En 2023, la Comisión de Bolsa y Valores de Estados Unidos (SEC)adoptó nuevas normas y enmiendas paramejorar y estandarizar la divulgación de información relativa a la gestión de riesgos de ciberseguridad, la estrategia, la gobernanza y la notificación de incidentes por parte de las empresas cotizadas. La publicación de la SEC señala que los riesgos de ciberseguridad se han intensificado recientemente por diversas razones, entre ellas la creciente dependencia de las empresas de proveedores de servicios externos para los servicios de TI y el número cada vez mayor de incidentes atribuibles a los proveedores de servicios.
Estas nuevas normas entraron en vigor en diciembre de 2023 y ya estamos empezando a ver las consecuencias de su incumplimiento. La SEC ha anunciado medidas coercitivas contra cuatro empresas de software por realizar declaraciones engañosas sobre los riesgos e incidentes de ciberseguridad relacionados con la violación de SolarWinds en 2020. Al restar importancia al impacto que esta violación tuvo en sus sistemas, los reguladores consideraron que estas empresas infringían las leyes federales sobre valores, y una de ellas también se enfrentó a cargos por tener controles de divulgación inadecuados.
Implicaciones de las normas de divulgación de ciberseguridad de la SEC en la gestión de riesgos de terceros
Estos recientes cargos refuerzan la importancia crítica de una gestión sólida de los riesgos de ciberseguridad dentro de los programas de gestión de riesgos de terceros (TPRM). Algunas implicaciones clave a destacar son:
- Mejorar la divulgación de información sobre ciberseguridad: Las organizaciones deben proporcionar información transparente y precisa sobre su postura en materia de ciberseguridad, especialmente en lo que respecta a los riesgos asociados con los proveedores externos. La información engañosa puede dar lugar a importantes sanciones reglamentarias.
- Fortalecer los procesos de diligencia debida: Las empresas deben mejorar su diligencia debida al incorporar proveedores externos. Esto incluye evaluar las prácticas de ciberseguridad de los proveedores y garantizar que cuenten con medidas sólidas para mitigar los riesgos. Es esencial realizar evaluaciones y auditorías periódicas del cumplimiento de los proveedores.
- Implementar controles y procedimientos más estrictos: Las organizaciones deben establecer y mantener controles internos eficaces para notificar los incidentes de ciberseguridad. Asegúrese de notificar todas las infracciones que impliquen a terceros proveedores de forma rápida y precisa, y establezca protocolos de comunicación claros.
- Realizar evaluaciones exhaustivas de los riesgos de los proveedores: Las empresas deben evaluar los riesgos asociados a cada proveedor en función de sus capacidades en materia de ciberseguridad. La clasificación de los proveedores por nivel de riesgo permite a las organizaciones adaptar sus estrategias de gestión de riesgos e imponer requisitos de ciberseguridad más estrictos a los proveedores de mayor riesgo.
- Proporcionar formación y concienciación continuas: Las organizaciones deben ofrecer a los empleados programas periódicos de formación y concienciación sobre la importancia de divulgar información precisa sobre ciberseguridad y las consecuencias de proporcionar información engañosa. El personal debe comprender las obligaciones legales relacionadas con los riesgos de ciberseguridad y la importancia de la transparencia.
- Desarrollar planes sólidos de respuesta ante incidentes: Las empresas deben crear planes eficaces de respuesta ante incidentes que incluyan a los proveedores externos. Asegúrese de que estos planes aborden posibles infracciones a través de canales externos, describiendo estrategias de comunicación y protocolos de escalamiento.
- Cumplir con los requisitos normativos: Las organizaciones deben permanecer atentas a los cambios en las expectativas normativas en materia de ciberseguridad. Las medidas adoptadas por la SEC indican una tendencia hacia un mayor escrutinio normativo, lo que hace que el cumplimiento de las leyes y directrices aplicables sea fundamental.
Las organizaciones deben reevaluar y reforzar sus programas de gestión de riesgos de terceros, asegurándose de que pueden gestionar y divulgar eficazmente los riesgos de ciberseguridad. De este modo, podrán proteger mejor su reputación, mantener la confianza de los inversores y mitigar las posibles repercusiones legales y financieras.
Mejores prácticas para la gestión de riesgos de ciberseguridad de terceros, gobernanza, estrategia y divulgación de incidentes
Un programa de gestión de riesgos de terceros bien gestionado incluye procesos y tecnología que permiten identificar, clasificar y remediar los riesgos a lo largo del ciclo de vida de los terceros. A continuación se indican varias prácticas recomendadas que debe tener en cuenta al evaluar su programa de gobernanza de terceros:
- Perfil y clasifique a todos los terceros, obteniendo puntuaciones de riesgo inherentes que indican la probabilidad y el impacto de un incidente de ciberseguridad y le permiten dimensionar adecuadamente las actividades de diligencia debida en curso.
- Automatice los procesos de evaluación de riesgos de terceros, puntuación de riesgos y corrección para acelerar la mitigación de riesgos.
- Supervisar continuamente a terceros en busca de riesgos de ciberseguridad y correlacionar los riesgos con los resultados de la evaluación para validar los hallazgos.
- Automatice los procesos de respuesta ante incidentes para acelerar la notificación y el tiempo de resolución.
- Simplifique los informes de la junta directiva y los ejecutivos para permitir una toma de decisiones clara y eficiente.
- Compare continuamente su programa con las mejores prácticas aceptadas mediante informes de cumplimiento con varios marcos y normativas.
Próximos pasos: Descargar la lista de verificación de las normas de divulgación de ciberseguridad de la SEC.
Para obtener más información sobre cómo Prevalent puede ayudar a su organización a cumplir con los requisitos de presentación de informes de la SEC, descargue nuestra lista de verificación de las normas de divulgación de ciberseguridad de la SEC. O bien, póngase en contacto con nosotros para programar una demostración hoy mismo.
Cumpla con las normas actualizadas de divulgación de ciberseguridad de la SEC con esta evaluación de terceros.
Para ayudar a las empresas públicas a abordar estos requisitos actualizados, Prevalent ha creado una evaluación de 9 preguntas para la comunidad de seguridad y gestión de riesgos. Utilice la evaluación para:
- Determinar el alcance de la gestión de incidentes de ciberseguridad de terceros.
- Identificar cómo informan terceros sobre las repercusiones operativas de los incidentes cibernéticos.
- Examinar los programas de evaluación e identificación de riesgos de ciberseguridad de terceros.
- Aclarar las medidas correctivas adoptadas como parte de la respuesta a incidentes de ciberseguridad.
- Revelar el nivel de supervisión de la dirección en los incidentes de ciberseguridad de terceros.
| Preguntas | Opciones de respuesta |
|---|---|
| 1) ¿Ha establecido la organización un proceso formal de gestión de incidentes de ciberseguridad? |
Seleccione una de las siguientes opciones:
a) Sí, se ha desarrollado un proceso formal de gestión de incidentes de ciberseguridad. b) No, no se ha desarrollado un proceso formal de gestión de incidentes de ciberseguridad. |
| 2) ¿Revelaría la organización la siguiente información sobre un incidente de ciberseguridad importante? |
Por favor, seleccione todo lo que corresponda.
a) Cuándo se descubrió el incidente y si sigue en curso. b) Una breve descripción de la naturaleza y el alcance del incidente. c) Si se ha robado, alterado, accedido o utilizado cualquier dato para cualquier otro fin no autorizado. d) El efecto del incidente en las operaciones del solicitante del registro. e) Si el solicitante del registro ha remediado o está remediando actualmente el incidente. |
| 3) Tras la identificación de un incidente de ciberseguridad, ¿se registra y divulga el impacto material y el impacto potencial en las operaciones y la situación financiera? |
Seleccione una de las siguientes opciones:
a) Sí, se registran tanto el impacto material como el impacto potencial en las condiciones operativas y financieras. b) No, no se registran ni divulgan los efectos sobre las condiciones operativas y financieras. |
|
4) ¿Las divulgaciones de incidentes de ciberseguridad incluyen las medidas correctivas adoptadas y los cambios en las políticas o procedimientos que se han realizado como resultado de dichos incidentes?
Texto de ayuda: Se debe registrar cualquier cambio en las políticas y procedimientos del registrante como resultado de un incidente de ciberseguridad. |
Seleccione una de las siguientes opciones:
a) Sí, se toman medidas correctivas y se divulgan los cambios en las políticas o procedimientos. b) No, no se toman medidas correctivas y no se divulgan los cambios en las políticas o procedimientos. |
| 5) ¿Cuenta la organización con un programa de evaluación de riesgos de ciberseguridad? |
Seleccione una de las siguientes opciones:
a) Sí, se ha desarrollado un programa de evaluación de riesgos de ciberseguridad. b) No, no se ha desarrollado un programa de evaluación de riesgos de ciberseguridad. |
| 6) ¿Ha establecido la organización políticas y procedimientos para supervisar e identificar los riesgos de ciberseguridad asociados al uso de proveedores de servicios externos? |
Por favor, seleccione todo lo que corresponda.
a) Se establece un conjunto de políticas y procedimientos para gestionar los riesgos asociados a los proveedores de servicios externos. b) Los resultados de las evaluaciones de riesgos respaldan la decisión de selección y supervisión de los proveedores de servicios externos. c) Se toman medidas frente a los riesgos asociados al uso de proveedores de servicios externos y se definen controles de seguridad y privacidad en los contratos con terceros. |
| 7) ¿Se tienen en cuenta los resultados de las evaluaciones de riesgos de ciberseguridad en las decisiones relativas a las políticas y procedimientos de gobernanza, las tecnologías y las estrategias empresariales? |
Seleccione una de las siguientes opciones:
a) Sí, los resultados de las evaluaciones de riesgos de ciberseguridad se tienen en cuenta al revisar las políticas y procedimientos de gobernanza, las tecnologías y las estrategias empresariales. b) No, los resultados de las evaluaciones de riesgos de ciberseguridad no se tienen en cuenta al revisar las políticas y procedimientos de gobernanza, las tecnologías y las estrategias empresariales. |
| 8) ¿La dirección, el consejo de administración o el comité designado de la organización tienen la responsabilidad de supervisar los riesgos de ciberseguridad? |
Seleccione una de las siguientes opciones:
a) Sí, la dirección, el consejo de administración o un comité designado son responsables de los riesgos de ciberseguridad. b) Ningún grupo o comité designado tiene la responsabilidad general de los riesgos de ciberseguridad. |
| 9) Indique cómo reciben la junta directiva y la dirección la información relativa a los riesgos de ciberseguridad. |
Por favor, seleccione todo lo que corresponda.
a) La junta directiva y la dirección reciben notificaciones sobre riesgos de ciberseguridad con frecuencia. b) Los riesgos de ciberseguridad se consideran parte de la estrategia empresarial, la gestión de riesgos y la planificación de la supervisión financiera. |
Mejores prácticas para la gestión de riesgos de ciberseguridad de terceros, gobernanza, estrategia y divulgación de incidentes
Un programa de gestión de riesgos de tercerosbien gestionado incluye procesos y tecnología que permiten identificar, clasificar y remediar los riesgos a lo largo del ciclo de vida de los terceros. A continuación se indican varias prácticas recomendadas que debe tener en cuenta al evaluar su programade gobernanza de terceros:
- Perfil y clasifique a todos los terceros, obteniendopuntuaciones de riesgo inherentesque indican la probabilidad y el impacto de un incidente de ciberseguridad y le permiten dimensionar adecuadamente las actividades de diligencia debida en curso.
- Automatice los procesosde evaluación de riesgos de terceros, puntuación de riesgos y remediación para acelerar la mitigación de riesgos.
- Supervisar continuamente a tercerosen busca de riesgos de ciberseguridad y correlacionar los riesgos con los resultados de la evaluación para validar los hallazgos.
- Automaticelos procesos de respuesta ante incidentespara acelerar la notificación y el tiempo de resolución.
- Simplifique los informes de la junta directiva y los ejecutivos para permitir una toma de decisiones clara y eficiente.
- Compare continuamente su programa con las mejores prácticas aceptadas medianteinformes de cumplimiento con varios marcos y normativas.
Próximos pasos: Descargar la lista de verificación de las normas de divulgación de ciberseguridad de la SEC.
Para obtener más información sobre cómo Prevalent puede ayudar a su organización a cumplir con los requisitos de presentación de informes de la SEC, descargue nuestralista de verificación de las normas de divulgación de ciberseguridad de la SEC. O bien, póngase en contacto con nosotros paraprogramar una demostraciónhoy mismo.
Nota del editor: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido ha sido actualizado desde entonces para incluir información alineada con nuestra oferta de productos, cambios regulatorios y cumplimiento.
