A medida que las reglas finales comiencen a entrar en vigor, reconocemos que las empresas públicas trabajarán para garantizar su cumplimiento. Esto podría implicar fomentar conversaciones entre los directores de seguridad de la información, otros expertos y tecnólogos en ciberseguridad de una empresa, el comité de divulgación de la empresa y los responsables de asesorarlos sobre el cumplimiento de la ley de valores. A medida que surgen preguntas interpretativas, quisiera hacer hincapié en la política de puertas abiertas de larga data de la División. Venga a hablar con el personal sobre sus preguntas. Reconocemos que la divulgación pertenece a las empresas públicas y que las empresas públicas y sus asesores están en la primera línea de la divulgación e información a los inversores.
El personal de la Comisión también está ocupado trabajando. Estamos trabajando no solo para responder preguntas y explicar la regla, sino también para preparar a los abogados y contadores de nuestro Programa de Revisión de Divulgaciones para revisar las divulgaciones. Para nuestro Programa de Revisión de Divulgación, el primer año de una regla es muy importante. Pero quiero asegurarles a las empresas y a sus representantes que nuestra División no busca hacer comentarios de «trampa» o penalizar las faltas en los pies. En la medida en que sea apropiado, podemos emitir comentarios prospectivos a empresas o CDI adicionales. Este es un mensaje similar al que yo y otros miembros de la División hemos dado con respecto a otras normas de divulgación que han entrado en vigor recientemente, como las normas de remuneración frente a desempeño. [17] Reconozco el valor de crear incentivos para los esfuerzos de buena fe para cumplir con las nuevas reglas, y espero que este mensaje y el historial de nuestra División con respecto a esas otras reglas brinden tranquilidad a las empresas y sus asesores, particularmente en el primer año de vigencia de esta regla.
Al recomendar nuevos requisitos de divulgación a la Comisión, nuestro objetivo como personal no es simplemente tener otra regla en los libros, simplemente agregar a la «lista de verificación» de cumplimiento de una empresa o inducir divulgaciones repetitivas. Más bien, esperamos obtener divulgaciones personalizadas que proporcionen información consistente, comparable y útil para la toma de decisiones a los inversionistas, en este caso sobre riesgos que realmente no existían (o al menos no existían en la forma actual y en la medida actual) cuando comencé a ejercer como abogado hace varias décadas. Incluso cuando un riesgo es emergente o está evolucionando, las normas de divulgación pueden proporcionar los mismos beneficios en términos de protección de los inversores y formación de capital que tienen para los riesgos a los que se han enfrentado las empresas públicas durante décadas.
Etiqueta: Ciberseguridad
La regla final de la SEC introduce informes digitales de ciberseguridad
La Comisión de Bolsa y Valores de EE. UU. (SEC) ha publicado su norma final sobre gestión de riesgos, estrategia, gobernanza y divulgación de incidentes de ciberseguridad por parte de empresas públicas. Esto requerirá que las empresas realicen divulgaciones anuales sobre gestión, estrategia y gobernanza de riesgos de ciberseguridad, así como divulgaciones adicionales después de cualquier incidente importante de ciberseguridad, utilizando Inline XBRL.
Al introducir datos estructurados y estandarizados, la SEC busca «hacer que las divulgaciones sean más accesibles para los inversores y otros participantes del mercado y facilitar un análisis más eficiente». Los comentaristas de la propuesta acogieron con agrado el potencial de extracción y análisis automatizados. Para facilitar la implementación y aliviar cualquier carga adicional de presentación de informes, la SEC ha incorporado fechas de cumplimiento escalonadas para los informes Inline XBRL, cada una de las cuales se aplica un año después del mandato de divulgación inicial.
Esta regla ha resultado controvertida, y algunos cuestionan la idoneidad de una mayor transparencia en un ámbito con posibles sensibilidades comerciales, así como las presiones de tiempo en torno a la divulgación de incidentes. Nuestra opinión, sin embargo, es que aquí, como suele ocurrir, la luz del sol es el mejor desinfectante. Éstas son áreas de riesgo cada vez más importantes donde las partes interesadas requieren información de alta calidad.
«Ya sea que una empresa pierda una fábrica en un incendio, o millones de archivos en un incidente de ciberseguridad, puede ser importante para los inversores», dijo el presidente de la SEC, Gary Gensler. “Actualmente, muchas empresas públicas ofrecen información sobre ciberseguridad a los inversores. Sin embargo, creo que tanto las empresas como los inversores se beneficiarían si esta divulgación se hiciera de una manera más coherente, comparable y útil para tomar decisiones. Al ayudar a garantizar que las empresas divulguen información importante sobre ciberseguridad, las normas actuales beneficiarán a los inversores, las empresas y los mercados que los conectan”.
La ciberseguridad de los bancos – Una segunda generación de enfoques regulatorios
Las reglamentaciones bancarias relativas a la ciberseguridad y la ciberresiliencia han madurado y ya están bien establecidas en varias jurisdicciones. Las regulaciones relacionadas con la seguridad cibernética y la resiliencia cibernética cubiertas en Crisanto y Prenio (2017) eran bastante nuevas. Estas regulaciones existían solo en unas pocas jurisdicciones, principalmente en AES, y se centraban en establecer un enfoque y controles de gestión de riesgos cibernéticos. Seis años después, muchas jurisdicciones, incluidas las EMED, ya cuentan con regulaciones relacionadas con el ciberespacio. Muchas de estas regulaciones más recientes (o regulaciones cibernéticas de segunda generación) se centran en mejorar las capacidades de resiliencia cibernética y proporcionar a las instituciones y autoridades financieras herramientas para gestionar adecuadamente los riesgos cibernéticos. No obstante, un número importante de EMED todavía no tienen regulaciones relevantes.
Los reguladores están agregando requisitos o expectativas específicas en algunas áreas o agregando nuevos elementos en sus regulaciones cibernéticas. Ahora existen requisitos regulatorios más específicos sobre respuesta y recuperación de incidentes cibernéticos, así como sobre gestión y supervisión de terceros, informes de incidentes y marcos de prueba. Algunas jurisdicciones también han introducido requisitos o expectativas para la fuerza laboral de seguridad cibernética y las métricas de resiliencia cibernética. Sin embargo, la estrategia de seguridad cibernética, los informes de incidentes cibernéticos, el intercambio de inteligencia de amenazas, las dependencias de terceros y las pruebas de resiliencia cibernética siguen siendo el enfoque principal de estas regulaciones.
Las regulaciones cibernéticas en las EMED tienden a ser más prescriptivas. Este es especialmente el caso cuando se trata de la estrategia de seguridad cibernética, los acuerdos de gobernanza, incluidos los roles y responsabilidades, y la naturaleza y frecuencia de las pruebas de resiliencia cibernética. Los reguladores bancarios en las EMED tal vez vean la necesidad de fortalecer la cultura de resiliencia cibernética en todo el sector financiero y/o de ser más claros y específicos en sus expectativas dadas las limitaciones de recursos y el suministro limitado de habilidades y experiencia en sus jurisdicciones. De esta manera, los consejos de administración, la alta dirección y el personal de los bancos tienen una orientación concreta a seguir para mejorar la seguridad cibernética de sus instituciones.
Es necesario protegerse contra un enfoque basado en el cumplimiento para abordar la ciberseguridad. Demasiada prescriptividad puede resultar en un enfoque de casilla de verificación para la seguridad cibernética. La implementación de regulaciones cibernéticas tampoco debe verse como un ejercicio de casilla de verificación. Debe complementarse con recursos de supervisión adecuados para garantizar una aplicación y un cumplimiento efectivos. Por lo tanto, hay margen para que las organizaciones internacionales y las autoridades financieras en Aes apoyen los esfuerzos de desarrollo de capacidades de supervisión en las EMED, en particular en el ámbito de la ciberseguridad. Después de todo, las amenazas cibernéticas no conocen fronteras.
El trabajo internacional (por ejemplo, de los organismos de seguridad y del G7) ha facilitado un nivel útil de convergencia de la ciber resiliencia en el sector financiero, pero es necesario seguir trabajando. Ninguna empresa o regulador puede abordar con éxito el riesgo cibernético por sí solo. Además, la naturaleza transfronteriza del riesgo cibernético requiere un grado razonable de alineación en las expectativas regulatorias nacionales. El trabajo del G7 CEG y los SSB sobre ciberresiliencia ha hecho que las expectativas de regulación y supervisión financiera sean más consistentes en diferentes jurisdicciones y, por lo tanto, es un paso en la dirección correcta. En particular, la propuesta del FSB para una mayor convergencia en la notificación de incidentes cibernéticos es un desarrollo importante, ya que trata de conciliar los diferentes requisitos jurisdiccionales que solo cargan a las instituciones supervisadas en lugar de ayudar a abordar estos incidentes. En el futuro, podría haber margen para alinear las formas en que las autoridades evalúan la resiliencia cibernética de las instituciones supervisadas. Esto podría, por ejemplo, incluir alinear la evaluación de la adecuación de la gobernanza de seguridad cibernética, la fuerza laboral y las métricas de resiliencia cibernética de una empresa. Además, dadas las posibles implicaciones transfronterizas para el sistema financiero de un incidente cibernético en un proveedor externo crítico, particularmente un proveedor de nube, podría haber margen para considerar un marco de supervisión internacional para dichos proveedores.
El imperativo de la innovación – modernizar la banca tradicional
La innovación plantea desafíos dentro del sistema bancario regulado, que pueden amplificarse para los bancos comunitarios. Además de presentar nuevas oportunidades, la innovación puede introducir nuevos riesgos y crear nuevas vulnerabilidades. Los bancos, y en realidad, cualquier empresa hoy en día que adopte nuevas tecnologías deben estar preparados para realizar las mejoras correspondientes para gestionar estos riesgos y vulnerabilidades, incluidas las mejoras en la gestión de riesgos, la ciberseguridad y el cumplimiento del consumidor. Los reguladores deben continuar promoviendo esfuerzos que sean consistentes con prácticas bancarias seguras y sólidas y en cumplimiento con las leyes aplicables, incluidas las leyes de protección al consumidor. Como estoy seguro de que aprecian, esta no siempre es una tarea fácil, y la respuesta regulatoria a la innovación debe reflejar los cambios en la forma en que los bancos participan en este proceso.
Es absolutamente crítico que la innovación no distraiga a los bancos y reguladores de los riesgos tradicionales que son omnipresentes en el negocio de la banca, particularmente el crédito, la liquidez, la concentración y el riesgo de tasa de interés. Estos riesgos más tradicionales están presentes en todos los modelos de negocio bancarios, pero pueden ser especialmente agudos para los bancos que participan en actividades novedosas o están expuestos a nuevos mercados. incluidos los criptoactivos. Cualquiera que sea la causa, muchos riesgos tradicionales pueden mitigarse con prácticas adecuadas de gestión de riesgos y planificación de la liquidez, y una supervisión eficaz, y sin sofocar la capacidad de los bancos para innovar.
Comunicado sobre Modificaciones al Reglamento SP, Gestión de Riesgos de Ciberseguridad y Modificaciones al Reglamento SCI
Las tres propuestas que estamos considerando hoy abordan el papel de la tecnología de la información en los mercados de valores. [1] La tecnología ya no es solo fundamental para el funcionamiento de los mercados: son los mercados, y su gestión es vital para la protección de los inversores y las operaciones de mercado justas, ordenadas y eficientes.
Si bien las tres propuestas que estamos considerando hoy están relacionadas, cada una tiene un alcance y propósito únicos: las enmiendas al Reglamento SP abordan la privacidad de los datos y la protección de la información del cliente, la propuesta de Gestión de riesgos de seguridad cibernética se centra en proteger a las entidades del mercado de las amenazas cibernéticas y las enmiendas a La regulación SCI se relaciona con la fortaleza y resiliencia de la infraestructura clave del mercado. En algunos casos, estos diferentes objetivos pueden lograrse por medios similares, por ejemplo, al exigir a las entidades que establezcan políticas y procedimientos para abordar los riesgos de seguridad cibernética. Y puede ser que las entidades del mercado puedan apalancar las mismas acciones para cumplir con más de una regla. Cada uno de los comunicados solicita comentarios sobre si la duplicación creará algún desafío de implementación práctica, y animo a los comentaristas a que nos digan si creen que ese es el caso. Sin embargo, cada una de estas propuestas aborda un aspecto diferente y crítico del papel de la tecnología en los mercados.
Continúan los preparativos para DORA
Esta semana, las Autoridades Europeas de Supervisión (ESA) celebraron un debate técnico sobre la próxima Ley de resiliencia operativa digital (DORA). DORA tiene como objetivo armonizar los requisitos de resiliencia operativa digital en toda la UE y entrará en vigor el 16 de enero de 2023, aplicable a partir del 17 de enero de 2025.
DORA tiene como objetivo aumentar la resiliencia del sector financiero con la nueva regulación que requiere que las empresas tengan una seguridad cibernética fuerte. Los mandatos de política discutidos esta semana incluyen la gestión de riesgos de TIC, la notificación de incidentes, el registro de información y los criterios de criticidad.
DORA es una pieza importante de la legislación que tendrá un impacto en las partes interesadas en múltiples sectores que suministran servicios financieros a los actores. Se espera que una consulta abierta contribuya al desarrollo de los mandatos de políticas (el RTS aún no se ha publicado). Observe este espacio para ver los desarrollos.
Perspectivas de los Grupos de Coordinación Cibernética 2021
Desde que se lanzó el programa CCG en 2017, los CCG han reunido a líderes de seguridad cibernética y riesgo tecnológico de la industria en foros compartidos y los han conectado con múltiples autoridades responsables de la resiliencia cibernética en todo el sector financiero, para discutir temas clave en un entorno seguro.
A las firmas miembro se unieron representantes de las autoridades financieras del Reino Unido y las agencias gubernamentales del Reino Unido (las autoridades), incluidas el Tesoro, la FCA, el Banco de Inglaterra, el Centro Nacional de Seguridad Cibernética (NCSC) y la Agencia Nacional del Crimen (NCA).
Los foros de CCG se celebran trimestralmente con el objetivo de ayudar a las empresas a compartir conocimientos, desafíos y buenas prácticas para proteger al sector financiero de las amenazas cibernéticas. También promueven el compromiso entre el sector financiero y las autoridades.
En 2021, celebramos 30 foros y reunimos a 152 empresas en 7 CCG, y cada CCG representa un subsector específico. Estos subsectores fueron Seguros, Gestión de Inversiones, Gestión de Fondos, Banca Minorista y Empresas de Pagos, Inversiones y Préstamos Minoristas, Brokers/Principales Empresas de Negociación y Comercio/Sociedades de Administración de Índices de Referencia.
La FCA también apoya el foro Trade Association Cyber Information Group (TACIG) que reúne a los principales organismos de la Asociación Comercial del Sector Financiero, para maximizar el intercambio de información relevante para el sector financiero.
Encender un FUEGO bajo informes de incidentes cibernéticos: ¿se necesita un formato digital?
El Consejo de Estabilidad Financiera (FSB) ha publicado un documento consultivo sobre cómo lograr una mayor convergencia en la notificación de incidentes cibernéticos. «La información oportuna y precisa sobre incidentes cibernéticos es crucial para una respuesta y recuperación efectivas de incidentes y para promover la estabilidad financiera», observa.
Un aspecto importante de las propuestas del FSB es el desarrollo de un formato común para el intercambio de informes de incidentes (FIRE). Ya ha encontrado un alto grado de similitud en los requisitos de información para los informes de incidentes cibernéticos. «Sobre la base de estos puntos en común, el FSB propone el desarrollo de un formato de información común que podría ser considerado más a fondo entre las instituciones financieras y las autoridades financieras».
FMI – La computación cuántica y el sistema financiero – acción espeluznante a distancia
La era de la computación cuántica está a punto de comenzar, con profundas implicaciones para la economía global y el sistema financiero. El rápido desarrollo de la computación cuántica trae beneficios y riesgos. Las computadoras cuánticas pueden revolucionar industrias y campos que requieren una potencia informática significativa, incluido el modelado de mercados financieros, el diseño de nuevos medicamentos y vacunas efectivos y el empoderamiento de la inteligencia artificial, así como la creación de una forma nueva y segura de comunicación (Internet cuántico). Pero también descifrarían muchos de los algoritmos de cifrado actuales y amenazarían la estabilidad financiera al comprometer la seguridad de la banca móvil, el comercio electrónico, la tecnología financiera, las monedas digitales y el intercambio de información en Internet. Si bien el trabajo sobre el cifrado cuántico seguro aún está en progreso, las instituciones financieras deben tomar medidas ahora para prepararse para la transición criptográfica, evaluando los riesgos futuros y retroactivos de las computadoras cuánticas, haciendo un inventario de sus algoritmos criptográficos (especialmente las claves públicas) y construyendo agilidad criptográfica para mejorar la resiliencia general de la ciberseguridad.
SEC impulsa los criptoactivos y la unidad cibernética
La Comisión de Bolsa y Valores de los Estados Unidos (SEC) ha «casi duplicado» el tamaño de su Unidad de Criptoactivos y Cibernética (anteriormente simplemente la Unidad Cibernética), parte de su División de Cumplimiento. El anuncio parece indicar un fuerte enfoque futuro en la protección de los inversores en los criptomercados {Ed – ¿O simplemente un retraso en la aplicación?}, así como la iniciativa en curso de la SEC sobre la divulgación de riesgos e incidentes relacionados con el ciberespacio.