Nueva regulación de ciberseguridad de la SEC
La Comisión de Bolsa y Valores (SEC) ha adoptado nuevas normas que exigen a las empresas divulgar incidentes relevantes de ciberseguridad e información sobre su gestión de riesgos, estrategia y gobernanza. Esto busca proporcionar a los inversores información consistente y comparable para tomar decisiones informadas. Las normas se aplican tanto a emisores privados nacionales como extranjeros. Las nuevas regulaciones entrarán en vigor 30 días después de su publicación en el Registro Federal, y los plazos de divulgación comenzarán a partir de los ejercicios fiscales que finalicen a partir del 15 de diciembre de 2023.
La importancia de las nuevas normas de la SEC
Las nuevas normas son cruciales para mejorar la transparencia y la rendición de cuentas en los mercados financieros en relación con los incidentes de ciberseguridad. Al exigir a las empresas que divulguen dichos incidentes y sus estrategias de gestión de riesgos, los inversores pueden comprender mejor el impacto potencial de las amenazas de ciberseguridad en las operaciones y el rendimiento financiero de una empresa.
A quién afectan las nuevas normas de la SEC
Las normas se dirigen a las empresas que cotizan en bolsa y están registradas en la SEC, incluyendo emisores privados nacionales y extranjeros. Estas empresas deben presentar la información sobre ciberseguridad especificada en sus informes anuales y en el Formulario 8-K (para incidentes relevantes) o el Formulario 6-K (para emisores privados extranjeros), según los plazos establecidos.
Lista de las nuevas reglas de la SEC
Regla 1: Divulgación de incidentes materiales de ciberseguridad
- Los registrantes deben revelar cualquier incidente material de ciberseguridad que experimenten.
- La divulgación debe incluir los aspectos materiales de la naturaleza, el alcance, el momento del incidente y su impacto material o razonablemente probable en el registrante.
- La divulgación debe realizarse en el nuevo Artículo 1.05 del Formulario 8-K.
- Generalmente, la divulgación del Formulario 8-K debe realizarse cuatro días hábiles después de que el registrante determine que el incidente de ciberseguridad es material.
- La divulgación podrá retrasarse si la divulgación inmediata planteara un riesgo sustancial para la seguridad nacional o la seguridad pública.
Regla 2: Divulgación de la gestión, estrategia y gobernanza de riesgos de ciberseguridad
- Los registrantes deben revelar información material sobre sus procesos para evaluar, identificar y gestionar riesgos materiales derivados de amenazas a la ciberseguridad.
- También deben revelar los efectos materiales o los efectos materiales razonablemente probables de los riesgos derivados de las amenazas a la ciberseguridad y de los incidentes de ciberseguridad anteriores.
- La divulgación debe describir la supervisión por parte del directorio de los riesgos derivados de las amenazas a la ciberseguridad y el papel y la experiencia de la gerencia en la evaluación y gestión de estos riesgos.
- Esta divulgación se agrega como Artículo 106 del Reglamento SK y se requiere en el informe anual del registrante en el Formulario 10-K.
Regla 3: Divulgaciones comparables para emisores privados extranjeros
- Los emisores privados extranjeros también están obligados a realizar divulgaciones comparables sobre incidentes materiales de ciberseguridad en el Formulario 6-K.
- También deben proporcionar información sobre la gestión de riesgos, la estrategia y la gobernanza de la ciberseguridad en el Formulario 20-F.
Regla 4: Fecha de entrada en vigor y plazos:
- Las reglas finales entrarán en vigor 30 días después de su publicación en el Registro Federal.
- Las divulgaciones del Formulario 10-K y del Formulario 20-F deberán presentarse para los años fiscales que finalicen el 15 de diciembre de 2023 o después.
- Las divulgaciones del Formulario 8-K y del Formulario 6-K deberán presentarse a partir del último de los siguientes 90 días después de la fecha de publicación en el Registro Federal o el 18 de diciembre de 2023.
- Las empresas informantes más pequeñas tendrán 180 días adicionales antes de que deban comenzar a proporcionar la divulgación del Formulario 8-K.
- Los registrantes deben etiquetar las divulgaciones requeridas bajo las reglas finales en Inline XBRL a partir de un año después del cumplimiento inicial con el requisito de divulgación relacionado.
Incidente de ciberseguridad vs. violación de seguridad
Los incidentes de ciberseguridad (o seguridad) y las filtraciones de datos a veces se utilizan indistintamente. Si bien cualquier tipo de filtración de datos se considera un incidente de seguridad significativo, no todos los incidentes de seguridad implican una filtración de datos. Un incidente de seguridad es cualquier evento que potencialmente dañe un sistema informático o una red. Puede tratarse de un intento de ciberataque, una infección de virus o un acceso no autorizado a datos. Una filtración de datos, por otro lado, es un tipo específico de incidente de seguridad en el que se accede, divulga o roba información sensible o confidencial sin autorización. Las nuevas reglas de la SEC exigen la divulgación de cualquier incidente material de ciberseguridad, incluidas, entre otras, las violaciones de datos.
Cómo pueden prepararse las organizaciones con BigID
Una estrategia moderna de seguridad de datos comienza con una visibilidad y un control completos de los datos. BigID aprovecha un enfoque centrado en los datos y consciente del riesgo para mejorar eficazmente la seguridad de los datos, optimizar la remediación, garantizar el cumplimiento normativo, acelerar la respuesta ante brechas y, en última instancia, reducir el riesgo de los datos a gran escala. A continuación, se detallan las maneras en que las organizaciones pueden prepararse y cumplir con las nuevas normas y requisitos de ciberseguridad de la SEC:
Evaluaciones integrales de riesgos de datos
- BigID Evaluación del riesgo de los datos Los informes se distinguen de las evaluaciones típicas. Con una cobertura integral de todos los tipos de datos y ubicaciones (estructurados y no estructurados, en la nube, híbridos y locales), nuestras evaluaciones incorporan toda su información, dondequiera que se encuentre. Nuestra amplia gama de casos de uso de seguridad de datos integra diversos indicadores de riesgo, lo que fortalece su evaluación. Además, a diferencia de otros métodos que tardan semanas o meses, las Evaluaciones de Riesgo de Datos de BigID se completan en cuestión de horas, lo que le ahorra tiempo y le proporciona información útil.
Respuesta ante infracciones con identificación consciente
- El análisis de brechas de BigID, basado en la identidad, evalúa eficazmente el alcance y la magnitud de una filtración de datos. Mapee e inventarie de forma fluida toda la información de identificación personal (PII) y la información personal (PI) con sus identidades (entidades) y residencias correspondientes. Identifique con precisión a los usuarios y datos personales comprometidos. Genere informes automatizados para reguladores y auditores, garantizando el cumplimiento de los requisitos de cumplimiento. Además, identifique la información de residencia de los usuarios, lo que le permitirá adaptar su respuesta a los requisitos jurisdiccionales específicos y agilizar su proceso de respuesta general.
Gobernanza, inventario y exploración de datos
- La gobernanza de datos es un principio fundamental de una estrategia sólida de seguridad de datos. Una gobernanza de datos adecuada sirve como base para proteger mejor dónde se encuentran sus datos confidenciales, durante cuánto tiempo permanecen allí y quién puede acceder a ellos. BigID integra la seguridad y la gobernanza de datos para optimizar y automatizar la gestión y protección de sus datos. Aproveche técnicas de IA y ML entrenables para mejorar su capacidad de descubrir, explorar e inventariar datos confidenciales. Dirija con precisión las iniciativas de remediación y reduzca la exposición, transformando así la forma en que percibe y protege sus datos.
Impulsando la Gestión de la Postura de Seguridad de Datos (DSPM)
- A medida que los entornos de datos híbridos siguen escalando y evolucionando, implementar DSPM es fundamental para comprender y mitigar los riesgos de los datos. La plataforma DSPM de BigID, líder en la industria, le permite centralizar la detección, la investigación y la remediación de riesgos y vulnerabilidades de datos críticos en entornos híbridos. Asigne la gravedad y la prioridad según el contexto de los datos, incluyendo su sensibilidad, ubicación, accesibilidad y más. Supervise continuamente la actividad sospechosa, identifique posibles amenazas internas y analice a fondo los detalles para un análisis exhaustivo.
Aplicación de políticas de seguridad y cumplimiento de datos
- Utilice políticas de seguridad y clasificación de sensibilidad predefinidas que se ajusten al cumplimiento normativo y a marcos como NIST, CISA, PCI y, ahora, la SEC, lo que permite una gestión y protección eficaces de los datos correctos. Cree y aplique políticas de gestión y seguridad de datos, incluyendo la retención, minimizacióny gestión de acceso Políticas. A medida que se implementan las políticas, se implementan flujos de trabajo optimizados con las personas y las herramientas adecuadas. Validar la necesidad de conservar o descartar datos y ejecutarlos automáticamente. remediación Acciones utilizando la herramienta adecuada. Gestione sus datos como si la seguridad dependiera de ello.
BigID ayuda a organizaciones de todos los tamaños a administrar, proteger y obtener más valor de sus datos dondequiera que existan, en las instalaciones o en la nube. Programe una reunión individual con uno de nuestros expertos en seguridad hoy mismo. ¡Para obtener más información sobre cómo podemos ayudarlo a cumplir con la normativa SEC!
Autor
