Requisitos de divulgación sobre ciberseguridad de la SEC

Contactar con un experto

Volver a todos los casos de uso

Simplifique las evaluaciones de riesgos de terceros frente a los requisitos de información de la SEC.

En julio de 2023, la Comisión de Bolsa y Valores de Estados Unidos (SEC) adoptónuevas normas y enmiendaspara mejorar y estandarizar la divulgación de información relativa a la gestión de riesgos de ciberseguridad, la estrategia, la gobernanza y la notificación de incidentes por parte de las empresas que cotizan en bolsa.

La publicación de la SEC señala que los riesgos de ciberseguridad se han intensificado recientemente por diversas razones, entre ellas la creciente dependencia de las empresas de proveedores de servicios externos para los servicios de TI y el aumento del número de incidentes de ciberseguridad en los que están involucrados proveedores de servicios externos.

Las nuevas enmiendas y requisitos de presentación de informes entraron oficialmente en vigor el 18 de diciembre de 2023.

Requisitos pertinentes

  • Divulgar información sobre un incidente de ciberseguridad relevante en un plazo de cuatro días hábiles después de que la empresa determine que el incidente es relevante.

  • Proporcionar información actualizada sobre incidentes de ciberseguridad previamente divulgados cuando estos adquieran relevancia general.

  • Explique el papel de la dirección en la gobernanza de la ciberseguridad.

Cumplimiento de los requisitos de divulgación de información sobre ciberseguridad de la SEC

Las normas y enmiendas de la SEC se introdujeron en respuesta a la falta de coherencia en la notificación de incidentes de ciberseguridad por parte de las empresas públicas, lo que puede minar la confianza de los inversores. La tabla siguiente resume los requisitos clave para la gestión de riesgos de terceros y la divulgación de incidentes con el fin de restablecer esa confianza.

NOTA: Esta información se presenta únicamente a modo de orientación resumida. Las organizaciones deben revisar losrequisitoscompletosde la SECen su totalidad, consultando con sus auditores.

Enmiendas Cómo ayudamos
Notificación de incidentes de ciberseguridad en el formulario 8-K
Punto 1.05
«Describa los aspectos materiales de la naturaleza, el alcance y el momento del incidente, así como el impacto material o el impacto material razonablemente probable sobre el registrante, incluyendo su situación financiera y los resultados de sus operaciones».

Prevalent permite a su equipo identificar, responder, informar ymitigarrápidamenteel impacto de los incidentes de seguridad de terceros proveedorescomo parte de suestrategia generalde gestión de incidentes.

Además de nuestras soluciones de plataforma SaaS, Prevalent ofrece un servicio gestionado en el que nuestros expertos gestionan de forma centralizada a sus proveedores, realizan evaluaciones proactivas de riesgos de eventos, puntúan los riesgos identificados, los correlacionan con la supervisión cibernética continua y emiten directrices de corrección, todo ello en su nombre.

Las capacidades clave incluyen:

  • Cuestionarios de gestión de eventos e incidentes continuamente actualizados y personalizables.
  • Seguimiento en tiempo real del progreso en la cumplimentación del cuestionario
  • Responsables de riesgos definidos con recordatorios automáticos para mantener las encuestas dentro del calendario previsto.
  • Informes proactivos de proveedores
  • Vistas consolidadas de las calificaciones de riesgo, recuentos, puntuaciones y respuestas marcadas para cada proveedor.
  • Reglas de flujo de trabajo para activar guías automatizadas que actúen sobre los riesgos según su impacto potencial en el negocio.
  • Plantillas de informes integradas para partes interesadas internas y externas.
  • Orientación a partir de recomendaciones de remediación integradas para reducir el riesgo.
  • Mapeo de datos y relaciones para identificar las relaciones entre su organización y terceros, cuartos o enésimos para visualizar las rutas de información y revelar los datos en riesgo.

Prevalent también proporciona acceso a una base de datos que contiene más de 10 años de historial de violaciones de datos de miles de empresas de todo el mundo, incluyendo los tipos y cantidades de datos robados, cuestiones de cumplimiento y normativas, y notificaciones en tiempo real de violaciones de datos de proveedores.

Con esta información, su equipo podrá comprender mejor el alcance y el impacto del incidente, qué datos se vieron afectados, si las operaciones de terceros se vieron afectadas y cuándo se completaron las medidas correctivas, todo ello gracias a la ayuda de los expertos de Prevalent.
Divulgación sobre incidentes de ciberseguridad en informes periódicos: actualizaciones de la divulgación del formulario 8-K presentado anteriormente.
«Divulgar la información que se habría comunicado inicialmente en el formulario 8-K si se hubiera conocido o estuviera disponible en el momento de la divulgación inicial».

Prevalent realiza un seguimiento y análisis continuos delas amenazas externas a terceros. La solución supervisa Internet y la web oscura en busca de amenazas cibernéticas y vulnerabilidades, así como fuentes públicas y privadas de información sobre reputación, sanciones y finanzas.

Todos los datos de supervisión se correlacionan con los resultados de la evaluación y se centralizan en un registro de riesgos unificado para cada proveedor, lo que agiliza las iniciativas de revisión, notificación, corrección y respuesta ante riesgos.

Las fuentes de supervisión incluyen:

  • Más de 1500 foros criminales; miles de páginas onion; más de 80 foros de acceso especial a la web oscura; más de 65 fuentes de amenazas; y más de 50 sitios de pegado para credenciales filtradas, así como varias comunidades de seguridad, repositorios de código y bases de datos de vulnerabilidades que abarcan 550 000 empresas.
  • Una base de datos que contiene más de 10 años de historial de violaciones de datos de miles de empresas de todo el mundo
    Prevalent también incorpora datos empresariales, reputacionales y financieros para añadir contexto a los hallazgos cibernéticos y medir el impacto de los incidentes a lo largo del tiempo.

Divulgación de la gestión y la estrategia de riesgos de ciberseguridad de un registrante

Punto 106(b) del Reglamento S-K
«Si los procesos de ciberseguridad descritos en el punto 106(b) se han integrado en el sistema o los procesos generales de gestión de riesgos del registrante y, en caso afirmativo, de qué manera».

Prevalent se asocia con usted para crear un programa integral de gestión de riesgos de terceros (TPRM) en consonancia con sus programas más amplios de seguridad de la información y gobernanza, riesgo y cumplimiento, basándose en las mejores prácticas probadas y en una amplia experiencia en el mundo real.

Nuestrosexpertoscolaboran con su equipo en la definición e implementación de procesos y soluciones de TPRM; la selección de cuestionarios y marcos de evaluación de riesgos; y la optimización de su programa para abordar todo el ciclo de vida del riesgo de terceros, desde la contratación y la diligencia debida hasta la rescisión y la salida, de acuerdo con la propensión al riesgo de su organización.

Como parte de este proceso, Prevalent puede ayudarle a definir:

  • Funciones y responsabilidades claras (por ejemplo, RACI)
  • Inventarios de terceros
  • Puntuación de riesgos y umbrales basados en la tolerancia al riesgo de su organización.
  • Metodologías de evaluación y supervisión basadas en la criticidad de terceros.
  • Mapeo de cuarta parte
  • Fuentes de datos de supervisión continua (cibernética, empresarial, reputacional, financiera)
  • Indicadores clave de rendimiento (KPI) e indicadores clave de riesgo (KRI)
  • Políticas, normas, sistemas y procesos de gobierno para proteger los datos.
  • Requisitos de cumplimiento y presentación de informes contractuales en relación con los niveles de servicio.
  • Requisitos de respuesta ante incidentes
  • Informes sobre riesgos y partes interesadas internas
  • Estrategias de mitigación y remediación de riesgos
«Si el solicitante del registro contrata a evaluadores, consultores, auditores u otros terceros en relación con cualquiera de dichos procesos».

Prevalent cuenta con una biblioteca de más de 750 plantillas prediseñadas para evaluaciones de riesgos de terceros. Las evaluaciones pueden realizarse en el momento de la incorporación, la renovación del contrato o con la frecuencia que sea necesaria (por ejemplo, trimestral o anualmente), dependiendo de los cambios sustanciales que se produzcan.

Las evaluaciones se gestionan de forma centralizada en la plataforma Prevalent y están respaldadas por funciones de flujo de trabajo, gestión de tareas y revisión automatizada de pruebas para garantizar que su equipo tenga visibilidad de los riesgos de terceros a lo largo de todo el ciclo de vida de la relación.

Es importante destacar que Prevalent ofrece recomendaciones de corrección integradas basadas en los resultados de la evaluación de riesgos para garantizar que sus terceros aborden los riesgos de manera oportuna y satisfactoria y puedan proporcionar pruebas adecuadas a los auditores.

La solución automatiza la auditoría de cumplimiento de la gestión de riesgos de terceros mediante la recopilación de información sobre los riesgos de los proveedores, la cuantificación de los riesgos, la recomendación de medidas correctivas y la generación de informes para docenas de normativas gubernamentales y marcos industriales.

Prevalent asigna automáticamente la información recopilada a partir de evaluaciones basadas en controles a ISO 27001, NIST, GDPR, CoBiT 5, SSAE 18, SIG, SIG Lite, SOX, NYDFS y otros marcos normativos, lo que le permite visualizar y abordar rápidamente los requisitos de cumplimiento importantes y ajustar su programa en consecuencia, incluyendo si aceptar o no los riesgos residuales.

Para las organizaciones con recursos y experiencia limitados, Prevalent puedegestionar el ciclo de vida del riesgo de terceros en su nombre, desde la incorporación de proveedores y la recopilación de pruebas hasta la orientación sobre medidas correctivas y la presentación de informes sobre los acuerdos de nivel de servicio (SLA) de los contratos. Como resultado, se reduce el riesgo de los proveedores y se simplifica el cumplimiento normativo sin sobrecargar al personal interno.
«Si el solicitante del registro cuenta con procesos para supervisar e identificar los riesgos significativos derivados de las amenazas a la ciberseguridad asociadas al uso de cualquier proveedor de servicios externo».

Prevalent le permite evaluar y supervisar a sus terceros en función del alcance de las amenazas a sus activos de información mediante la captura, el seguimiento y la cuantificaciónde los riesgos inherentesa todos los terceros. Los criterios utilizados para calcular el riesgo inherente para la clasificación de terceros incluyen:

  • Tipo de contenido necesario para validar los controles
  • Importancia crítica para el rendimiento y las operaciones empresariales
  • Ubicación(es) y consideraciones legales o normativas relacionadas
  • Nivel de dependencia de terceros (para evitar el riesgo de concentración)
  • Exposición a procesos operativos o de atención al cliente
  • Interacción con datos protegidos
  • Situación financiera y salud
  • Reputación

A partir de esta evaluación de riesgos inherentes, su equipo puede clasificar automáticamente a los proveedores, establecer los niveles adecuados de diligencia adicional y determinar el alcance de las evaluaciones continuas.

La lógica de clasificación por niveles basada en reglas permite categorizar a los proveedores utilizando una serie de consideraciones relacionadas con la interacción de datos, las finanzas, la normativa y la reputación.

Divulgación de la función de la dirección y del consejo de administración de una entidad registrada en la gobernanza de la ciberseguridad

Apartados 106(c)(1) y 106(c)(2) del Reglamento S-K.

«Los procesos mediante los cuales se informa al consejo de administración sobre los riesgos de ciberseguridad y la frecuencia con la que se debate este tema; y...

«Los procesos mediante los cuales dichas personas o comités son informados y supervisan la prevención, detección, mitigación y reparación de incidentes de ciberseguridad...

«Si dichas personas o comités informan sobre dichos riesgos al consejo de administración o a un comité o subcomité del consejo de administración».

Prevalent proporciona un marco para medir de forma centralizadalos KRI de tercerosen función de sus requisitos y reducir las deficiencias en la supervisión de los proveedores con información integrada de aprendizaje automático (ML) e informes personalizables basados en funciones.

Estas capacidades pueden ayudar a su equipo a descubrir tendencias de riesgo, determinar el estado de riesgo de terceros e identificar excepciones al comportamiento habitual que podrían justificar una investigación más profunda.

Prevalent también mejora la eficiencia al hacer llegar los datos adecuados a las personas adecuadas en el momento adecuado. Esto facilita a los destinatarios de los informes determinar rápidamente la aceptabilidad del riesgo y tomar decisiones con confianza, independientemente de su nivel de competencia.

Recursos adicionales

Blog

La PDPA y la gestión de riesgos de terceros

Blog

Lista de verificación del cumplimiento del RGPD para la gestión de riesgos de terceros

Blog

Lista de verificación de cumplimiento de la CCPA y la CPRA para la gestión de riesgos de terceros

Guía

Alinee su programa TPRM con la CCPA, el RGPD, la HIPAA y otras normativas.

Ver más recursos

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.