El impacto de las nuevas normas propuestas por la SEC en la gestión del riesgo cibernético

Ha surgido un nuevo discurso en el panorama de la gestión de riesgos cibernéticos de las empresas públicas estadounidenses.

Mitratech: el impacto de las nuevas normas de la SEC en la gestión del riesgo cibernético

Ha surgido un nuevo discurso en el panorama de la gestión de riesgos cibernéticos de las empresas públicas estadounidenses.

En marzo de 2022, la Comisión de Bolsa y Valores de Estados Unidos (SEC) añadió otro punto a su lista de tareas pendientes al anunciar un proceso de consulta sobre cómo deben gestionar las empresas estadounidenses que cotizan en bolsa sus riesgos cibernéticos. Esto refleja la naturaleza predominante de muchos sistemas de comercio electrónico y cómo contribuyen al valor empresarial y para los accionistas.

Sin embargo, para los inversores, esta contribución tiene un doble filo. Las capacidades digitales impulsan el valor y exponen a las empresas a nuevos riesgos potencialmente significativos. Estos riesgos pueden ser considerables y las empresas necesitan capacidades eficaces de gestión de riesgos cibernéticos para evaluar, gestionar y contrarrestar cualquier amenaza cibernética.

El proceso de consulta de la SEC tiene como objetivo ayudar a desarrollar un marco regulatorio para la gestión de riesgos cibernéticos que sea eficaz, práctico y valioso para los inversores, las empresas y el mercado en general.

Aunque todavía se encuentra en fase de consulta, la dirección a seguir está clara. A su debido tiempo, es probable que la normativa de la SEC sobre gestión de riesgos cibernéticos esté a la altura de los requisitos de cumplimiento de la ley Sarbanes-Oxley (SOX).

.vc_do_cta3{padding-top:28px;padding-right:28px;padding-bottom:28px;padding-left:28px;margin-bottom:35px;}.vc_custom_1651588317197{background-image: url(https://mitratech.com/wp-content/uploads/Mitratech-GRC-Generic-Landing-Page-Banner.png?id=53243) !important;}

Obtenga más información sobre cómo la gestión del ciberriesgo está remodelando el panorama actual de los riesgos.

Explorando los nuevos requisitos de la SEC

En primer lugar, la propuesta establece que los informes sobre gestión de riesgos cibernéticos formarían parte del proceso estándar de presentación de informes SEC 8-K, en consonancia con las obligaciones de información que actualmente tiene la empresa. Los informes abarcarían las políticas y procedimientos de gestión de riesgos cibernéticos de la empresa, su marco de gestión y gobernanza de riesgos cibernéticos y la experiencia del consejo de administración en este ámbito. Es esencial informar sobre los incidentes cibernéticos, las actualizaciones sobre incidentes anteriores y sus implicaciones comerciales.

Como suele ocurrir con cualquier nueva normativa, el texto es, en muchos sentidos, la parte más fácil de asimilar. El reto consiste en dominar los detalles y averiguar cuál es la mejor manera de adaptar los sistemas y procesos de gestión de riesgos a ellos. En algunos casos, esto puede obligar a las empresas a volver a los principios básicos, comprender y documentar sus sistemas y procedimientos de ciberseguridad existentes para garantizar que todo se identifique y registre, de principio a fin. Este enfoque también permite a las empresas identificar cualquier laguna en su negocio que pueda quedar expuesta al escrutinio regulatorio y los riesgos operativos, comerciales o de reputación que estas lagunas generan.

Aunque este análisis pueda poner de manifiesto algunas lagunas y problemas, eso no significa que las empresas cotizadas sean ajenas a las cuestiones relacionadas con los riesgos cibernéticos. Ninguna empresa cotizada —ni ninguna empresa que tenga previsto cotizar— carece de una política de ciberseguridad, de una serie de sistemas y procesos pertinentes y, probablemente, del nombramiento de un director de seguridad de la información (CISO).

El reto clave es trabajar en la mejor manera de capturar y consolidar todo este esfuerzo y actividad para que la empresa sea resiliente, cumpla con cualquier escrutinio regulatorio y se desarrolle según sus necesidades sin que la ciberseguridad frene el negocio, sino que lo habilite para el éxito.

Históricamente, las empresas han recurrido a aplicaciones de gestión de riesgos empresariales (ESG) para abordar y mejorar sus capacidades de gestión de riesgos cibernéticos. Este enfoque puede ser muy prescriptivo y, aunque es ideal para algunas empresas, a menudo resulta difícil de implementar para muchas otras.

Muchas empresas comprenden la importancia de seleccionar la solución adecuada de gestión de riesgos empresariales (ERM), ya que la tecnología puede ser sin duda su mejor aliada. Aprovechar las modernas tecnologías basadas en SaaS para gestionar los riesgos cibernéticos es un enfoque dinámico que, en última instancia, beneficia a la organización. Más fáciles de implementar y más intuitivas, pueden mejorar sus capacidades y procesos existentes para garantizar la resiliencia operativa.

.vc_do_cta3{padding-top:28px;padding-right:28px;padding-bottom:28px;padding-left:28px;margin-bottom:35px;}.vc_custom_1651588185955{background-image: url(https://mitratech.com/wp-content/uploads/Mitratech-GRC-Generic-Landing-Page-Banner.png?id=53243) !important;}

Conozca en detalle los seis pasos de Mitratech para la gestión integral del riesgo empresarial.

Muchas empresas comprenden la importancia de seleccionar la solución adecuada de gestión de riesgos empresariales (ERM), ya que la tecnología puede ser sin duda su mejor aliada. Aprovechar las modernas tecnologías basadas en SaaS para gestionar los riesgos cibernéticos es un enfoque dinámico que, en última instancia, beneficia a la organización. Más fáciles de implementar y más intuitivas, pueden mejorar sus capacidades y procesos existentes para garantizar la resiliencia operativa.

¿Cómo sería una solución basada en SaaS para su negocio?

La solución ideal contará, en primer lugar, con una arquitectura centralizada que le permita capturar, consolidar y definir la política de ciberseguridad de su empresa. En muchos entornos es posible que haya una combinación de diferentes enfoques y lagunas. La clave está en contar con una estructura unificada a la que todos puedan adaptarse.

El siguiente paso es garantizar que las personas comprendan sus obligaciones y las cumplan rigurosamente. Históricamente, esta ha sido responsabilidad del equipo de seguridad. Sin embargo, la responsabilidad de implementar una política de seguridad está pasando del equipo de seguridad al equipo de operaciones diarias. Los sistemas basados en SaaS permiten a los equipos de seguridad integrar los requisitos de sus políticas en la plataforma de seguridad, de modo que su función se centra más en proporcionar asesoramiento y orientación que en supervisar. Este enfoque ayuda a garantizar el mantenimiento de los estándares de seguridad en un entorno tecnológico más complejo, al tiempo que se trabaja dentro de las limitaciones a las que suelen estar sujetos los equipos de seguridad. También ayuda a garantizar que la empresa pueda desarrollarse de forma óptima, con la ayuda de un sólido programa de gestión de riesgos empresariales.

Estas plataformas centralizadas también ofrecen capacidades de formación, educación y certificación que permiten a los equipos de las líneas de negocio confirmar que sus sistemas y procesos reflejan y cumplen con los estándares corporativos existentes.

Además, las capacidades adicionales permiten la elaboración de informes a nivel empresarial y el análisis de deficiencias, lo que permite a las empresas detectar deficiencias en sus capacidades de gestión de riesgos cibernéticos a medida que cambian el negocio, la política de seguridad y el entorno normativo.

.vc_do_btn{margin-bottom:22px;}.vc_custom_1645807581407{margin-right: 0px !important;margin-left: 0px !important;background-image: url(https://mitratech.com/wp-content/uploads/Artboard-1-18.png?id=51313) !important;background-position: center !important;background-repeat: no-repeat !important;background-size: cover !important;}

Un vistazo a la plataforma GRC del futuro

Descubra cómo puede aprovechar una única plataforma SaaS para todos sus requisitos de GRC.