Reglas de ciberseguridad de la SEC para empresas públicas

Las nuevas reglas de la SEC requerirán una divulgación rápida de los incidentes, informes claros sobre las políticas y procedimientos de gestión de riesgos cibernéticos y una participación más activa por parte de la junta directiva.

Leer el blog
Ver el webinar
Detalles

En julio de 2023, la Comisión de Bolsa y Valores de EE. UU. (SEC) emitió un nuevo conjunto de reglas de divulgación de ciberseguridad relacionadas con las empresas públicas en los Estados Unidos. Estas reglas están destinadas a ayudar a los inversores a tomar decisiones sobre dónde invertir proporcionando más información sobre la seriedad con la que una organización toma los riesgos de ciberseguridad.

Las empresas que pueden compartir detalles sobre su proceso de seguimiento del riesgo cibernético (por ejemplo, cómo crean y siguen las puntuaciones de riesgo cibernético a lo largo del tiempo, mientras crean un proceso sencillo y repetible para que su junta directiva participe y esté al tanto sobre el riesgo de seguridad cibernética) son llamativas para los inversores.

La SEC trata de establecer un punto intermedio entre que las organizaciones proporcionen suficientes datos para informar a los inversores y que, al mismo tiempo, "no aumenten la vulnerabilidad de una empresa a un ciberataque... para evitar exigir la divulgación de los tipos de detalles operativos que podrían ser utilizados como armas por los actores de amenazas."

El Registro Federal muestra que las reglas entraron en vigor el 5 de septiembre de 2023.

Oferta

Nuevas reglas clave de ciberseguridad de la SEC

Nuevo formulario 8-K Artículo 1.05
Nuevo formulario 8-K Artículo 1.05
Divulgación de los detalles de incidentes importantes de ciberseguridad dentro de los cuatro días hábiles posteriores a dicha determinación.
new-regulation-s-k-item-106
Nuevo Reglamento S-K Elemento 106(b)
Proporcione una descripción de los "procesos, si los hubiera, para evaluar, identificar y gestionar riesgos materiales derivados de amenazas a la ciberseguridad..."
cybersecurity-disclosures
Divulgaciones de ciberseguridad
Se presentará en Inline eXtensible Business Reporting Language (Inline XBRL).
new-regulation-s-k-item
Nuevo Reglamento SK Elemento 106(c)
Proporcione una descripción de la supervisión de los riesgos de ciberseguridad por parte de la junta directiva y su función y experiencia en la evaluación y gestión de riesgos materiales derivados de amenazas de ciberseguridad.

Cómo prepararse

Reúna al equipo para presentaciones relacionadas con lo cibernético

Revise las nuevas reglas con los líderes de seguridad, así como con los equipos de auditoría y finanzas que administran las presentaciones, para crear un proceso que cumpla con el plazo de cuatro días en el caso de un evento importante.


Comprenda qué constituye lo "material".

Asegúrese de que su empresa conozca bien cómo se determina cuándo un suceso de ciberseguridad alcanza el umbral de ser "material".


Describa el proceso de riesgo cibernético

Los líderes de seguridad deben redactar su descripción del proceso para comprender y evaluar el riesgo cibernético. Esto puede incluir las herramientas de riesgo cibernético, los riesgos que abordan dichas herramientas (por ejemplo, la superficie de ataque externa o el riesgo de pérdida de datos) y los procesos que siguen sus equipos para mitigar los riesgos identificados.


Reúnete con la junta

Los líderes de seguridad y auditoría deben trabajar con la junta directiva para crear un proceso (si aún no existe uno) sobre cómo la junta planeará supervisar el riesgo cibernético. Esto puede incluir hacer de la ciberseguridad un tema permanente en las revisiones trimestrales de la actividad para revisar las puntuaciones de riesgo, los factores clave del riesgo, las acciones de mitigación y las inversiones necesarias.


Aproveche la experiencia cibernética de la junta

Los líderes de seguridad deben identificar y entrevistar a los miembros de la junta directiva con experiencia en ciberseguridad para capturar y compartir en las presentaciones anuales y de representación.


Zscaler Risk 360

Risk360: Cómo piensa Zscaler sobre el riesgo cibernético

Zscaler Risk360™ es un marco de riesgo integral y procesable que ofrece una poderosa cuantificación del riesgo cibernético al incorporar datos reales del entorno Zscaler de una organización. Risk360 ofrece visualizaciones intuitivas, detalles de exposición financiera e informes listos para la junta, al igual que información detallada y procesable sobre riesgos de seguridad que se puede usar de inmediato para la mitigación.
Risk360 mide el riesgo cibernético en áreas clave de la cadena de ataque:

external-attck-surface
Superficie de ataque externa
Vea el riesgo de que los atacantes encuentren y aprovechen las debilidades de la superficie de ataque con una evaluación de las variables detectables.
del compromiso
el compromiso
Comprenda y mitigue el riesgo observando una amplia gama de eventos, configuraciones de seguridad y atributos de flujo de tráfico para calcular la probabilidad de un compromiso.
lateral-movement
Movimiento lateral
Vea el riesgo de propagación lateral de amenazas de la empresa examinando una variedad de configuraciones y métricas de acceso privado.
data-loss-exfiltration-risk
Riesgo de pérdida/exfiltración de datos
Analice y limite el riesgo de que los atacantes extraigan datos.
Obtenga más información sobre Zscaler Risk360

Risk360

Dé el paso siguiente

Permita que nuestros expertos le muestren cómo Zscaler Risk360 minimiza la superficie de ataque de su organización, previene el movimiento lateral y elimina el riesgo de pérdida de datos.

Solicitar una demo