Después que la Comisión de Bolsa y Valores de EE.UU. (SEC) anunciara en marzo del 2022 un paquete de políticas diseñadas para proteger el sistema financiero contra incidentes cibernéticos, el 26 de julio de 2023 la SEC adoptó normas para exigir que todas las empresas públicas divulguen las violaciones de ciberseguridad en un plazo de cuatro días a partir del momento en que una entidad registrada determina que un incidente de ciberseguridad es material. La divulgación puede retrasarse hasta 60 días si el Fiscal General de los Estados Unidos determina que la divulgación inmediata representa un riesgo sustancial para la seguridad nacional o la seguridad pública. Específicamente, las normas exigen que estas compañías divulguen la naturaleza, el alcance y el momento del incidente, así como su probable impacto material en su organización.
Además, las empresas estarán obligadas a describir sus procesos, si los hubiera, para evaluar, identificar y gestionar los riesgos materiales de las amenazas a la seguridad cibernética y divulgar esto, junto con información sobre los esfuerzos de remediación en curso o completados, en su presentación anual 10-K.
Estas normas se propusieron por primera vez el 9 de marzo de 2022 , cuando la SEC determinó que las violaciones de las redes corporativas representaban un riesgo creciente a medida que aumentaba la digitalización de las operaciones y el trabajo remoto, y aumentaba el costo para los inversores de los incidentes de ciberseguridad.
“Si una empresa pierde una fábrica en un incendio, o millones de archivos en un incidente de ciberseguridad, puede ser importante para los inversores”, afirmó el presidente de la SEC, Gary Gensler, en un comunicado, señalando la inconsistencia actual en las divulgaciones. Además, según Lesley Ritter, vicepresidente senior de Moody's, las normas agregarán más transparencia y, con suerte, conducirán a mejoras en las defensas de seguridad cibernética.
Implicaciones en la gestión de riesgos cibernéticos y de seguros
La gestión de las vulnerabilidades cibernéticas debe ser parte de la estrategia de resiliencia operativa de cada organización, ya sea que cotice en bolsa o no. Prepararse con anticipación es una de las mejores maneras de reducir el costo de lidiar con un incidente cibernético importante.
¿Cómo podemos ayudarte?
WTW puede ayudarte con una solución y cobertura de gestión de riesgos cibernéticos que se adapte a tu perfil de riesgo y necesidades comerciales, y asesorarte sobre cómo no infringir las nuevas normas de la SEC, brindándote servicios de consultoría personalizados (incluidos proyectos a nivel de C-Suite y Junta Directiva) que aborden las normas actualizadas de la SEC y fortalezcan tu resiliencia organizacional al riesgo cibernético.
Dentro de nuestra unidad de productos de líneas financieras (FINEX), en WTW contamos con un equipo experto en soluciones de D&O y Riesgos Cibernéticos. Este está formado por 160 profesionales en Américas con dedicación exclusiva a FINEX y un equipo propio de especialistas en reclamos. También disponemos de una red de más de 350 asociados, exclusivos de FINEX Global en el mundo, que dan soporte a nuestros clientes operen donde operen. Además, hemos desarrollado una herramienta de análisis avanzado de datos propia para ayudar a nuestros clientes a cuantificar su exposición en D&O, ESG y Riesgos Cibernéticos, entre otros riesgos, y anticipar potenciales reclamos.
WTW ofrece intermediación de seguros, y servicios de consultoría a través de entidades legales debidamente registradas ante los reguladores de cada país donde WTW opera. Para más detalles sobre las licencias y regulaciones de las entidades legales de WTW que operan en su país por favor referirse al sitio web de WTW: Global Regulatory Disclosures. Es un requisito normativo para nosotros considerar nuestros requerimientos de licencias locales antes de establecer cualquier acuerdo comercial. y/o contractual con nuestros clientes.