La nueva norma de la SEC exige que las empresas públicas divulguen las violaciones de ciberseguridad en un plazo de 4 días

Después que la Comisión de Bolsa y Valores de EE.UU. (SEC) anunciara en marzo del 2022 un paquete de políticas diseñadas para proteger el sistema financiero contra incidentes cibernéticos, el 26 de julio de 2023 la SEC adoptó normas para exigir que todas las empresas públicas divulguen las violaciones de ciberseguridad en un plazo de cuatro días a partir del momento en que una entidad registrada determina que un incidente de ciberseguridad es material. La divulgación puede retrasarse hasta 60 días si el Fiscal General de los Estados Unidos determina que la divulgación inmediata representa un riesgo sustancial para la seguridad nacional o la seguridad pública. Específicamente, las normas exigen que estas compañías divulguen la naturaleza, el alcance y el momento del incidente, así como su probable impacto material en su organización.

Además, las empresas estarán obligadas a describir sus procesos, si los hubiera, para evaluar, identificar y gestionar los riesgos materiales de las amenazas a la seguridad cibernética y divulgar esto, junto con información sobre los esfuerzos de remediación en curso o completados, en su presentación anual 10-K.

Estas normas se propusieron por primera vez el 9 de marzo de 2022 , cuando la SEC determinó que las violaciones de las redes corporativas representaban un riesgo creciente a medida que aumentaba la digitalización de las operaciones y el trabajo remoto, y aumentaba el costo para los inversores de los incidentes de ciberseguridad.

“Si una empresa pierde una fábrica en un incendio, o millones de archivos en un incidente de ciberseguridad, puede ser importante para los inversores”, afirmó el presidente de la SEC, Gary Gensler, en un comunicado, señalando la inconsistencia actual en las divulgaciones. Además, según Lesley Ritter, vicepresidente senior de Moody's, las normas agregarán más transparencia y, con suerte, conducirán a mejoras en las defensas de seguridad cibernética.

Implicaciones en la gestión de riesgos cibernéticos y de seguros

1. Para todas las empresas que cotizan en bolsa reguladas por la SEC, asegúrese que la cobertura regulatoria sea parte de su programa de seguro cibernético. Por lo general, la cobertura de acciones regulatorias se incluye dentro de los acuerdos de seguro de responsabilidad de seguridad y privacidad. Dicha cobertura generalmente proporcionará la defensa de acciones regulatorias, que a menudo incluyen acciones de cumplimiento y citaciones de investigación.
2. Es importante reconocer que el reloj no empieza a correr en el plazo de cuatro días para informar las violaciones cibernéticas, hasta que las empresas hayan determinado que una violación es material. Es imperativo contar con procesos transversales sólidos dentro de la organización para garantizar que las partes interesadas puedan determinar rápidamente cuándo una violación es material y cómo se debe informar sobre la "naturaleza, el alcance y el momento" de los incidentes. Esta determinación también será importante para garantizar que los incidentes cibernéticos sean informados a tiempo a la compañía de seguros cibernéticos de la compañía, de modo que la notificación tardía no sea una barrera para la cobertura, así como para gestionar las posibles exposiciones regulatorias y legales que surjan de informes tardíos o incompletos.
3. Para cumplir con las normas anteriores, las empresas que cotizan en bolsa ahora deben estar preparadas para divulgar sus procesos de ciberseguridad para "evaluar, identificar y gestionar los riesgos materiales de las amenazas de ciberseguridad". Además, la norma exige que las organizaciones describan el rol de la Junta Directiva y experiencia en la evaluación y gestión de los materiales. Si bien esto probablemente incluye enfoques de planificación de respuesta a incidentes, estos procesos también se relacionan con la evaluación de incidentes cibernéticos y su importancia en los objetivos centrales del negocio. Una vez más, este cambio hace que sea importante que las organizaciones, desde el nivel de la Junta y C-Suite hacia abajo, aborden y gestionen los riesgos cibernéticos de manera proactiva. Estos cambios tienen como objetivo hacer que las organizaciones sean más resilientes cuando se enfrentan a un incidente de ciberseguridad y mitiguen el riesgo cuando adquieren o renuevan pólizas de seguro cibernético por primera vez. Los procesos efectivos de gobernanza, así como la realización de ejercicios de simulación de incidentes cibernéticos a nivel de la Junta y C-Suite, serán fundamentales para garantizar que las organizaciones puedan cumplir con las nuevas normas y requisitos.
4. Todas las aseguradoras de riesgos cibernéticos ahora exigen que las empresas cumplan con estándares específicos de ciberseguridad para poder comprar y renovar un seguro cibernético. Dichos planes de respuesta de ciberseguridad pueden incluir:
   • La designación de un responsable de ciberseguridad;
   • La colocación de controles de acceso privilegiado apropiados;
   • Entrenamiento de empleados, simulacros y ejercicios;
   • La implementación de controles de seguridad técnica y física; y
   • Procedimientos adecuados de mantenimiento de registros y documentación.

Conclusión

La gestión de las vulnerabilidades cibernéticas debe ser parte de la estrategia de resiliencia operativa de cada organización, ya sea que cotice en bolsa o no. Prepararse con anticipación es una de las mejores maneras de reducir el costo de lidiar con un incidente cibernético importante.

¿Cómo podemos ayudarte?
WTW puede ayudarte con una solución y cobertura de gestión de riesgos cibernéticos que se adapte a tu perfil de riesgo y necesidades comerciales, y asesorarte sobre cómo no infringir las nuevas normas de la SEC, brindándote servicios de consultoría personalizados (incluidos proyectos a nivel de C-Suite y Junta Directiva) que aborden las normas actualizadas de la SEC y fortalezcan tu resiliencia organizacional al riesgo cibernético.

Dentro de nuestra unidad de productos de líneas financieras (FINEX), en WTW contamos con un equipo experto en soluciones de D&O y Riesgos Cibernéticos. Este está formado por 160 profesionales en Américas con dedicación exclusiva a FINEX y un equipo propio de especialistas en reclamos. También disponemos de una red de más de 350 asociados, exclusivos de FINEX Global en el mundo, que dan soporte a nuestros clientes operen donde operen. Además, hemos desarrollado una herramienta de análisis avanzado de datos propia para ayudar a nuestros clientes a cuantificar su exposición en D&O, ESG y Riesgos Cibernéticos, entre otros riesgos, y anticipar potenciales reclamos.

Aviso Legal (Disclaimer)

WTW ofrece intermediación de seguros, y servicios de consultoría a través de entidades legales debidamente registradas ante los reguladores de cada país donde WTW opera. Para más detalles sobre las licencias y regulaciones de las entidades legales de WTW que operan en su país por favor referirse al sitio web de WTW: Global Regulatory Disclosures. Es un requisito normativo para nosotros considerar nuestros requerimientos de licencias locales antes de establecer cualquier acuerdo comercial. y/o contractual con nuestros clientes.

Autores

---

Dominic Keller, CISSP

Global Team Leader, Senior Consultant, FINEX Cyber Risk Solutions Team

email Correo electrónico

---

Jason D. Krauss

FINEX NA Cyber Thought & Product Coverage Leader

email Correo electrónico phone +1 212 915 8374

---