido suficiente supervisión y comprensión de su CRMP. Es hora de que todas las organizaciones, de cualquier tamaño y sector, sean proactivas en este frente.

Pete Nassos es CIO de RiskKarma.io una plataforma de software para prevenir, gestionar y proteger contra los riesgos laborales y la responsabilidad del empresario. También es director de Kral Ussery LLC, una empresa de contabilidad pública que presta s

Riskkarma
Riskkarma

Recent Posts

HAVE ANY QUESTIONS?