Navegando por la ciberseguridad de la SEC

Es casi seguro que la última decisión de ciberseguridad de la SEC afectará la gestión y divulgación de riesgos posteriores a incidentes, y los CISO deberán asignar esto a entornos y herramientas específicos. Pregunté a nuestros analistas de ciberseguridad Andrew Green, Chris Ray y Paul Stringfellow qué piensan y combiné sus perspectivas.

¿Cuál es la Decisión?

El nuevo fallo de la SEC exige la divulgación después de un incidente en una empresa que cotiza en bolsa. Esto no debería sorprender a ninguna organización que ya se ocupe de la legislación de protección de datos, como el GDPR en Europa o la CCPA de California. La regla final tiene dos requisitos para las empresas públicas:

• Divulgación de incidentes importantes de ciberseguridad dentro de los cuatro días hábiles posteriores a que la empresa determine que el incidente es importante.
• Divulgación anual de información sobre la gestión, estrategia y gobierno de riesgos de ciberseguridad de la compañía.

El primer requisito es similar al que exige el RGPD: la infracción debe notificarse en un plazo determinado (72 horas para el RGPD, 96 para la SEC). Para hacer esto, necesita saber cuándo ocurrió la infracción, qué se produjo, a quién afectó, etc. Y tenga en cuenta que las 96 horas no comienzan cuando se descubre la primera infracción, sino cuando se determina que es material.

La segunda parte de la decisión de la SEC está relacionada con el informe anual sobre los riesgos que tiene una empresa y cómo se abordan. Esto no crea obstáculos imposibles; por ejemplo, no es obligatorio tener un experto en seguridad en la junta directiva. Sin embargo, confirma un nivel de expectativa: las empresas deben poder demostrar cómo la experiencia ha entrado en juego y cómo se aplica a nivel de la junta directiva.

¿Qué son los incidentes materiales de ciberseguridad?

Debido a la referencia a incidentes «materiales», la decisión de la SEC incluye una discusión sobre lo que significa materialidad: en pocas palabras, si su empresa considera que es lo suficientemente importante como para tomar medidas al respecto, entonces es lo suficientemente importante como para revelarlo. Esto plantea la cuestión de cómo se puede tomar la decisión, pero no recomendamos ignorar una infracción sólo para evitar una posible divulgación.

En términos de temas de seguridad aplicables para ayudar a las empresas a implementar una solución para gestionar la decisión, esto se alinea con nuestra investigación sobre detección y respuesta proactivas (XDR y NDR), así como la recopilación y conciencia de eventos (SIEM) y respuesta automatizada (SOAR). . Creo que los proveedores de SIEM necesitan muy poco esfuerzo para lograr esto, ya que ya se centran en el cumplimiento de muchos estándares. SIEM también se conecta con áreas operativas, como la gestión de incidentes.

¿Qué se debe revelar en el informe anual?

La sentencia no limita cómo se realiza la seguridad, pero sí es necesario informar de los mecanismos utilizados. La regla final se centra en revelar el papel de la administración en la evaluación y gestión de riesgos materiales derivados de amenazas a la ciberseguridad, por ejemplo.

En términos de investigación, esto se relaciona con temas como la gestión de la postura de seguridad de los datos (DSPM), así como otras áreas de la gestión de la postura. También toca la gobernanza, el cumplimiento y la gestión de riesgos, lo cual no es sorprendente. Sí, de hecho, beneficiaría a todos si se redujera la duplicación entre los enfoques de gobernanza de arriba hacia abajo y las herramientas de seguridad intermedias.

¿Cuáles son los impactos en el mundo real?

En general, la decisión de la SEC busca equilibrar la viabilidad de la seguridad con la acción: el objetivo es reducir el riesgo de qué manera y si las herramientas pueden reemplazar las habilidades (o viceversa), a la SEC no le importa. Si bien la decisión se superpone con el RGPD en términos de requisitos, está dirigida a públicos diferentes. El objetivo de la decisión de la SEC es permitir a los inversores una visión coherente, probablemente para que puedan tenerla en cuenta en su propia planificación de riesgos de inversión. Por lo tanto, parece menos burocrático que el RGPD y potencialmente más fácil de seguir y hacer cumplir.

En cualquier caso, las organizaciones públicas no tienen otra opción. Dado lo lejos que ha llegado la SEC después del ataque a SolarWinds, estas no son regulaciones que ningún CISO quiera ignorar.