¿Qué es la nueva Resolución de Divulgación de Ciberseguridad de la SEC?
La SEC (Comisión de Bolsa y Valores de Estados Unidos) ha adoptado nuevos requisitos de ciberseguridad para que las empresas que cotizan en bolsa y están registradas en la SEC divulguen incidentes de ciberseguridad significativos y sus procesos de gestión de riesgos. El mandato de la SEC mejora la transparencia y la rendición de cuentas en los mercados financieros en relación con los incidentes de ciberseguridad. También ayudará a comprender mejor el posible impacto de las ciberamenazas en las operaciones y el rendimiento financiero.
Pulse aquí ¡Para descargar la lista de verificación, o continuar leyendo para obtener más detalles sobre la nueva regulación de ciberseguridad de la SEC!
¿A quién afecta la decisión de la SEC sobre ciberseguridad?
La nueva resolución de ciberseguridad de la SEC ofrece a los consumidores transparencia sobre las filtraciones de datos y proporciona una notificación rápida de incidentes de ciberseguridad. Dado que la ciberseguridad y el cumplimiento normativo van de la mano, el cambio de normativa de la SEC afectará a diversas partes interesadas:
- Los inversores necesitarán visibilidad sobre los niveles de riesgo, las medidas de seguridad y los incidentes de ciberseguridad.
- Los ejecutivos clave deberán evaluar sus gestión de la postura de seguridad de datos y trabajar junto con los departamentos de finanzas y derecho para preparar sus presentaciones anuales.
- Las juntas directivas deben incorporar expertos en ciberseguridad para brindar supervisión
- Los equipos de seguridad de datos deberán fortalecer sus capacidades de detección y generación de informes sobre infracciones.
Fechas clave de cumplimiento de la norma de la SEC
Existen fechas de cumplimiento específicas que varían según el tipo de divulgación. Las empresas de informes más pequeñas (SRC) tienen un plazo de cumplimiento más amplio para la notificación de incidentes:
- Los plazos de divulgación comienzan a partir de los años fiscales que finalizan después del 15 de diciembre de 2023. Todos los registrantes deben proporcionar divulgaciones a partir de los informes anuales del año fiscal utilizando Formulario 10-K y Formulario 20-F Divulgaciones de ciberseguridad.
- Para la divulgación de incidentes de ciberseguridad importantes, las organizaciones deben cumplir a partir del 18 de diciembre de 2023, utilizando Formulario 8-K y 6-KLos SRC tienen 180 días adicionales para cumplir y deben comenzar a cumplir antes del 15 de junio de 2024.
- Para los requisitos de datos estructurados (es decir, etiquetado Inline XBRL), todos los registrantes (incluidos los SRC) deben comenzar a etiquetar sus divulgaciones de ciberseguridad en el Formulario 10-K y el Formulario 20-F en Inline XBRL para los años fiscales que finalicen a partir del 15 de diciembre de 2024. Todos los registrantes (incluidos los SRC) deben comenzar a etiquetar sus divulgaciones de incidentes de ciberseguridad materiales en el Formulario 8-K y el Formulario 6-K en Inline XBRL antes del 18 de diciembre de 2024.
- Los emisores privados extranjeros deben revelar específicamente los incidentes materiales de ciberseguridad en el Formulario 6-K y su estrategia de gestión de riesgos de ciberseguridad y gobernanza en el Formulario 20-F.
¿Cómo pueden las organizaciones cumplir con los nuevos estándares de ciberseguridad de la SEC?
Las organizaciones ahora deben divulgar sus políticas y procesos de gestión de riesgos en el Formulario 10-K para cumplir con los requisitos regulatorios. La información necesaria para el Formulario 10-K incluye:
- Describir y esquematizar el programa de riesgos de ciberseguridad
- Describir el compromiso y las interacciones con terceros
- Explicar los pasos que se toman para prevenir, detectar y mitigar los incidentes cibernéticos.
- Definición de estrategias para reducir el riesgo de ciberseguridad
- Detallar el plan de acción de continuidad y recuperación en caso de que se produzca una infracción
- Cómo el riesgo de ciberseguridad puede afectar la salud financiera
Las organizaciones también deben completar el Formulario 8-K para reportar incidentes de ciberseguridad importantes en un plazo de cuatro días hábiles. El reporte de incidentes incluye eventos específicos contemplados por la norma de ciberseguridad de la SEC, como información comprometida, ataques maliciosos, interrupciones del sistema y eventos que generan pérdidas financieras.
Además, la SEC ha formalizado las directrices para la divulgación de información sobre infracciones. Las organizaciones deben:
- Revelar la naturaleza de la infracción
- Describe el tipo de incidente de ciberseguridad.
- Proporcionar detalles sobre todos los datos afectados
- Detalle el impacto en las operaciones generales
- Informe sobre el estado de los esfuerzos de remediación
Lista de verificación de cumplimiento normativo de la SEC
La aplicación de la normativa de ciberseguridad de la SEC ya está en vigor: ¿está usted de acuerdo con la nueva resolución?
Descargue la lista de verificación de cumplimiento de la SEC centrarse en las áreas que necesita priorizar para la gestión de riesgos de ciberseguridad, la estrategia, la gobernanza y la divulgación de incidentes de la SEC, incluido cómo:
- Comprender los requisitos de ciberseguridad de la SEC
- Descubra, mapee, etiquete y marque datos comerciales críticos y de alto riesgo para detectar, prevenir y mitigar riesgos.
- Analizar los datos violados y determinar los conjuntos de datos personales confidenciales expuestos.
- Cumplir con los plazos y requisitos de notificación de infracciones de la SEC según las residencias afectadas.
- Generar informes sobre el impacto de las infracciones para reguladores y auditores.
Cómo BigID ayuda a las organizaciones a prevenir y responder a incidentes de ciberseguridad para el cumplimiento de la SEC
Cualquier estrategia de seguridad de datos es una tarea multifacética que implica una planificación, implementación y supervisión constantes meticulosas. Pero todo comienza con una visibilidad y un control completos de los datos. BigID Aprovecha un enfoque centrado en los datos y consciente del riesgo para gestionar eficazmente mejorar la postura de seguridad de los datos, agilizar la remediación, garantizar el cumplimiento, acelerar la respuesta ante infraccionesy, en última instancia, reducir el riesgo de los datos a gran escala. BigID ayuda a las organizaciones a prevenir y responder a incidentes de ciberseguridad para cumplir con las nuevas normas y requisitos de ciberseguridad de la SEC:
Prevención de incidentes de ciberseguridad:
- Descubra oscuro, sombra, ROT, duplicado, similar, datos no críticos para el negocio y más.
- Mapa, etiqueta, rótulo y bandera Datos sensibles y de alto riesgo, riesgos y vulnerabilidades.
- Catalogar datos personales regulados, como PI y PII, de vuelta a una identidad y residencia.
- Identificar combinaciones de datos tóxicos of two or more types of sensitive data collected.
- Detectar secretos sueltos, como claves API y credenciales a través de la nube y el código.
Respuesta a incidentes de ciberseguridad:
- Analizar los datos violados y determinar los conjuntos de datos personales confidenciales expuestos.
- Identificar qué datos personales se vieron afectados Tecnología de mapeo con reconocimiento de identidad de BigID.
- Identifique de dónde provienen los datos para limitar las consecuencias.
- Cumplir con los plazos y requisitos de notificación de infracciones según las residencias afectadas.
- Generar informes de impacto de infracciones para reguladores y auditores.
Programe una reunión individual con uno de nuestros expertos en seguridad hoy mismo. ¡Para obtener más información sobre cómo podemos ayudarlo a cumplir con la normativa SEC!
Autor
