Es casi seguro que el último fallo de la SEC sobre ciberseguridad tendrá un impacto en la gestión de riesgos y la divulgación posterior al incidente, y los CISO deberán adaptar esto a sus entornos y herramientas específicos. Pregunté a nuestros analistas de ciberseguridad Andrew Green, Chris Ray y Paul Stringfellow qué pensaban y fusioné sus perspectivas. ¿Cuál es la decisión? El nuevo fallo de la SEC exige la divulgación tras un incidente en una empresa que cotiza en bolsa. Esto no debería sorprender a ninguna organización que ya se ocupe de la legislación de protección de datos, como el GDPR en Europa o la CCPA de California. La regla final tiene dos requisitos para las empresas públicas: Divulgación de incidentes importantes de ciberseguridad dentro de los cuatro días hábiles posteriores a que la empresa determine que el incidente es importante. Divulgación anual de información sobre la gestión, estrategia y gobierno de riesgos de ciberseguridad de la empresa. El primer requisito es similar al que exige el RGPD, que las infracciones deben informarse dentro de un tiempo determinado (72 horas para el RGPD, 96 para la SEC). Para hacer esto, necesita saber cuándo ocurrió la infracción, qué contenía, a quién afectó, etc. Y tenga en cuenta que las 96 horas no comienzan cuando se descubre una infracción por primera vez, sino cuando se determina que es material. La segunda parte del fallo de la SEC se relaciona con la presentación de informes anuales sobre los riesgos que tiene una empresa y cómo se abordan. Esto no crea obstáculos imposibles; por ejemplo, no es un requisito tener un experto en seguridad en la junta. Sin embargo, confirma un nivel de expectativa: las empresas deben poder mostrar cómo la experiencia ha entrado en juego y cómo se aplica a nivel de la junta directiva. ¿Qué son los incidentes materiales de ciberseguridad? Dada la referencia a incidentes “materiales”, el fallo de la SEC incluye una discusión sobre lo que significa materialidad: en pocas palabras, si su empresa considera que es lo suficientemente importante como para tomar medidas al respecto, entonces es lo suficientemente importante como para revelarlo. Esto plantea la cuestión de cómo se podría manipular el fallo, pero no recomendamos ignorar una infracción sólo para evitar una posible divulgación. En términos de temas de seguridad aplicables para ayudar a las empresas a implementar una solución para manejar la norma, esto se alinea con nuestra investigación sobre detección y respuesta proactivas (XDR y NDR), así como recopilación e información de eventos (SIEM) y respuesta automatizada (SOAR). Considero que los proveedores de SIEM necesitarían muy poco esfuerzo para cumplir con esto, ya que ya se centran en el cumplimiento de muchos estándares. SIEM también enlaza con áreas operativas, como la gestión de incidentes. ¿Qué se debe revelar en el informe anual? El fallo no limita cómo se realiza la seguridad, pero sí necesita los mecanismos utilizados para informar. La regla final se centra en revelar el papel de la administración en la evaluación y gestión de riesgos materiales derivados de amenazas a la ciberseguridad, por ejemplo. En términos de investigación, esto se relaciona con temas como la gestión de la postura de seguridad de los datos (DSPM), así como otras áreas de gestión de la postura. También toca la gobernanza, el cumplimiento y la gestión de riesgos, lo cual no es sorprendente. Sí, de hecho, sería beneficioso para todos si se redujeran las superposiciones entre los enfoques de gobernanza de arriba hacia abajo y las herramientas de seguridad intermedias. ¿Cuáles son los impactos en el mundo real? En general, el fallo de la SEC busca equilibrar la viabilidad de la seguridad con la acción: el objetivo es reducir el riesgo en cualquier forma, y ​​si las herramientas pueden reemplazar las habilidades (o viceversa), a la SEC no le importará. Si bien la norma se superpone con el RGPD en términos de requisitos, está dirigida a públicos diferentes. El objetivo del fallo de la SEC es permitir una visión coherente para los inversores, probablemente para que puedan contribuir a su propia planificación de riesgos de inversión. Por lo tanto, parece menos burocrático que el RGPD y potencialmente más fácil de seguir y hacer cumplir. No es que las organizaciones públicas tengan otra opción, en ninguno de los dos casos. Dado lo duro que fue la SEC después del ataque a SolarWinds, estas no son regulaciones que ningún CISO quiera ignorar.