La regla de ciberseguridad propuesta por la SEC ejercerá una presión innecesaria sobre los CISO

En marzo de 2022, la Comisión de Bolsa y Valores (SEC) propuso una regla sobre divulgación, gobernanza y gestión de riesgos de ciberseguridad para empresas públicas, conocido como el Propuesta de Norma para Empresas Públicas (PRPC). Esta regla requeriría que las empresas informen sobre incidentes de ciberseguridad “materiales” en un plazo de cuatro días. También requeriría que las juntas directivas tuvieran experiencia en ciberseguridad.

Como era de esperar, es ser recibido con todo tipo de rechazo. En su forma actual, la regla propuesta deja mucho margen de interpretación y no es práctica en algunas áreas.

Por un lado, la estrecha ventana de divulgación ejercerá una enorme presión sobre los directores de seguridad de la información (CISO) para que revelen incidentes importantes antes de tener todos los detalles. Los incidentes pueden tardar semanas y, a veces, meses en comprenderse y remediarse por completo. Es imposible conocer el impacto de una nueva vulnerabilidad hasta que se dediquen amplios recursos a su remediación. Los CISO también pueden terminar teniendo que revelar vulnerabilidades que, con más tiempo, terminan siendo un problema menor y, por lo tanto, no son materiales. Eso, a su vez, podría afectar el precio a corto plazo de una empresa.

Los incidentes son algo vivo, no un trato único

Los requisitos de divulgación de cuatro días pueden parecer buenos a primera vista. Pero no son realistas y, en última instancia, distraerán a los CISO de apagar incendios.

Usaré el Reglamento General de Protección de Datos (GDPR) de la Unión Europea como comparación. Según el reglamento, las empresas deben informar los incidentes de incumplimiento en un plazo de 72 horas. Sin embargo, en el caso del RGPD, la necesidad de informar está bien definida. Si bien 72 horas suele ser demasiado pronto para conocer los detalles del impacto general de un incidente, las organizaciones, como mínimo, sabrán si la información personal se ha visto comprometida.

Compare esto con los requisitos de divulgación propuestos por la PRPC. Las organizaciones tendrán 24 horas adicionales, pero, según lo que se ha publicado hasta ahora, deben calificar internamente si la infracción es materiales. Según el RGPD, una empresa puede hacerlo en función de la sensibilidad de los datos, su volumen y adónde fueron. Según el PRPC, la SEC define la "materialidad" como cualquier cosa que un "accionista razonable consideraría importante". Esto podría ser prácticamente cualquier cosa que los accionistas consideren importante para su negocio. Es bastante amplio y no está claramente definido.

Otras definiciones débiles

Otra cuestión es el requisito de la propuesta de revelar las circunstancias en las que un incidente de seguridad no fue material por sí solo pero lo ha vuelto "en conjunto". ¿Cómo funciona esto en la práctica? ¿Una vulnerabilidad sin parche de hace seis meses está ahora dentro del ámbito de divulgación (dado que la empresa no la parchó) si se utiliza para ampliar el alcance de un incidente posterior? Ya combinamos amenazas, vulnerabilidades e impacto empresarial. Una vulnerabilidad que no se explota no es material porque no genera un impacto comercial. ¿Qué necesitará revelar cuando sea necesario informar de incidentes agregados? ¿La cláusula de agregación hace que esto sea aún más difícil de discernir?

Para hacer esto más complicado, la regla propuesta requerirá que las organizaciones revelen cualquier cambio de política que resulte de incidentes anteriores. ¿Con qué rigor se medirá esto y, sinceramente, por qué hacerlo? Se supone que las políticas son declaraciones de intenciones, no guías de configuración forenses de bajo nivel. Actualizar un documento de nivel inferior (un estándar) para exigir un algoritmo de cifrado específico para datos confidenciales tiene sentido, pero hay pocos documentos de nivel superior que se actualizarían debido a un incidente. Algunos ejemplos podrían ser requerir autenticación multifactor o cambiar el acuerdo de nivel de servicio (SLA) de parcheo para vulnerabilidades críticas dentro del alcance.

Por último, la propuesta dice que los informes de ganancias trimestrales serán el foro para las divulgaciones. Personalmente, las llamadas sobre resultados trimestrales no parecen el foro adecuado para profundizar en las actualizaciones de políticas y los incidentes de seguridad. ¿Quién dará las actualizaciones? Es posible que el director financiero o el director ejecutivo, que normalmente proporciona informes de ganancias, no estén lo suficientemente informados para presentar esos informes críticos. Entonces, ¿el CISO se suma ahora a las convocatorias? Y, de ser así, ¿responderán también a las preguntas de los analistas financieros? Todo parece poco práctico, pero tendremos que esperar y ver.

Preguntas sobre la experiencia en la junta directiva

La primera versión del PRPC requirió revelaciones sobre la supervisión de la junta directiva de las políticas de gestión de riesgos de ciberseguridad. Esto incluyó divulgaciones sobre los miembros individuales de la junta y su respectiva experiencia cibernética. La SEC dice que deliberadamente mantuvo la definición amplia, dada la gama de habilidades y experiencia particular de cada junta.

Por suerte, después de mucho escrutinio, decidieron eliminar este requisito. El PRPC todavía exige que las empresas describan el proceso de la junta para supervisar los riesgos de ciberseguridad y el papel de la administración en el manejo de esos riesgos.

Esto requerirá algunos ajustes en la comunicación y la conciencia general. Recientemente, la Dra. Keri Pearlson, directora ejecutiva de ciberseguridad del MIT Sloan, y Lucia Milică, CISO de Stanley Black & Decker, encuestó a 600 miembros de la junta directiva sobre actividades en torno a la ciberseguridad. Descubrieron que "menos de la mitad (47%) de los miembros forman parte de juntas directivas que interactúan con sus CISO con regularidad, y casi un tercio de ellos solo ven a sus CISO en presentaciones de juntas directivas". Esto apunta claramente a una brecha en las comunicaciones.

La buena noticia es que la mayoría de las juntas ya cuentan con un comité de auditoría y riesgos, que puede servir como un subconjunto de la junta para este propósito. Dicho esto, no es raro que los CISO y las CSO presenten asuntos relacionados con la ciberseguridad que el resto de la junta no comprende completamente. Para cerrar esta brecha, es necesario que haya una mayor alineación entre la junta directiva y los ejecutivos de seguridad.

Prevalece la incertidumbre

Como ocurre con cualquier regulación nueva, existen preguntas e incertidumbres con respecto al PRPC. Habrá que esperar y ver cómo evoluciona todo y si las empresas pueden cumplir los requisitos propuestos.

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Automoción / vehículos eléctricos, Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
• ChartPrime. Eleve su juego comercial con ChartPrime. Accede Aquí.
• Desplazamientos de bloque. Modernización de la propiedad de compensaciones ambientales. Accede Aquí.
• Fuente: https://www.darkreading.com/risk/proposed-sec-cybersecurity-rule-will-put-unnecessary-strain-on-cisos