Sin categoría

Cómo la ciberseguridad y las divulgaciones están cerrando las brechas en 2022

Los riesgos de un ciberataque están creciendo, por lo que se avecinan regulaciones más amplias. Algunas organizaciones están manteniendo el ritmo, pero otras se van quedando atrás, tanto en divulgaciones como en protección del riesgo.

El 2023 es el año para que los directores redoblen sus esfuerzos para cerrar las brechas en las prácticas de divulgación y defensa cibernética de las empresas. Los riesgos a los que se ven enfrentadas las organizaciones ya son elevados y se irán multiplicando, lo que se vio reflejado por las potenciales amenazas ligadas a la guerra en Ucrania.

Con tanto en riesgo, el tono de los Directores debe continuar, mostrando la importancia de administrar la exposición de las empresas ante un ciberataque, y no solo como un asunto de TI. Se necesita tener divulgaciones mejoradas para que la información sea aclarada para los inversores y el directorio sobre la importancia de la supervisión, junto con el papel de la gestión de riesgos de la ciberseguridad. Pero para construir mejores defensas contra las amenazas en evolución, las organizaciones también deben salir de sus silos y promover una cultura de cooperación, ya sea internamente como entre diferentes empresas. La cooperación externa puede ayudar a ampliar las bases de conocimiento, fortalecer las capacidades e identificar los puntos ciegos en la seguridad junto a la gestión de riesgos.

El análisis actualizado de declaraciones de poder y presentaciones 10-K, fue diseñado para identificar las tendencias emergentes y oportunidades para mejorar la comunicación. Se analizaron presentaciones de 74 compañías Fortune 100 que se presentaron desde 2018 hasta el 31 de mayo de 2022. Se citaron ejemplos de lenguaje de sus divulgaciones y también se examinó el panorama cibernético actual de políticas públicas y regulatorias de Estados Unidos.

Sin duda, la última declaración de poder y las presentaciones 10-K brindan una mirada retrospectiva. Por el contrario, las reglas propuestas por la Comisión de Bolsa y Valores de Estados Unidos (SEC), entre otras, van a dar forma al futuro. Tienen el potencial de exponer brechas en defensas y divulgaciones, mientras sirven como hoja de ruta para cerrarlas. Las organizaciones no deben esperar para usar dicho mapa, por lo que este es el año para ponerse en movimiento.

Las reglas propuestas por la SEC: se finalizarán en 2023

Bajo la presidencia de Gary Gensler, la SEC ha priorizado la ciberseguridad en su agenda. En 2022, la comisión emitió un par de normas relacionadas con la cibernética, lo que ya ilustra su compromiso de abordar las amenazas en los mercados.

En marzo, la comisión propuso reglas que requerirían informes de incidentes de ciberseguridad e informes periódicos por parte de las empresas públicas sobre su gestión, estrategia y gobierno de riesgos. La agenda regulatoria de la SEC indica que finalizará las reglas propuestas en la primavera de 2023.

Las reglas requerían que las entidades divulgaran esta información:

  • Si hay experiencia en ciberseguridad dentro del directorio de la empresa, la naturaleza de la experiencia.
  • Si en el directorio, los miembros que forman parte del directorio supervisan los riesgos de ciberseguridad; cómo se informa sobre esos riesgos, incluida la frecuencia de sus discusiones sobre el tema; y cómo el directorio considera los riesgos como parte de su supervisión de la estrategia comercial, la gestión de riesgos y supervisión financiera.
  • Políticas, procedimientos y estrategia, si las hubiere, para identificar y gestionar las amenazas.
  • El papel de la gerencia en la evaluación y gestión de los riesgos de ciberseguridad junto con la implementación de políticas, procedimientos y estrategias de la entidad registrada, incluido si ciertos cargos son responsables de medir o gestionar la ciberseguridad, y si la entidad tiene un director de seguridad de la información (CISO) designado.

La propuesta también requiere la divulgación de un incidente de ciberseguridad en el formulario 8-K dentro de cuatro días hábiles posteriores a la determinación de que es material, y que los registrados proporciones actualizaciones por medio de informes periódicos sobre incidentes materiales divulgados previamente. Además, las entidades deben dar a conocer cuando una serie de incidentes que no fueron materializados y no se revelaron anteriormente se convierten en un material conjunto.

10 prácticas para supervisar el riesgo cibernético

EY se relaciona con los Directorios y organiza reuniones con los Directores y expertos en ciberseguridad para discutir los desafíos y las prácticas líderes en la supervisión del riesgo. Durante el año pasado, los programas incluyeron diálogos en los que participaron más de 500 directores y una serie de transmisiones web de tres partes a la que asistieron más de 18.000 personas. Los webcast hablaron sobre ransomware, prácticas líderes para la supervisión cibernética y la privacidad de datos.

Con base a los conocimientos adquiridos a través de los compromisos junto a los directores, así como en lo que los líderes de ciberseguridad de EY han aprendido de las diversas reuniones en todo el mundo, se identificaron estas 10 prácticas para supervisar los ciberataques:

  1. Elevar el tono.

Establecer la ciberseguridad como una consideración clave en todos los asuntos del Directorio.

  1. Manterse diligente.

Abordar nuevos problemas y amenazas derivados del trabajo remoto junto la expansión de la transformación digital. Se debe recordar que todos los trabajadores también deben ser diligentes: el 82 % de las violaciones involucran un elemento humano, lo que se dio a conocer en el Informe de incidentes de violación de datos de 2022 de Verizon, publicado a fines de mayo.

  1. Determinar el valor en riesgo.

Conciliar el valor en riesgo en términos de dólares con la tolerancia al riesgo del directorio, incluida la eficacia de la cobertura de seguro cibernético.

  1. Aprovechar las nuevas herramientas analíticas.

Dichas herramientas informan al directorio sobre riesgos cibernéticos que van desde eventos de alta probabilidad y bajo impacto hasta eventos de baja probabilidad y alto impacto.

  1. Integrar la seguridad desde el principio.

Adoptar una filosofía de «confianza por diseño» al diseñar nuevas tecnologías, productos y acuerdos comerciales.

  1. Evaluar el programa de forma independiente.

Obtener una evaluación rigurosa de terceros del programa de gestión de riesgos cibernéticos.

  1. Evaluar el riesgo de terceros.

Comprender los procesos de gestión para identificar, evaluar y supervisar el riesgo asociado con los proveedores de servicios y terceros involucrados en la cadena de suministro. Las cadenas de suministro fueron responsables del 62 % de los incidentes de intrusión en el sistema en 2021, según el Informe de incidentes de violación de datos de 2022 de Verizon.

  1. Prueba de respuesta y recuperación.

Mejorar la resiliencia empresarial realizando simulaciones rigurosas y organizando protocolos con especialistas externos antes de una crisis.

  1. Comprender los protocolos de escalada.

Tener un plan de comunicación definido sobre cuándo se debe notificar al directorio, incluidos los incidentes relacionados con ransomware.

  1. Supervisar las prácticas en evolución, el panorama regulatorio y de políticas públicas.

Mantenerse en sintonía con la evolución de las prácticas de supervisión, las divulgaciones, las estructuras de informes y las métricas.

Conclusión

Aunque las reglas propuestas por la SEC formalizarán el momento y especificarán el contenido con la ubicación de las divulgaciones sobre ciberseguridad por parte de las empresas, las organizaciones tienen la oportunidad de no esperar a que las reglas sean definitivas o limitarse a hacer solo lo que se requiere. Existe una oportunidad para fortalecer las divulgaciones para demostrar la responsabilidad y compromiso, y para generar confianza entre las partes interesadas en torno a cómo se prioriza, gestiona y supervisa la ciberseguridad como un riesgo empresarial crítico y función estratégica.

Las futuras amenazas seguramente influirán en el comportamiento, alterarán las perspectivas y  explotarán los errores en el juicio humano. Los ciberataques y quienes los llevan a cabo seguirán evolucionando. También debe hacerlo el dominio de tecnologías innovadoras, medidas defensivas y gobernanza proactiva para negociar con seguridad el panorama de amenazas en constante cambio. Una de las mejores formas de protegerse contra las intrusiones es pasar de una cultura de ocultar información y procesos a una de compartir y compartir y trabajar juntos.

Revisa «¿Cómo el directorio puede fortalecer su gobierno corporativo para acelerar su trayectoria ESG?»

Lo invitamos a seguir al Instituto de Directores de Chile en Linkedin.

Tags: Sin categoría