En 2023, los reguladores lanzarán un”reto de información”y ordenarán a las empresas que cotizan en bolsa que divulguen los ataques cibernéticos en un tiempo récord. Este cambio radical legislativo no solo intensificará la necesidad de protecciones adecuadas contra los ataques, sino que requerirá que las empresas identifiquen y reporten un incidente a sus accionistas y a la Agencia de Seguridad de Infraestructura de Ciberseguridad (CISA) dentro de las 72 horas.
Reguladores han tomado nota de que las empresas están librando una batalla perdida contra la delincuencia cibernética nacional y extranjera, y al introducir una regulación de seguridad cibernética más estricta, su objetivo es garantizar que las empresas traten los ataques cibernéticos como una amenaza cada vez más sistémica.
Dado que se prevé que la delincuencia cibernética costará al mundo 10,5 billones de dólares anuales para 2025, ahora se pone de manifiesto la importancia de proteger la infraestructura crítica, como como la energía, el transporte y los servicios financieros, fundamentales para el funcionamiento de una sociedad y una economía fuerte. Los reguladores también buscan reducir el riesgo para las partes interesadas de una empresa. En palabras del presidente de la SEC, Gary Gensler,”los inversores buscan divulgaciones coherentes, comparables y útiles para tomar decisiones, de modo que puedan poner su dinero en empresas que se ajusten a sus necesidades”.
¿Un cambio legislativo bienvenido?
El 9 de marzo de 2022, la Comisión de Bolsa y Valores (SEC) publicó una propuesta denominada Gestión de riesgos de ciberseguridad, estrategia, gobernanza y divulgación de incidentes. Esta legislación haría que las empresas que cotizan en bolsa tengan que informar incidentes de ciberseguridad”materiales”en un Formulario 8-K a los inversores dentro de las 72 horas. Esto se produce después de una tendencia a la baja en las divulgaciones de incidentes cibernéticos de los formularios 8-K y 10-K en 2020 y 2021, a pesar de un número récord de ataques cibernéticos.
La legislación exigiría además que las empresas informen a CISA si la ciberseguridad es parte de la estrategia comercial, la asignación de capital y la planificación financiera de una organización. Las medidas de gobierno cibernético incluidas también exigirían informes periódicos sobre la supervisión del riesgo de seguridad cibernética por parte de la junta, así como cualquier director activo de la empresa con experiencia previa en seguridad cibernética para describir la naturaleza de esa experiencia.
Las reglas generalizadas apuntan a aumentar transparencia para los inversores y las partes interesadas, lo que les permite tomar decisiones informadas sobre su capital y datos y mejorar su comprensión de cómo las empresas gestionan sus exposiciones al riesgo cibernético. Las organizaciones se enfrentarán a grandes multas si no cumplen con la regulación de la SEC, lo que significa que la protección adecuada de la seguridad cibernética y la gestión de riesgos ahora son más importantes que nunca.
Un programa de seguridad de mejores prácticas en 2023 debe tener la capacidad de probar, evaluar e informar sobre la eficacia de sus operaciones, así como adoptar mejoras continuas para mantener el rendimiento a medida que surgen nuevas amenazas.
Avance tecnológico
La ciberseguridad como La necesidad comercial no es nueva ni revolucionaria, pero a medida que cambia el tipo de amenazas que enfrentan las empresas, también deben cambiar sus defensas. La actividad del estado nación en 2022 vio cómo se atacaba la infraestructura nacional crítica global, mientras persistía la guerra de Rusia.
El análisis del gigante de la seguridad cibernética Mandiant encontró que los ataques a la cadena de suministro de software estaban dirigidos a las agencias gubernamentales ucranianas y los ataques de malware afectaron a las instituciones polacas en un esfuerzo concertado. para inmovilizar y debilitar las empresas y la infraestructura del estado nación. Las organizaciones están ahora en la primera línea de una guerra cibernética que trasciende los sectores y las fronteras geográficas, con Goldman Sachs prediciendo que un ataque ruso a la infraestructura de EE. UU. podría costarle a la economía hasta 1 billón de dólares.
Para combatir la amenaza intensificada, las empresas buscan preparación para la batalla de sus sistemas y equipos cibernéticos. Las protecciones de grado militar, como los rangos cibernéticos, brindan una réplica realista y de alta fidelidad de los entornos virtuales que prueban exhaustivamente los equipos y las herramientas hasta que fallan. Al simular diferentes escenarios de seguridad, los rangos cibernéticos tienen el potencial de comprimir tres años de ataques en 24 horas de prueba.
Al ir más allá de las herramientas de monitoreo de puntos finales y la planificación teórica, los equipos pueden formar vínculos y desarrollar el músculo. memoria requerida para proteger con éxito los activos estratégicos de las organizaciones. Fundamentalmente, la derivación de informes basados en métricas también puede ser fundamental para satisfacer las demandas de los órganos legislativos y responder a las preguntas de los miembros de la junta, como”¿Qué tan preparada está nuestra empresa para divulgar información?”,”¿Hemos realizado una evaluación de brechas?”y’¿Qué prácticas de riesgo cibernético deben cambiar y permanecer igual?’
Aunque las amenazas materiales planteadas por grupos respaldados por estados nacionales en los últimos 12 meses han alertado a muchas organizaciones sobre el riesgo sistémico que los ataques contra críticos pose de infraestructura, no podemos ser complacientes en nuestra guerra contra los atacantes. La preparación de las organizaciones para la continuación de la guerra cibernética, así como la nueva regulación de la SEC, estará en la mente de todos los directores ejecutivos en el próximo año, y las soluciones allí serán cruciales para aliviar el riesgo.
Las empresas deben cambiar el manera en que enmarcan su exposición cibernética a un enfoque basado en resultados. Alejándose de la mentalidad de casilla de verificación de cobertura y las diversas pruebas que han pasado, hacia la inspiración de confianza en la cohesión de la interacción de su sistema, a la totalidad de la convicción en un programa de seguridad cibernética cuantificado y comparado que opera como un todo, será una métrica clave en la que se basará el éxito.
Crédito de la foto: Alexander Supertramp/Shutterstock
James Gerber es director financiero de la firma de ciberseguridad global SimSpace. Con experiencia tanto en el campo de la ingeniería como en el de la alta dirección, Jamie ha acumulado más de 30 años de experiencia en la previsión de riesgos y el establecimiento de estrategias de algunas de las empresas de transporte y construcción más grandes del mundo. Jamie ocupó anteriormente títulos de CFO en IronNet, Worldstrides y Pension Benefit Guarantee Corporation (PBGC). Durante su mandato en PBGC, una aseguradora de pensiones multimillonaria, Jamie se centró en dar forma a la política a través de la identificación de riesgos sistémicos, aprovechando las demandas de las aseguradoras y los comités de auditoría mientras dirigía la cartera de inversiones a medida que crecía de $32 mil millones a más de $50 mil millones.