Uno de los eventos de ciberseguridad más importantes de la historia está a punto de ocurrir para la industria de servicios financieros en forma de nuevas regulaciones legislativas.
La SEC ha propuesto nuevas regulaciones de ciberseguridad que afectarán a los negocios de FS
Las nuevas reglas de la Comisión de Bolsa y Valores de EE. UU. (SEC) tendrán un impacto significativo en las empresas que brindan servicios financieros y podrían tener un efecto profundo en la cultura de seguridad cibernética una vez que se adopten.
La nueva propuesta de la SEC
La nueva propuesta de la SEC exigirá una total transparencia y responsabilidad en materia de seguridad cibernética al más alto nivel de liderazgo empresarial, incluidas las juntas directivas, para todas las empresas que cotizan en bolsa. Exigirá que las empresas informen eventos significativos de ciberseguridad en su Formulario 8-K.
También deben divulgar las políticas y prácticas de la empresa para gestionar los riesgos de ciberseguridad, así como la forma en que la dirección participa en su implementación.
También se debe divulgar el proceso que utiliza la junta directiva de la empresa para supervisar el riesgo de ciberseguridad, así como la experiencia en ciberseguridad de cualquier miembro de la junta.
Esta propuesta contribuirá en gran medida a ayudar a que el riesgo y la estrategia de seguridad cibernética se conviertan en una conversación a nivel de directorio, un desarrollo que se necesita desde hace mucho tiempo. También ayudará a impulsar el gasto empresarial en ciberseguridad e impulsará la demanda de conocimientos sobre ciberseguridad a nivel de directorio. Y también subrayará la importancia de incluir a los CISO en estas conversaciones y decisiones a nivel de directorio.
Profundizando en los detalles
El 23 de marzo de 2022, la SEC presentó una propuesta para mejorar y estandarizar las divulgaciones realizadas por las empresas públicas que deben cumplir con los requisitos de información de la Ley de Bolsa de Valores de 1934. Los requisitos se refieren a la gestión de riesgos de ciberseguridad, estrategia, gobierno y informe de incidentes. Los eventos materiales de seguridad cibernética deberían informarse, las políticas y los procedimientos de seguridad cibernética deberían divulgarse periódicamente y la junta directiva debería supervisar el riesgo de seguridad cibernética.
Cuando una institución financiera concluye que ha tenido un incidente de seguridad cibernética sustancial después de que estos requisitos de la SEC se conviertan en ley, tiene cuatro días hábiles para revelarlo. El informe del Formulario 8-K, que las empresas deben enviar a la SEC para anunciar eventos importantes que los accionistas deben conocer, deberá modificarse como parte del proceso de divulgación. El nuevo plan también exige la divulgación de una serie de incidentes de ciberseguridad individuales no informados anteriormente que, en conjunto, tienen graves consecuencias.
Tus políticas al descubierto
El nuevo plan para la divulgación de gestión de riesgos, estrategia y gobierno es incluso más significativo que la sección de informes de incidentes de la propuesta. Las políticas y prácticas de gestión de riesgos de ciberseguridad de una corporación pública se expondrán a través de esta sección de la propuesta. Las empresas también deben revelar cómo la junta directiva supervisa el riesgo de ciberseguridad.
Además, las empresas deben divulgar el papel de la dirección ejecutiva en la evaluación del riesgo de ciberseguridad y el cumplimiento de las políticas y procedimientos de la empresa. Este proceso es similar a publicar la “boleta de calificaciones” de una organización en línea para revisión y comentarios públicos.
Según la nueva regulación, las empresas deben divulgar sus políticas y procesos para identificar y gestionar los riesgos de los ataques de ciberseguridad. Si no existen, la SEC lo tomará en cuenta y puede tener consecuencias importantes, como multas y sanciones por incumplimiento. Las empresas también deberán decir si la ciberseguridad es parte de su estrategia corporativa, planificación financiera y asignación de capital.
Por último, pero no menos importante, la nueva regulación exige que cualquier miembro de la junta que posea experiencia en seguridad cibernética debe declararlo en el informe anual y en algunas declaraciones de poder. La junta debe tener expertos en la materia (SME) de ciberseguridad tanto internos como externos. Las PYME externas deben proporcionar conocimientos especializados y las PYMES internas deben proporcionar el conocimiento institucional.
Ciberseguridad: un imperativo de liderazgo
Las grietas en la armadura de la ciberseguridad las crean las personas. Hacer que su personal sea parte integral de la solución, en lugar del problema, es la única forma de lidiar con esta realidad. La junta directiva suele estar en la parte superior de la estructura organizativa; es aquí donde debe comenzar la atención a las nuevas reglas. Y deben dotar a los empleados de formación continua y nuevas tecnologías.
Una de las obligaciones fiduciarias más importantes que tienen los directores y funcionarios hoy en día es la ciberseguridad. La junta debe asegurarse de que se sigan las pautas y prácticas de seguridad cibernética. Los líderes deben establecer y fomentar una cultura consciente del riesgo en toda la empresa, lo que permite una mejor toma de decisiones.
Cumplimiento en el horizonte
Nos demos cuenta o no, el sector de los servicios financieros es esencial para todos nosotros. Debe fortalecerse y protegerse, y ahora, no después.
Nuevas regulaciones están surgiendo a la luz de este hecho, y su cumplimiento no es opcional. Las empresas deben alinear sus políticas y procedimientos con la SEC y otros organismos reguladores internacionales para que el mundo digital sea más seguro tanto para los inversores como para los consumidores.
Sobre el autor:
Michael Brown es CISO de campo para servicios financieros en la firma de seguridad cibernética Fortinet.
Se especializa en regulaciones de ciberseguridad, impacto ESG, SD-WAN, SD-Branch, Zero Trust, seguridad de comercio electrónico de baja latencia, SASE y soluciones multinube.
- hormiga financiera
- BancaTecnología
- blockchain
- conferencia blockchain fintech
- carillón fintech
- coinbase
- Coingenius
- compliance
- criptoconferencia fintech
- La Ciberseguridad
- Data Analytics
- digital
- Servicios financieros / Finserv
- Fintech
- innovación fintech
- Fortinet
- OpenSea
- PayPal
- Paytech
- pago
- Platón
- platón ai
- Inteligencia de datos de Platón
- PlatónDatos
- juego de platos
- maquinilla de afeitar
- Informes
- revoluc
- Ripple
- Gestión sistemática del riesgo,
- tecnología financiera cuadrada
- raya
- fintech tencent
- xero
- zephyrnet
