Ha llegado un nuevo discurso en el panorama de la gestión de los riesgos cibernéticos de las empresas públicas estadounidenses.
El pasado mes de marzo de 2022, la Comisión del Mercado de Valores de Estados Unidos (SEC) añadió otro punto a su lista de tareas pendientes al anunciar un proceso de consulta sobre la forma en que las empresas estadounidenses que cotizan en bolsa deben gestionar sus riesgos cibernéticos. Esto refleja la naturaleza dominante de muchos sistemas de comercio electrónico y cómo contribuyen al valor empresarial y accionarial.
Sin embargo, para los inversores, esta contribución tiene un doble filo. Las capacidades digitales impulsan el valor y exponen a las empresas a nuevos riesgos potencialmente significativos. Estos riesgos pueden ser sustanciales y las empresas necesitan capacidades eficaces de gestión de riesgos cibernéticos para evaluar, gestionar y contrarrestar cualquier amenaza cibernética.
El proceso de consulta de la SEC tiene por objeto ayudar a desarrollar un marco regulador de la gestión del riesgo cibernético que sea eficaz, práctico y valioso para los inversores, las empresas y el mercado en general.
Aunque todavía se encuentra en fase de consultoría, la dirección a seguir es clara. A su debido tiempo, la normativa de la SEC sobre gestión de riesgos cibernéticos estará probablemente a la altura de los requisitos de cumplimiento de la ley Sarbanes-Oxley (SOX).
Explorar los nuevos requisitos de la SEC
En primer lugar, la propuesta establece que los informes de gestión del riesgo cibernético formarían parte del proceso estándar de presentación de informes SEC 8-K, en consonancia con las obligaciones de información de la empresa que actualmente cotizan en bolsa. Los informes cubrirían las políticas y procedimientos de gestión del riesgo cibernético de la empresa, su marco de gestión y gobernanza del riesgo cibernético y la experiencia del Consejo en este ámbito. Es esencial informar sobre los incidentes cibernéticos, las actualizaciones de incidentes anteriores y sus implicaciones empresariales.
Como suele ocurrir con cualquier nueva normativa, el texto es, en muchos sentidos, la parte más fácil de digerir. El reto consiste en dominar los detalles y averiguar la mejor manera de alinear con ellos los sistemas y procesos de gestión de riesgos. En algunos casos, esto puede obligar a las empresas a volver a los primeros principios, comprender y documentar sus sistemas y procedimientos de ciberseguridad existentes para asegurarse de que todo está identificado y registrado, de principio a fin. Este enfoque también permite a las empresas identificar cualquier laguna en su negocio que pudiera estar expuesta al escrutinio normativo y los riesgos operativos, comerciales o de reputación que estas lagunas crean.
Aunque de este análisis puedan surgir lagunas y problemas, eso no quiere decir que las empresas que cotizan en bolsa sean ajenas a los problemas de riesgo cibernético. Ninguna empresa cotizada -o que tenga previsto cotizar- carecerá de una política de ciberseguridad, una serie de sistemas y procesos pertinentes y, probablemente, el nombramiento de un Director de Seguridad de la Información (CISO).
El principal reto consiste en encontrar la mejor manera de captar y consolidar todos estos esfuerzos y actividades para que la empresa sea resistente, cumpla la normativa y se desarrolle como necesita, sin que la ciberseguridad frene el negocio, sino que le permita alcanzar el éxito.
Históricamente, las empresas han recurrido a aplicaciones de gestión de riesgos empresariales (ESG) para abordar y mejorar sus capacidades de gestión de riesgos cibernéticos. Este enfoque puede ser muy prescriptivo y, aunque ideal para algunas empresas, a menudo es un reto de implementar para muchas otras.
Muchas empresas comprenden la importancia de seleccionar la solución de gestión de riesgos empresariales (ERM) adecuada, ya que la tecnología puede ser sin duda el mejor aliado. Aprovechar las modernas tecnologías basadas en SaaS para gestionar los ciberriesgos es un enfoque dinámico que, en última instancia, beneficia a la organización. Más fáciles de implantar y fáciles de usar, pueden mejorar sus capacidades y procesos existentes para garantizar la resistencia operativa.
Muchas empresas comprenden la importancia de seleccionar la solución de gestión de riesgos empresariales (ERM) adecuada, ya que la tecnología puede ser sin duda el mejor aliado. Aprovechar las modernas tecnologías basadas en SaaS para gestionar los ciberriesgos es un enfoque dinámico que, en última instancia, beneficia a la organización. Más fáciles de implantar y fáciles de usar, pueden mejorar sus capacidades y procesos existentes para garantizar la resistencia operativa.
¿Cómo podría ser una solución basada en SaaS para su empresa?
La solución ideal contará, en primer lugar, con una arquitectura centralizada que le permita capturar, consolidar y definir la política de ciberseguridad de su empresa. En muchos entornos es posible que exista una mezcla de diferentes enfoques y lagunas. El truco está en disponer de una estructura unificada hacia la que todos puedan pivotar.
El siguiente paso consiste en asegurarse de que las personas comprenden sus obligaciones y las cumplen a rajatabla. Históricamente, esto ha sido responsabilidad del equipo de seguridad. Sin embargo, la responsabilidad de aplicar una política de seguridad está pasando del equipo de seguridad a los hombros del equipo de operaciones cotidianas. Los sistemas basados en SaaS permiten a los equipos de seguridad integrar los requisitos de sus políticas en la plataforma de seguridad, de modo que su función se centra más en asesorar y orientar que en vigilar. Este enfoque ayuda a garantizar el mantenimiento de las normas de seguridad en un entorno tecnológico más complejo, al tiempo que se trabaja dentro de las limitaciones a las que suelen estar sujetos los equipos de seguridad. También ayuda a garantizar que la empresa pueda desarrollarse de forma óptima, con la ayuda de un sólido programa de gestión de riesgos empresariales.
Estas plataformas centralizadas también ofrecen capacidades de formación, educación y certificación que permiten a los equipos de línea de negocio confirmar que sus sistemas y procesos reflejan y cumplen las normas corporativas existentes.
Además, las funciones adicionales permiten la elaboración de informes a nivel de empresa y el análisis de deficiencias para que una empresa pueda encontrar lagunas en sus capacidades de gestión de riesgos cibernéticos a medida que cambian el negocio, la política de seguridad y el entorno normativo.
Un vistazo a la plataforma GRC del futuro
Descubra cómo puede aprovechar una única plataforma SaaS para todos sus requisitos de GRC.
