Dominar los mandatos de ciberseguridad de la SEC: un plan estratégico para el cumplimiento

La Comisión de Bolsa y Valores de Estados Unidos (SEC) ha promulgado recientemente regulaciones integrales de ciberseguridad destinadas a fortalecer la integridad de los datos de los inversores y de los mercados financieros en general. Estos estrictos mandatos exigen que las entidades públicas refuercen su gestión de riesgos de ciberseguridad, reporten incidentes con prontitud y mejoren sus protocolos de gobernanza.
Este artículo analiza los elementos fundamentales de estos mandatos y delinea medidas pragmáticas para la adhesión organizacional.

Descifrando las directivas de ciberseguridad de la SEC

Las nuevas directivas de la SEC giran en torno a dominios fundamentales:

  1. Informe rápido de incidentes: Las entidades públicas ahora tienen la obligación de reportar incidentes significativos de ciberseguridad dentro de un plazo de cuatro días tras la evaluación de materialidad. Dichos informes deben resumir las características, el alcance, el contexto cronológico y el impacto resultante del incidente en la entidad.
  2. Gestión de Riesgos, Planificación Estratégica y Gobernanza: Las divulgaciones anuales deben ahora incluir descripciones exhaustivas de las metodologías de gestión de riesgos de ciberseguridad, los marcos estratégicos y los mecanismos de gobernanza de las entidades. Esto incluye detallar los procesos de identificación, evaluación y mitigación de riesgos, además de explicar la función supervisora ​​del consejo de administración en materia de ciberseguridad.
  3. Perspicacia en ciberseguridad a nivel directivo: Las directivas subrayan la necesidad de que los directorios de las empresas tengan competencias en materia de ciberseguridad y exigen información que destaque las credenciales y la experiencia de los directores en materia de ciberseguridad.


Caminos hacia el cumplimiento normativo

Las entidades pueden recorrer el camino hacia el cumplimiento mediante:

  1. Institución de un marco de gestión de riesgos de ciberseguridad: Diseñar un marco holístico de gestión de riesgos que identifique, evalúe y clasifique sistemáticamente las amenazas a la ciberseguridad. Este marco debe integrar políticas, protocolos y salvaguardas para minimizar y gestionar eficazmente los riesgos.
  2. Elaboración de protocolos de respuesta a incidentes: Formular y mantener estrategias de respuesta a incidentes que definan protocolos para detectar, contener y recuperarse de las brechas de ciberseguridad. Estas estrategias deben someterse a auditorías y mejoras periódicas.
  3. Aumentar la participación de la junta directiva: Garantizar la participación activa de la junta directiva en el proceso de supervisión de la ciberseguridad. Esto implica sesiones informativas periódicas sobre amenazas, infracciones y contramedidas en materia de ciberseguridad. Designar a un experto en ciberseguridad en la junta directiva o crear un subcomité especializado en ciberseguridad puede ser una buena idea.
  4. Refinando las prácticas de divulgación: Reevaluar y perfeccionar minuciosamente la información de los informes anuales para garantizar que refleje con precisión la gestión de riesgos de ciberseguridad, la orientación estratégica y la gobernanza de la entidad. Estar preparado para la divulgación rápida de incidentes relevantes.
  5. Aprovechar la consulta con expertos: Colaborar con especialistas legales y en ciberseguridad para alinearse con los requisitos regulatorios específicos de la SEC.


El imperativo de la conformidad regulatoria

Cumplir con las regulaciones de ciberseguridad de la SEC trasciende la obligación legal; representa una conducta corporativa prudente. Al implementar sólidas defensas de ciberseguridad, las entidades pueden proteger su reputación, evitar reveses fiscales y fortalecer la confianza de los inversores. Las iniciativas de ciberseguridad anticipadas pueden prevenir y neutralizar las ciberamenazas antes de que causen graves consecuencias.
repercusiones

Cómo la observabilidad de la red puede ayudar a cumplir con las regulaciones de la SEC

La observabilidad de la red desempeña un papel crucial para cumplir con los mandatos de ciberseguridad de la SEC. Al proporcionar una visibilidad completa de... network En las actividades de seguridad, la observabilidad ayuda a las organizaciones a detectar y responder a amenazas, identificar vulnerabilidades y garantizar el cumplimiento de los requisitos regulatorios. Aquí se explica cómo. network La observabilidad puede ayudar al cumplimiento normativo:

  1. Detección y generación de informes de incidentes mejorados: Herramientas de observabilidad de red como Zeek y Suricata permiten la detección en tiempo real de incidentes de ciberseguridad. Esto garantiza que las organizaciones puedan identificar y reportar rápidamente incidentes significativos dentro del plazo de cuatro días establecido por la SEC.
  2. Gestión Integral de Riesgos: Al monitorear continuamente network Las herramientas de observabilidad, que gestionan el tráfico y analizan datos, ayudan a identificar y mitigar los riesgos de ciberseguridad. Esto respalda el desarrollo de un marco sólido de gestión de riesgos, según lo exige la SEC.
  3. Gobernanza y supervisión mejoradas: La observabilidad de la red proporciona información detallada sobre network Actividades que pueden utilizarse para informar a la junta directiva sobre amenazas e incidentes de ciberseguridad. Esto mejora la capacidad de la junta para supervisar y gestionar eficazmente los riesgos de ciberseguridad.
  4. Divulgaciones precisas y oportunas: con integral network Con visibilidad, las organizaciones pueden garantizar que sus divulgaciones reflejen con precisión su postura en ciberseguridad. Esto incluye informes detallados sobre prácticas de gestión de riesgos y respuestas a incidentes.
  5. Soporte para protocolos de respuesta a incidentes: Las herramientas de observabilidad de red facilitan el desarrollo y la ejecución de protocolos eficaces de respuesta a incidentes. Al proporcionar datos en tiempo real y análisis históricos, estas herramientas ayudan a detectar, contener y recuperarse de las brechas de ciberseguridad.


Actualizaciones recientes de cumplimiento de la SEC

La SEC ha estado aplicando activamente las regulaciones relacionadas con la ciberseguridad, enfatizando la importancia de la divulgación precisa y oportuna. Recientes medidas de cumplimiento han afectado a las empresas por no informar con prontitud sobre incidentes de ciberseguridad y por realizar divulgaciones engañosas sobre sus prácticas de ciberseguridad. Estas medidas resaltan la necesidad de una sólida... network observabilidad para garantizar el cumplimiento de los mandatos de la SEC.

Por ejemplo, las acciones de cumplimiento de la SEC en 2024 contra varias empresas de tecnología por divulgaciones engañosas subrayan la importancia de mantener información precisa y completa. network visibilidad. Aprovechando network Mediante herramientas de observabilidad, las organizaciones pueden asegurarse de cumplir con los estrictos requisitos de informes y divulgación de la SEC, evitando así posibles sanciones y mejorando su postura de ciberseguridad.

Epílogo

Las regulaciones de ciberseguridad de la SEC anuncian una era transformadora en el entorno regulatorio de las empresas que cotizan en bolsa. Al asimilar los principios fundamentales de estas regulaciones y promover proactivamente su cumplimiento, las entidades pueden fortalecer sus defensas de ciberseguridad y proteger sus valiosos recursos.

 

PD: ¿Cómo? NEOX Networks Puede ayudar con la observabilidad de la red

NEOX NETWORKS GmbH se especializa en brindar servicios avanzados network soluciones de visibilidad, monitoreo y seguridad. Sus productos y servicios pueden mejorar significativamente network Observabilidad y ciberseguridad:

  1. Network TAPs: NEOX ofrece una gama de Network TAPs que permiten la monitorización pasiva de network tráfico sin impactar network Rendimiento. Estos TAP garantizan que todos los datos se capturen y analicen con precisión.
  2. Network Packet Broker: NEOX Network Packet Brokers agregar y distribuir network tráfico a diversas herramientas de monitorización, optimizando el tráfico y garantizando una visibilidad integral.
  3. Pleno Packet Capture Systeme: Sus sistemas de captura de paquetes completos permiten un análisis detallado de network tráfico, ayudando en las investigaciones forenses y la detección de amenazas en tiempo real.
  4. Procesamiento avanzado de paquetes: NEOX proporciona soluciones avanzadas de procesamiento de paquetes que reducen la carga de datos en los sistemas de monitoreo y protegen la información confidencial.
  5. Diodo de datos: Para entornos que requieren alta seguridad, los diodos de datos de NEOX refuerzan el flujo de datos unidireccional, lo que garantiza un aislamiento completo entre networks permitiendo al mismo tiempo las transferencias de datos necesarias.

Comparte este blog:

LinkedIn
Facebook
X

Dr. Erdal Özkaya

LinkedIn

Con una trayectoria impresionante de más de 25 años en TI y seguridad, el Dr. Erdal Ozkaya es una figura destacada en el panorama global de la ciberseguridad, dedicado a proteger a las organizaciones de los peligros virtuales. Como CISO de NEOX, el Dr. Ozkaya está a la vanguardia, diseñando estrategias de ciberseguridad y guiando la gestión de riesgos de seguridad de la información. El Dr. Ozkaya se dedica con entusiasmo a abordar los dilemas de la ciberseguridad e impulsar la innovación digital en el ámbito corporativo y en la sociedad en general. Su extraordinario liderazgo y perspicacia no han pasado desapercibidos, lo que le ha valido el reconocimiento como una de las 50 principales figuras del sector tecnológico por parte de IDC y CIO Online, y el prestigioso título de Influenciador Global en Ciberseguridad del Año en los Premios InfoSec.