▷ Sabiduría semanal que puedes leer en pocos minutos. Añade nuestra revista gratuita a tu bandeja de entrada. Lee gratis nuestras revistas de Derecho empresarial, Emprender, Carreras, Liderazgo, Dinero, Startups, Políticas, Ecología, Ciencias sociales, Humanidades, Marketing digital, Ensayos, y Sectores e industrias.

Divulgación del Riesgo de Seguridad Informática

por
▷ Lee Gratis Nuestras Revistas
Recibe gratis nuestras revistas de Derecho empresarial, Emprender, Marketing digital y SEO, Ensayos, Carreras, Liderazgo, Dinero, Políticas, Inversiones y startups, Ecología, Ciencias sociales, Derecho global, Humanidades, y Sectores e industrias, en Substack. Cancela cuando quieras.

Divulgación del Riesgo de Seguridad Informática o Cibernética

Este elemento es una expansión del contenido de los cursos y guías de Lawi. Ofrece hechos, comentarios y análisis sobre este tema. [aioseo_breadcrumbs] El riesgo de seguridad cibernética se está intensificando, en particular con el trabajo a distancia generalizado y el aumento de las interacciones en línea en medio de la pandemia. La rápida adaptación de múltiples procesos y protocolos comerciales para hacer posible este entorno virtual ha aumentado exponencialmente la superficie de ataque de las empresas e introducido nuevos riesgos para la confidencialidad, la integridad y la disponibilidad de los datos críticos de las empresas y los sistemas de apoyo.

El regreso de algunos trabajadores a un lugar de trabajo físico también está planteando nuevos riesgos para la seguridad de los datos y cuestiones de privacidad, y las empresas están recogiendo datos relacionados con la salud de los empleados, los contratistas y los clientes, como las pruebas de COVID-19, los controles de temperatura y la localización de contactos. Al mismo tiempo, el aprovechamiento de tecnologías nuevas y perturbadoras, y el fomento de la confianza de las partes interesadas y del mercado para hacerlo, es fundamental para ayudar a las organizaciones a liderar, innovar y diferenciarse.

En este entorno, mantener la ciberresistencia y fomentar la confianza de los interesados en las prácticas de seguridad y privacidad de los datos de la empresa es un imperativo estratégico. La divulgación pública puede ayudar a crear confianza al proporcionar transparencia y seguridad en torno a la forma en que las juntas directivas cumplen sus responsabilidades de supervisión de los riesgos de seguridad cibernética.

Los investigadores de EY han analizado las divulgaciones relacionadas con la seguridad cibernética en las declaraciones de los representantes y en los formularios 10-K de las empresas de la lista Fortune 100 para identificar las tendencias y los acontecimientos emergentes y ayudar a las empresas a identificar las oportunidades para mejorar la comunicación. (Tal vez sea de interés más investigación sobre el concepto). Hemos examinado 76 empresas de la lista Fortune 100 que presentaron esos documentos desde 2018 hasta el 31 de mayo de 2020. Nos centramos en las áreas de supervisión de la junta de ciberseguridad (incluida la supervisión de los comités de la junta y las calificaciones de los directores), las declaraciones sobre riesgos de ciberseguridad y privacidad de los datos, y la gestión de riesgos (incluida la mitigación de los riesgos de ciberseguridad y los esfuerzos de respuesta y la participación de consultores de seguridad externos). También examinamos el panorama actual de la reglamentación y las políticas públicas de los Estados Unidos en lo que se refiere a la ciberseguridad, así como las perspectivas de los inversores, los directores y algunos de los profesionales de la ciberseguridad.

Hayazgos

Muchas empresas están mejorando sus declaraciones sobre seguridad cibernética, con modestos aumentos en la mayoría de las declaraciones rastreadas. Los cambios más significativos de este año se relacionaron con el área de supervisión de la junta, incluida la supervisión de los comités de la junta y la identificación de las habilidades y conocimientos de los directores. Otras conclusiones notables son la continua escasez de divulgaciones relacionadas con simulaciones de preparación cibernética y el uso de asesores (véase qué es, su concepto jurídico; y también su definición como “assessors” en derecho anglo-sajón, en inglés) independientes de terceros, prácticas que prevalecen en el mercado y que son vitales para mejorar la resistencia cibernética desde la perspectiva de EY (véase “Nuestras observaciones sobre el mercado”).

Divulgaciones de seguridad cibernética de las empresas de la lista Fortune 100

Nota: Los porcentajes se basan en el total de las declaraciones de las empresas. Datos basados en las 76 empresas de la lista Fortune 100 de 2020 que presentaron el Formulario 10-K y declaraciones de poder en 2018, 2019 y hasta el 31 de mayo de 2020. .

La Supervisión de la Junta Directiva

Datos sobre el tema, la divulgación y los porcentajes en 2020 2019 2018, por este orden:

Enfoque de supervisión de riesgos: Reveló un enfoque de ciberseguridad en la sección de supervisión de riesgos de la declaración de poder 89% 88% 79%
Supervisión de los comités de la Junta (algunas empresas designan la supervisión de la seguridad cibernética a más de un comité de la junta directiva):

  • Reveló que al menos un comité de la Junta estaba encargado de la supervisión de los asuntos de seguridad cibernética 87% 82% 74%
  • Reveló que el comité de auditoría supervisa los asuntos de seguridad cibernética 67% 62% 59%
  • Supervisión revelada por un comité no centrado en la auditoría (por ejemplo, riesgo, tecnología) 26% 28% 20%

Habilidades y conocimientos del director:

  • La ciberseguridad se incluye entre las áreas de conocimientos solicitadas en la junta o citadas en la biografía de al menos un director 58% 51% 39%
  • La seguridad cibernética se incluye entre las áreas de especialización que se buscan en la junta 37% 29% 22%
  • Ciberseguridad citada en la biografía de al menos un director 46% 41% 30%

Estructura de información de gestión:

  • Proporcionó información sobre la presentación de informes de gestión a la junta y/o comités que supervisan los asuntos de seguridad cibernética 61% 58% 54%
  • Identificó al menos una “persona clave” (por ejemplo, el Oficial Jefe de Seguridad de la Información o el Oficial Jefe de Información) 33% 34% 25%

Frecuencia de los informes de la gerencia:

  • Incluyó lenguaje sobre la frecuencia de los informes de la gerencia a la junta o comité(s), pero la mayor parte de este lenguaje fue vago 47% 45% 38%
  • Frecuencia de presentación de informes de al menos una vez al año o trimestralmente; las demás empresas utilizaron términos como “regularmente” o “periódicamente” 17% 17% 14%

Declaraciones sobre el riesgo de seguridad cibernética

Datos sobre el tema, la divulgación y los porcentajes en 2020 2019 2018, por este orden:

  • Divulgación de factores de riesgo Incluida la ciberseguridad como factor de riesgo 100% 100% 100%
  • Incluyó la privacidad de los datos como factor de riesgo 99% 99% 93%

Gestión de Riesgos

Datos sobre el tema, la divulgación y los porcentajes en 2020 2019 2018, por este orden:

Esfuerzos de gestión del riesgo de seguridad cibernética

  • Esfuerzos referidos para mitigar el riesgo de seguridad cibernética, como el establecimiento de procesos, procedimientos y sistemas 92% 91% 83%
  • Preparación de respuesta referenciada, como la planificación, la recuperación de desastres o las consideraciones de continuidad de negocio 62% 57% 50%
  • Declaró que la preparación incluye simulaciones, ejercicios de mesa o pruebas de preparación de respuesta 7% 3% 3%
  • Incluida la ciberseguridad en las consideraciones de la compensación de los ejecutivos 5% 1% 1%

Utilización de un asesor externo

  • Utilización divulgada de un asesor externo independiente 16% 13% 16%
  • Compromiso de la junta con un asesor externo independiente 5% 4% 3%

Otros:

  • Educación y capacitación Uso divulgado de los esfuerzos de educación y capacitación para mitigar el riesgo de seguridad cibernética 29% 26% 18%
  • Compromiso con la comunidad de seguridad exterior Revelado colaborando con compañeros, grupos de la industria o políticos 12% 12% 7%

Supervisión del comité de la junta directiva

Más juntas están asignando responsabilidades de supervisión de la seguridad cibernética a un comité. El 87% de las empresas este año han encargado al menos a un comité de la junta directiva la supervisión de la ciberseguridad, frente al 82% del año pasado y el 74% en 2018. Los comités de auditoría siguen siendo la principal opción para esas responsabilidades. Este año el 67% de las juntas directivas asignaron la supervisión de la ciberseguridad al comité de auditoría, en comparación con el 62% en 2019 y el 59% en 2018. El año pasado observamos un aumento significativo en las juntas que asignaban la supervisión de la ciberseguridad a comités que no eran de auditoría, la mayoría de las veces comités de riesgo o de tecnología, (28% en 2019 frente al 20% en 2018), pero ese porcentaje ha disminuido este año (26% en 2020). Una minoría de juntas, el 7% en total, asignó responsabilidades cibernéticas tanto al comité de auditoría como al de no auditoría.

Entre las juntas que asignaron responsabilidades de supervisión de la ciberseguridad al comité de auditoría, casi dos tercios (65%) formalizan esas responsabilidades en la carta del comité de auditoría. Entre las juntas que asignan esas responsabilidades a comités distintos de los de auditoría, la mayoría (85%) incluyen esas responsabilidades en la carta.

Identificación de las aptitudes y los conocimientos especializados de los directores

El porcentaje de empresas que hablan de seguridad cibernética en el contexto de las calificaciones de los directores ha aumentado considerablemente en los últimos años.Entre las Líneas En 2020, el 58% de las empresas incluyeron la ciberseguridad como un área de especialización solicitada en la junta directiva o citada en la biografía de un director, frente al 51% del año pasado y el 39% en 2018.

Puntualización

Sin embargo, algunas empresas citaron explícitamente la experiencia en ciberseguridad en ciertas biografías de directores un año pero no el otro. Las revelaciones indican que las empresas están prestando más atención a señalar la experiencia o los conocimientos de los directores en materia de ciberseguridad.

Privacidad de los datos

Casi todas las compañías (99%) que revisamos abordaron la privacidad de los datos en las divulgaciones de factores de riesgo incluidas en sus presentaciones 10-K de 2020 y 2019, en comparación con el 93% en 2018. El grado de enfoque explícito en la privacidad de los datos como un riesgo material varió ampliamente. Alrededor de una cuarta parte (24%) se centró en la privacidad de los datos como un factor de riesgo independiente, observando a menudo reglamentos de privacidad de los datos cada vez más complejos y cambiantes que crean una alta exposición financiera y jurídica, además de los riesgos de reputación y operacionales que conlleva.

El 30% agrupó la privacidad de los datos con la ciberseguridad como factor de riesgo, abordando conjuntamente los riesgos superpuestos. Poco menos de la mitad (45%) de las empresas abordaron la privacidad de los datos en el contexto de factores de riesgo más amplios, por lo general los relacionados con la tecnología de la información o los riesgos reglamentarios.

Las tendencias de la industria no fueron pronunciadas.

Detalles

Las empresas de las industrias en que los riesgos para la privacidad de los datos son menos prominentes (por ejemplo, la energía y la industria) figuraban entre las que trataban la privacidad de los datos como un factor de riesgo único, y las empresas de las industrias con importantes riesgos para la privacidad de los datos (por ejemplo, la atención de la salud, los servicios financieros, el consumo discrecional y los productos básicos para el consumidor) figuraban entre las que abordaban la privacidad de los datos únicamente en el contexto de los riesgos más amplios.

Incentivos de compensación

El 5% de las empresas incluyeron la seguridad cibernética en las consideraciones relativas a la remuneración de los ejecutivos, generalmente como un factor cualitativo considerado en relación con el pago de incentivos anuales. Cabe destacar que en los últimos tres años unas pocas empresas han recibido propuestas de los accionistas para integrar la métrica de la seguridad cibernética en los incentivos de remuneración de los altos ejecutivos.

Puntualización

Sin embargo, ninguna de esas empresas fue de las pocas que captamos durante nuestro examen. Las propuestas que se sometieron a votación obtuvieron un promedio de 17% de apoyo, y las empresas seleccionadas explicaron en general que no existe necesariamente una correlación entre las acciones de un alto ejecutivo y la prevención de incidentes de seguridad cibernética, o que la consideración ya existe como parte del desempeño general de un ejecutivo individual, si procede.

Simulaciones de preparación de la respuesta y ejercicios de mesa

Si bien el porcentaje de empresas que revelan haber realizado simulaciones de ciberincidentes o ejercicios de mesa se duplicó con creces, pasando del 3% el año pasado al 7% en 2020, el número de empresas que hacen esta revelación sigue siendo bajo. Del puñado de empresas que comunicaron que se realizaron simulaciones, simulacros o ejercicios de mesa a nivel de dirección, ninguna reveló si la junta directiva estaba involucrada en estos ejercicios.

Las simulaciones son una práctica crítica de preparación de riesgos que los líderes de EY y otros creen que las empresas deben priorizar. Incluso el programa de seguridad cibernética más robusto nunca puede eliminar todos los riesgos… Véase también:

Si los planes no se practican y se produce una brecha, la reacción es en gran medida improvisada. Simulaciones de incidentes bien diseñadas y ejercicios de mesa pueden poner a prueba la organización y mejorar la preparación al proporcionar claridad en los roles, protocolos y procesos de escalada. La dirección debería realizar estos ejercicios para poner a prueba las vulnerabilidades significativas de la empresa y donde está en juego el mayor impacto financiero. Las juntas directivas deberían considerar la posibilidad de participar en al menos una de estas simulaciones anualmente.

Además, esos ejercicios ayudan a las empresas a elaborar y poner en práctica planes de acción relacionados con cuestiones de privacidad de los datos.

Más Información

Las infracciones cibernéticas pueden, y a menudo lo hacen, dar lugar a la pérdida de datos personales. Estos eventos requieren el cumplimiento de una serie de complejas leyes estatales y federales (todas las cuales exigen una pronta notificación a los estados, los reguladores y las personas afectadas), y pueden requerir el cumplimiento de las leyes de jurisdicciones no estadounidenses. La práctica es clave para mantener la preparación y responder eficazmente.

Utilización de un asesor externo independiente

El número de empresas que revelaron el uso de un consultor independiente externo para apoyar la gestión se mantuvo bastante estable, con 12 empresas que hicieron la revelación este año, frente a 10 en 2019 y 12 en 2018. Entre las empresas que hicieron la divulgación en 2020, sólo cuatro dejaron claro que la junta se reunió directamente con el tercero independiente. La Asociación Nacional de Directores Corporativos (NACD) y el Manual del Director sobre la Supervisión del Riesgo Cibernético de la Alianza de Seguridad en Internet, recientemente actualizado, alientan a las juntas a considerar la posibilidad de celebrar reuniones informativas en profundidad con expertos independientes de terceros para validar si el programa de seguridad cibernética de la empresa está cumpliendo sus objetivos. Nuestra investigación no identificó ningún debate sobre si se obtuvo una opinión de certificación utilizando el marco de controles de sistemas y organizaciones de seguridad cibernética del Instituto Americano de Contadores Públicos Certificados, que prevé una evaluación independiente en toda la entidad del programa de gestión de riesgos de seguridad cibernética de la empresa.

Las observaciones del mercado

En los dos últimos años, los dirigentes de EY han colaborado regularmente con las juntas directivas y han organizado reuniones de directores y expertos en seguridad cibernética para debatir los retos y las prácticas más importantes para supervisar el riesgo de la seguridad cibernética. Esto incluye una serie de diálogos de directores a finales de 2019 y a lo largo de 2020 en los que participaron más de 500 directores. A principios de 2020, publicamos las preguntas recomendadas que las juntas directivas, y en particular los comités de auditoría, deberían considerar para estar más atentos a su supervisión de los riesgos de la ciberseguridad en el actual entorno de trabajo virtual posterior a COVID-19.

Sobre la base de los conocimientos compartidos a través de estos compromisos con los directores, así como lo que los profesionales de la ciberseguridad de la consultora están haciendo en todo el mundo y en todas las industrias y tamaños de empresa, hemos identificado las siguientes prácticas principales de la junta:

  • Demostrar que la ciberseguridad y el riesgo de la privacidad son temas críticos de negocio, aumentando el tiempo y el esfuerzo de la junta y/o el comité para discutir el tema.
  • Manténgase al día. Aumentar la frecuencia de las actualizaciones de la junta y/o comité sobre acciones específicas para abordar los nuevos problemas y amenazas a la ciberseguridad y la privacidad como resultado del cambio sísmico a distancia Esto incluye tener discusiones regulares sin filtrar de la junta con el CISO en sesiones ejecutivas.
  • Determinar el valor en Comprender el valor en riesgo de la empresa en dólares más allá del seguro y reconciliarse con la tolerancia al riesgo de la junta.
  • Incorporar la seguridad de la Abrazar una filosofía de “Confianza por Diseño” diseñando nueva tecnología, productos y arreglos de negocios con la seguridad en mente.
  • Evaluar de forma independiente el Programa de Gestión de Riesgos de Ciberseguridad (CRMP). Confirmar que el CRMP es evaluado de forma independiente y apropiada por un tercero con su retroalimentación directa a la junta.
  • Comprender los protocolos. Obtener una comprensión completa del proceso y los protocolos de escalada de incidentes y violaciones de la ciberseguridad, incluido un plan de comunicación definido para el momento en que se debe notificar a la junta.
  • Gestionar a terceros Comprender los procesos de gestión para identificar, evaluar y gestionar el riesgo asociado (véase qué es, su concepto jurídico; y también su definición como “associate” en derecho anglo-sajón, en inglés) a los proveedores de servicios y a la cadena de suministro. Asimismo, considerar la necesidad de una evaluación para cubrir los riesgos de terceros a lo largo de la cadena de suministro de la empresa.
  • Poner a prueba la respuesta y mejorar la capacidad de recuperación de la empresa haciendo que la capacidad de la empresa para responder y recuperarse se ponga a prueba mediante simulaciones y concertando protocolos con profesionales de terceros antes de una crisis.
  • Supervisar la evolución de las prácticas. Estar atento a la evolución de las prácticas de supervisión de la seguridad cibernética de las juntas y comités y a la divulgación de información, incluida la comparación con las divulgaciones de los últimos dos o tres años.

Divulgación de incidentes cibernéticos

La divulgación de incidentes de seguridad cibernética material aumenta constantemente, pero sigue siendo baja, un 13%, en comparación con el 12% en 2019 y el 7% en 2018.Entre las Líneas En 2020, 10 empresas revelaron incidentes cibernéticos, y cada empresa reveló un solo incidente. Sólo uno de esos incidentes se había producido en el último año, y el resto se remontaba a 2006. Alrededor de un tercio de las infracciones de datos reveladas se relacionaban con ataques cibernéticos de terceros proveedores de servicios. La profundidad de las divulgaciones varió, a menudo en función de lo reciente del suceso. Las divulgaciones iban desde la declaración de la ocurrencia de un incidente y sus amplias repercusiones conexas hasta la presentación de un relato más detallado, incluido el número de titulares de cuentas afectados, la naturaleza de los datos y las medidas correctivas adoptadas para corregir la vulnerabilidad de la seguridad.

En un informe de 2020 de Audit Analytics, Trends in Cybersecurity Breach Disclosures, en el que se examinaban las infracciones de la seguridad cibernética que afectaban a las empresas públicas de 2011 a 2019, se constató que el número de incidentes notificados había alcanzado un máximo de 140 en 2019, lo que representaba un aumento del 400% desde 2011.Entre las Líneas En el informe también se constató que, en promedio, las empresas tardaban más de 100 días en descubrir que se había producido una infracción.

Perspectivas de los inversores

La ciberseguridad sigue siendo una prioridad para la participación de los inversores. Como parte de nuestro programa anual de divulgación para inversores del Centro EY para Asuntos de la Junta, en el otoño de 2019 preguntamos a más de 60 inversores institucionales que representan más de 35 billones de dólares de los EE.UU. en activos bajo gestión lo que consideran las mayores amenazas para el éxito estratégico de las empresas de cartera en los próximos tres a cinco años. La ciberseguridad y la privacidad de los datos ocupaban el tercer lugar entre los principales riesgos que citaron, y estas conversaciones tuvieron lugar mucho antes de COVID-19 y la consiguiente aceleración del trabajo a distancia.

Los inversores comentaron en general que todas las empresas de todos los sectores están expuestas a estos riesgos y que, a medida que las preferencias de los consumidores y las exigencias de eficiencia empresarial conducen a un mundo cada vez más digitalizado y conectado electrónicamente, los riesgos siguen multiplicándose. Después de COVID-19, esos riesgos se han multiplicado, en efecto, incluso desde que se celebraron esos debates de divulgación entre los inversores.

Dado que no se puede eliminar la amenaza de una infracción, algunos inversores subrayaron que están especialmente interesados en la capacidad de recuperación, incluida la forma (y la rapidez) en que las empresas detectan y mitigan los incidentes de seguridad cibernética. Algunos preguntan a las empresas de su cartera acerca de prácticas concretas de seguridad cibernética, por ejemplo, si la empresa ha realizado una evaluación independiente de su programa de seguridad cibernética, y otros se centran cada vez más en la privacidad de los datos y en si las empresas están identificando y abordando adecuadamente las preocupaciones conexas de los consumidores y los requisitos normativos cada vez más amplios.

Directrices de la SEC

La Comisión de Valores y Bolsa continúa con su enfoque en la ciberseguridad.Entre las Líneas En un informe de enero de 2020, la Oficina de Cumplimiento e Inspecciones de la SEC señaló que “la gravedad de las amenazas y las posibles consecuencias para los inversores, los emisores y otros participantes en el mercado de valores, así como para los mercados financieros y la economía en general, son importantes y van en aumento”. 2] Con el cambio acelerado impulsado por COVID-19 hacia el negocio digital y los cambios masivos y potencialmente permanentes hacia el trabajo a distancia, incluidas las reuniones virtuales de la junta directiva y de la dirección ejecutiva, los riesgos de la ciberseguridad son exponencialmente mayores.

▷ Lo último (en 2026)
▷ Si te gustó este texto o correo, considera compartirlo con tus amigos. Si te lo reenviaron por correo, considera suscribirte a nuestras publicaciones por email de Derecho empresarialEmprenderDineroMarketing digital y SEO, Ensayos, PolíticasEcologíaCarrerasLiderazgoInversiones y startups, Ciencias socialesDerecho globalHumanidades, Startups, y Sectores económicos, para recibir ediciones futuras.

La División de Finanzas de la Corporación de la SEC también publicó en diciembre de 2019 directrices relativas a la divulgación de la propiedad intelectual y los riesgos tecnológicos asociados a las operaciones internacionales en vista de la mayor dependencia de la tecnología digital para llevar a cabo y gestionar los negocios. 3]

Las orientaciones de la División establecen, en parte, que animan a las empresas a que evalúen los riesgos relacionados con el “posible robo o la puesta en peligro de su tecnología, sus datos o su propiedad intelectual en relación con sus operaciones internacionales, así como la forma en que la realización de esos riesgos puede repercutir en sus negocios, incluida su situación financiera y los resultados de las operaciones, y cualquier efecto en su reputación, el precio de las acciones y el valor a largo plazo. Cuando estos riesgos sean importantes para las decisiones de inversión y votación, deben ser divulgados, y alentamos a las empresas a que proporcionen una divulgación que permita a los inversores evaluar estos riesgos a través de los ojos de la dirección. (Tal vez sea de interés más investigación sobre el concepto). Es importante que la divulgación de estos riesgos se adapte específicamente a los hechos y circunstancias singulares de una empresa.Entre las Líneas En este mismo sentido, cuando la tecnología, los datos o la propiedad intelectual de una empresa están siendo o han sido comprometidos materialmente, robados o accedidos ilícitamente de alguna otra manera, la divulgación hipotética de los posibles riesgos no es suficiente para satisfacer las obligaciones de presentación de informes de una empresa. Creemos que las empresas deben seguir considerando esta área de riesgo en evolución y evaluar su importancia relativa de manera continua.”

Las orientaciones de la División también reiteran las orientaciones de la SEC para 2018, en las que se aclaran las obligaciones de las empresas de revelar los riesgos de seguridad cibernética, las infracciones materiales y las posibles repercusiones de las infracciones en los negocios, las finanzas y las operaciones, con el objetivo de que los inversores puedan tomar decisiones de inversión más informadas sobre los riesgos… Véase también:

4] Tanto las orientaciones de la División como las de la Comisión recuerdan a las empresas que varios de los requisitos de divulgación de información existentes en la SEC podrían exigir la divulgación de cuestiones de seguridad cibernética, en particular en la sección comercial, los procedimientos jurídicos, la EAD, la sección financiera, los controles y procedimientos de divulgación de información, la función del consejo de administración (o junta directiva) en la gestión de riesgos y los factores de riesgo.

Basado en la experiencia de varios autores, mis opiniones, perspectivas y recomendaciones se expresarán a continuación (o en otros lugares de esta plataforma, respecto a las características en 2026 o antes, y el futuro de esta cuestión):

Desde la perspectiva de la divulgación de información sobre los emisores, es importante que los inversores estén suficientemente informados sobre los riesgos e incidentes importantes en materia de seguridad cibernética que afectan a las empresas en las que invierten, según manifestó el Presidente de la SEC.

La Comisión de Valores y Bolsa también ha subrayado la importancia de contar con controles y procedimientos de divulgación sólidos que permitan la divulgación oportuna y precisa de los riesgos e incidentes de seguridad cibernética, así como de prohibiciones claras del uso de información privilegiada en relación con los incidentes de seguridad cibernética. [5]

El personal de la SEC examina y comenta las divulgaciones relacionadas con la seguridad cibernética como parte de sus revisiones periódicas de las presentaciones de las empresas públicas. El personal también monitorea los informes de noticias de las brechas cibernéticas para ayudar en este proceso. [6] El personal de la SEC ha dicho que sí

“…no ejercicios de buena fe de juicio sobre revelaciones de incidentes cibernéticos.Si, Pero: Pero también hemos advertido que la respuesta de una compañía a un evento de este tipo podría ser tan deficiente que podría justificarse una acción de aplicación de la ley”. Ya se ha presentado un caso de este tipo. 8] Además, la Comisión de Valores y Bolsa ha presentado un caso contra una empresa por engañar a los inversores sobre los riesgos que enfrentaba por el uso indebido de los datos de los usuarios. [9]

El entorno de la política pública de los Estados Unidos

Los encargados de la formulación de políticas en Washington siguen luchando por la forma de hacer frente a las crecientes y cambiantes amenazas cibernéticas. Si bien es poco probable que se encuentre una solución legislativa en 2020, sigue siendo una preocupación clave y un foco de atención para el Congreso y la administración.

En marzo de 2020, la Comisión del Solario del Ciberespacio, establecida en la Ley de Autorización de la Defensa Nacional de 2019 para “desarrollar un consenso sobre un enfoque estratégico para defender a los Estados Unidos en el ciberespacio contra los ataques cibernéticos de consecuencias importantes”, “emitió su informe dirigido por el Congreso instando a los EE.UU. a adoptar un plan de “disuasión cibernética en capas” para reducir la ocurrencia y el impacto de los ataques cibernéticos a través de (1) la formación de un comportamiento responsable en el ciberespacio, (2) la negación de beneficios a los que participan en acciones inapropiadas, y (3) la imposición de costos a los actores que apuntan a América en el ciberespacio. El informe hace 80 recomendaciones a través de seis pilares de reforma, incluyendo la enmienda de la Ley Sarbanes-Oxley (SOX) para incluir los requisitos de presentación de informes de seguridad cibernética. Observando que la posición en materia de seguridad cibernética de una empresa del sector público es un componente fundamental de su situación financiera, el informe recomienda enmendar la SOX para especificar los requisitos de responsabilidad empresarial en materia de seguridad de los sistemas de información; la realización y el registro de las evaluaciones de los riesgos en materia de seguridad cibernética; el mantenimiento de registros internos relativos a esas evaluaciones; y “las evaluaciones de la gestión y la certificación de los planes para gestionar los riesgos de los sistemas de información y los datos”. El Congreso aún no ha avanzado en la adopción de estas recomendaciones en la legislación.

La Ley de divulgación de la seguridad cibernética de 2019 es otra propuesta que está pendiente en el Congreso. El proyecto de ley bipartidista presentado por el senador Jack Reed (D-RI) y apoyado por la senadora Susan Collins (R-ME), ordenaría a la SEC emitir reglas finales que requieren que una empresa pública registrada revele en su informe anual o en su declaración de poder anual si algún miembro de su junta directiva tiene conocimientos o experiencia en materia de seguridad cibernética. A diferencia de los proyectos de ley introducidos en anteriores sesiones del Congreso, esta versión permite a una empresa revelar por qué no es necesario tener conocimientos cibernéticos en la junta directiva debido a otros protocolos de seguridad cibernética establecidos por la empresa. El Comité de Servicios Financieros de la Cámara de Representantes aprobó la legislación, que fue presentada por el representante Jim Himes (D-CT), en diciembre de 2019, pero no se ha tomado ninguna otra medida en el Congreso.

Por último, en el frente administrativo, la Comisión Federal de Comercio anunció que sus órdenes de seguridad de datos incluirían disposiciones que “mejoren las prácticas de seguridad de datos y proporcionen una mayor disuasión”. Entre estas disposiciones, la FTC ordenará que “cada año las empresas deben presentar a su Junta u órgano rector similar su programa escrito de seguridad de la información y, en particular, los funcionarios superiores deben proporcionar ahora certificaciones anuales de cumplimiento a la FTC”. Estos requisitos sólo serán aplicables a las empresas que estén sujetas a las órdenes de consentimiento de la FTC, pero el anuncio demuestra cómo la gestión de los riesgos de seguridad cibernética por parte de las empresas seguirá siendo un tema clave del Congreso y de otros responsables políticos en Washington.

📬Si este tipo de historias es justo lo que buscas, y quieres recibir actualizaciones y mucho contenido que no creemos encuentres en otro lugar, suscríbete a este substack. Es gratis, y puedes cancelar tu suscripción cuando quieras:

Qué piensas de este contenido? Estamos muy interesados en conocer tu opinión sobre este texto, para mejorar nuestras publicaciones. Por favor, comparte tus sugerencias en los comentarios. Revisaremos cada uno, y los tendremos en cuenta para ofrecer una mejor experiencia.

La falta de acción del Congreso ha empujado a los estados a desplegar un mosaico de leyes de seguridad cibernética. La acción legislativa estatal en materia de seguridad cibernética aumentó durante el último período de sesiones, con más de 230 proyectos de ley introducidos relacionados con la creación de grupos de trabajo de seguridad cibernética, la capacitación obligatoria de los empleados del Estado, la sanción por violación de datos y los requisitos de notificación a las empresas privadas, entre otras cosas. Cabe esperar que los Estados sigan evolucionando en este espacio para combatir las crecientes preocupaciones en materia de seguridad cibernética, dado el actual, y en algunos casos permanente, aumento del trabajo a distancia.

Datos verificados por: Chris

[rtbs name=”gobernanza-corporativa-internacional”] [rtbs name=”riesgos”]

Recursos

[rtbs name=”informes-jurídicos-y-sectoriales”][rtbs name=”quieres-escribir-tu-libro”]

Notas y Referencias

  1. Ver Spotlight on Cybersecurity, the SEC and You, U.S. Securities and Exchange Commission.
  2. http://www.sec.gov/files/OCIE Cybersecurity and Resiliency Observations.pdf, Oficina de Inspecciones y Exámenes de Cumplimiento, Comisión de Valores y Bolsa de los Estados Unidos, enero de 2020.
  3. Intellectual Property and Technology Risks Associated with International Business Operations, Division of Corporation Finance, U.S. Securities and Exchange Commission, diciembre de 2019.
  4. Declaración y orientación de la Comisión sobre las divulgaciones de seguridad cibernética de las empresas públicas, Declaración de la Comisión de Valores y Bolsa de los Estados Unidos, 2018. Véase también “SEC Rulemaking Over the Past Year, the Road Ahead and Challenges Posed by Brexit, LIBOR Transition and Cybersecurity Risks”, discurso del Presidente de la SEC Jay Clayton, 6 de diciembre de 2018; publicación de EY 2018 Conferencia de la AICPA sobre los desarrollos actuales de la SEC y el PCAOB.
  5. Ver también EY’s How the SEC views cybersecurity disclosures and board’s oversight role.
  6. “SEC Rulemaking Over the Past Year, the Road Ahead and Challenges Posed by Brexit, LIBOR Transition and Cybersecurity Risks”, discurso del Presidente de la SEC Jay Clayton, 6 de diciembre de 2018; publicación de EY 2018 Conferencia de la AICPA sobre los desarrollos actuales de la SEC y el PCAOB.
  7. Altaba, antes conocido como Yahoo!, acusado de no haber revelado la masiva violación de la seguridad cibernética; acuerda pagar 35 millones de dólares, comunicado de prensa de la SEC, 24 de abril de 2018.
  8. Altaba, antes conocido como Yahoo!, acusado de no haber revelado la masiva violación de la seguridad cibernética; acuerda pagar 35 millones de dólares, comunicado de prensa de la SEC, 24 de abril de 2018.
  9. Facebook pagará 100 millones de dólares por engañar a los inversores acerca de los riesgos que conlleva el mal uso de los datos de los usuarios, comunicado de prensa de la SEC, 24 de julio de 2019.

Véase También

Ciberseguridad, Divulgación, Inversores institucionales, Protección de los inversores, Riesgo, Divulgación de riesgos, Gestión de riesgos, Supervisión de riesgos, Regulación de valores

▷ Esperamos que haya sido de utilidad. Si conoces a alguien que pueda estar interesado en este tema, por favor comparte con él/ella este contenido. Es la mejor forma de ayudar al Proyecto Lawi.
▷ Lee Gratis Nuestras Publicaciones
,Si este contenido te interesa, considera recibir gratis nuestras publicaciones por email de Derecho empresarial, Emprender, Dinero, Políticas, Ecología, Carreras, Liderazgo, Ciencias sociales, Derecho global, Marketing digital y SEO, Inversiones y startups, Ensayos, Humanidades, y Sectores económicos, en Substack.

1 comentario en «Divulgación del Riesgo de Seguridad Informática»

  1. Pingback: ▷ Divulgación (Explicado) ‣ Todo sobre Divulgación ‣ 2023 😀

Foro de la Comunidad: ¿Estás satisfecho con tu experiencia? Por favor, sugiere ideas para ampliar o mejorar el contenido, o cómo ha sido tu experiencia:

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

▷ Recibe gratis nuestras revistas de Derecho empresarial, Emprender, Carreras, Dinero, Políticas, Ecología, Liderazgo, Marketing digital, Startups, Ensayos, Ciencias sociales, Derecho global, Humanidades, y Sectores económicos, en Substack. Cancela cuando quieras.

Descubre más desde Plataforma de Derecho y Ciencias Sociales

Suscríbete ahora para seguir leyendo y obtener acceso al archivo completo.

Seguir leyendo