A medida que las reglas finales comiencen a entrar en vigor, reconocemos que las empresas públicas trabajarán para garantizar su cumplimiento. Esto podría implicar fomentar conversaciones entre los directores de seguridad de la información, otros expertos y tecnólogos en ciberseguridad de una empresa, el comité de divulgación de la empresa y los responsables de asesorarlos sobre el cumplimiento de la ley de valores. A medida que surgen preguntas interpretativas, quisiera hacer hincapié en la política de puertas abiertas de larga data de la División. Venga a hablar con el personal sobre sus preguntas. Reconocemos que la divulgación pertenece a las empresas públicas y que las empresas públicas y sus asesores están en la primera línea de la divulgación e información a los inversores.
El personal de la Comisión también está ocupado trabajando. Estamos trabajando no solo para responder preguntas y explicar la regla, sino también para preparar a los abogados y contadores de nuestro Programa de Revisión de Divulgaciones para revisar las divulgaciones. Para nuestro Programa de Revisión de Divulgación, el primer año de una regla es muy importante. Pero quiero asegurarles a las empresas y a sus representantes que nuestra División no busca hacer comentarios de «trampa» o penalizar las faltas en los pies. En la medida en que sea apropiado, podemos emitir comentarios prospectivos a empresas o CDI adicionales. Este es un mensaje similar al que yo y otros miembros de la División hemos dado con respecto a otras normas de divulgación que han entrado en vigor recientemente, como las normas de remuneración frente a desempeño. [17] Reconozco el valor de crear incentivos para los esfuerzos de buena fe para cumplir con las nuevas reglas, y espero que este mensaje y el historial de nuestra División con respecto a esas otras reglas brinden tranquilidad a las empresas y sus asesores, particularmente en el primer año de vigencia de esta regla.
Al recomendar nuevos requisitos de divulgación a la Comisión, nuestro objetivo como personal no es simplemente tener otra regla en los libros, simplemente agregar a la «lista de verificación» de cumplimiento de una empresa o inducir divulgaciones repetitivas. Más bien, esperamos obtener divulgaciones personalizadas que proporcionen información consistente, comparable y útil para la toma de decisiones a los inversionistas, en este caso sobre riesgos que realmente no existían (o al menos no existían en la forma actual y en la medida actual) cuando comencé a ejercer como abogado hace varias décadas. Incluso cuando un riesgo es emergente o está evolucionando, las normas de divulgación pueden proporcionar los mismos beneficios en términos de protección de los inversores y formación de capital que tienen para los riesgos a los que se han enfrentado las empresas públicas durante décadas.
Etiqueta: Riesgo Cibernético
La ciberseguridad de los bancos – Una segunda generación de enfoques regulatorios
Las reglamentaciones bancarias relativas a la ciberseguridad y la ciberresiliencia han madurado y ya están bien establecidas en varias jurisdicciones. Las regulaciones relacionadas con la seguridad cibernética y la resiliencia cibernética cubiertas en Crisanto y Prenio (2017) eran bastante nuevas. Estas regulaciones existían solo en unas pocas jurisdicciones, principalmente en AES, y se centraban en establecer un enfoque y controles de gestión de riesgos cibernéticos. Seis años después, muchas jurisdicciones, incluidas las EMED, ya cuentan con regulaciones relacionadas con el ciberespacio. Muchas de estas regulaciones más recientes (o regulaciones cibernéticas de segunda generación) se centran en mejorar las capacidades de resiliencia cibernética y proporcionar a las instituciones y autoridades financieras herramientas para gestionar adecuadamente los riesgos cibernéticos. No obstante, un número importante de EMED todavía no tienen regulaciones relevantes.
Los reguladores están agregando requisitos o expectativas específicas en algunas áreas o agregando nuevos elementos en sus regulaciones cibernéticas. Ahora existen requisitos regulatorios más específicos sobre respuesta y recuperación de incidentes cibernéticos, así como sobre gestión y supervisión de terceros, informes de incidentes y marcos de prueba. Algunas jurisdicciones también han introducido requisitos o expectativas para la fuerza laboral de seguridad cibernética y las métricas de resiliencia cibernética. Sin embargo, la estrategia de seguridad cibernética, los informes de incidentes cibernéticos, el intercambio de inteligencia de amenazas, las dependencias de terceros y las pruebas de resiliencia cibernética siguen siendo el enfoque principal de estas regulaciones.
Las regulaciones cibernéticas en las EMED tienden a ser más prescriptivas. Este es especialmente el caso cuando se trata de la estrategia de seguridad cibernética, los acuerdos de gobernanza, incluidos los roles y responsabilidades, y la naturaleza y frecuencia de las pruebas de resiliencia cibernética. Los reguladores bancarios en las EMED tal vez vean la necesidad de fortalecer la cultura de resiliencia cibernética en todo el sector financiero y/o de ser más claros y específicos en sus expectativas dadas las limitaciones de recursos y el suministro limitado de habilidades y experiencia en sus jurisdicciones. De esta manera, los consejos de administración, la alta dirección y el personal de los bancos tienen una orientación concreta a seguir para mejorar la seguridad cibernética de sus instituciones.
Es necesario protegerse contra un enfoque basado en el cumplimiento para abordar la ciberseguridad. Demasiada prescriptividad puede resultar en un enfoque de casilla de verificación para la seguridad cibernética. La implementación de regulaciones cibernéticas tampoco debe verse como un ejercicio de casilla de verificación. Debe complementarse con recursos de supervisión adecuados para garantizar una aplicación y un cumplimiento efectivos. Por lo tanto, hay margen para que las organizaciones internacionales y las autoridades financieras en Aes apoyen los esfuerzos de desarrollo de capacidades de supervisión en las EMED, en particular en el ámbito de la ciberseguridad. Después de todo, las amenazas cibernéticas no conocen fronteras.
El trabajo internacional (por ejemplo, de los organismos de seguridad y del G7) ha facilitado un nivel útil de convergencia de la ciber resiliencia en el sector financiero, pero es necesario seguir trabajando. Ninguna empresa o regulador puede abordar con éxito el riesgo cibernético por sí solo. Además, la naturaleza transfronteriza del riesgo cibernético requiere un grado razonable de alineación en las expectativas regulatorias nacionales. El trabajo del G7 CEG y los SSB sobre ciberresiliencia ha hecho que las expectativas de regulación y supervisión financiera sean más consistentes en diferentes jurisdicciones y, por lo tanto, es un paso en la dirección correcta. En particular, la propuesta del FSB para una mayor convergencia en la notificación de incidentes cibernéticos es un desarrollo importante, ya que trata de conciliar los diferentes requisitos jurisdiccionales que solo cargan a las instituciones supervisadas en lugar de ayudar a abordar estos incidentes. En el futuro, podría haber margen para alinear las formas en que las autoridades evalúan la resiliencia cibernética de las instituciones supervisadas. Esto podría, por ejemplo, incluir alinear la evaluación de la adecuación de la gobernanza de seguridad cibernética, la fuerza laboral y las métricas de resiliencia cibernética de una empresa. Además, dadas las posibles implicaciones transfronterizas para el sistema financiero de un incidente cibernético en un proveedor externo crítico, particularmente un proveedor de nube, podría haber margen para considerar un marco de supervisión internacional para dichos proveedores.
La gran entrevista – Líder de riesgo cibernético Ramy Houssaini
Uno de los principales desafíos a los que se enfrentan los equipos de ciberseguridad hoy en día es la mayor complejidad asociada con la operación y gestión de una multitud de controles de seguridad. Esto es difícil por dos razones: primero, la telemetría generada por los diversos controles crea ruido que requiere un procesamiento significativo para capturar las señales débiles clave y filtrar los falsos positivos. Esto puede explicar, por ejemplo, cómo algunas violaciones profundas recientes tardaron un tiempo antes de que las señales iniciales detectadas condujeran a una confirmación clara del ataque.
SEC impulsa los criptoactivos y la unidad cibernética
La Comisión de Bolsa y Valores de los Estados Unidos (SEC) ha «casi duplicado» el tamaño de su Unidad de Criptoactivos y Cibernética (anteriormente simplemente la Unidad Cibernética), parte de su División de Cumplimiento. El anuncio parece indicar un fuerte enfoque futuro en la protección de los inversores en los criptomercados {Ed – ¿O simplemente un retraso en la aplicación?}, así como la iniciativa en curso de la SEC sobre la divulgación de riesgos e incidentes relacionados con el ciberespacio.