Cambios en las normas de ciberseguridad de la SEC: Cómo Mimecast ayuda a las empresas a estar preparadas

Este blog analiza las nuevas normas propuestas por la SEC en materia de gestión de riesgos de ciberseguridad, estrategia, gobernanza y divulgación de incidentes. Destinadas a dar a los inversores una mejor visión de cómo las empresas públicas están abordando los riesgos de ciberseguridad; se espera que las nuevas normas entren en vigor en abril de 2023. Las normas propuestas no se limitan a las amenazas externas a la ciberseguridad. De hecho, las nuevas normas se aplican -y exigirán la divulgación pública de ciertas- amenazas internas también, como una pérdida material de información sensible de la empresa a través de personas con información privilegiada. Detectar y evaluar los incidentes de pérdida de datos internos requiere una visibilidad en tiempo real de cómo los datos corporativos sensibles salen de las "cuatro paredes" de una empresa. Comprender cómo se mueven los datos corporativos dentro y fuera de la empresa es también un elemento clave de cualquier programa eficaz contra el riesgo de información privilegiada. Los productos y servicios de Mimecast dotan a las empresas de esta visibilidad necesaria y de inteligencia procesable para ayudar a las empresas públicas a cumplir las nuevas normas propuestas por la SEC en relación con la pérdida o filtración de datos por parte de personas con acceso a información privilegiada, al tiempo que educan a su empresa a escala para prevenir futuros incidentes.

Antecedentes

En marzo de 2022, la Comisión de Bolsa y Valores (SEC) propuso nuevas normas que mejoran y estandarizan la forma en que las empresas públicas informan de los incidentes de ciberseguridad y realizan divulgaciones periódicas sobre la gestión de riesgos de ciberseguridad, la estrategia y la gobernanza. Las normas propuestas son más prescriptivas y se alejan de las anteriores orientaciones basadas en principios que la SEC publicó en 2011 y 2018. Al proponer las nuevas normas, la SEC reconoció que la ciberseguridad es un riesgo cada vez más frecuente para las empresas que cotizan en bolsa y, en consecuencia, algo sobre lo que los inversores quieren saber más. Las nuevas normas darán lugar a una información más "coherente, comparable y útil para la toma de decisiones" que permitirá a los inversores evaluar mejor la exposición al riesgo de ciberseguridad de las empresas públicas y su capacidad para responder y mitigar dichos riesgos.

Actualización 26/7/2023: La Comisión de Bolsa y Valores [SEC] exige ahora formalmente a las empresas públicas que divulguen los incidentes en un plazo de cuatro días de todas las violaciones de la ciberseguridad.

Incidentes materiales de ciberseguridad

Las normas propuestas exigen que las empresas públicas comuniquen en el formulario 8-K la siguiente información en un plazo de cuatro días laborables tras determinar que han sufrido un incidente material de ciberseguridad:

• Cuándo se descubrió el incidente y si está en curso
• Una descripción de la naturaleza y el alcance del incidente
• Si algún dato fue robado, alterado, se accedió a él o se utilizó para cualquier otro fin no autorizado.
• El efecto del incidente en las operaciones de la empresa
• Si la empresa ha remediado o está remediando actualmente el incidente
• Entre los ejemplos citados por la SEC que desencadenarían la obligación de informar se encuentra el robo material, la indisponibilidad o el uso no autorizado de información empresarial sensible o de propiedad intelectual.

Es importante destacar que las normas propuestas no distinguen entre los sucesos de ciberseguridad causados por agentes externos de amenaza y los derivados de un suceso de riesgo interno accidental o malicioso. Si fueran materiales, ambos tipos de incidentes serían notificables. La información es material si es probable que un accionista razonable la considere importante a la hora de tomar una decisión de inversión o si hubiera "alterado significativamente la 'mezcla total' de información puesta a disposición". Así, por ejemplo, la pérdida de datos de clientes o empleados, propiedad intelectual como código fuente o documentos de diseño, información financiera o datos de ventas u operativos -ya sea atribuible a una persona con información privilegiada o a un actor externo- sería denunciable si un accionista razonable considerara que esa pérdida es importante a la hora de tomar una decisión de inversión. También sería notificable una serie de eventos de pérdida de datos que se convirtieran en materiales cuando se tomaran en su conjunto - por ejemplo, la exfiltración de código fuente a lo largo del tiempo.

Además, en los informes trimestrales y anuales de las empresas en los formularios 10-Q y 10-K se exigirían actualizaciones de las revelaciones realizadas anteriormente sobre incidentes de ciberseguridad, por ejemplo, los impactos en la empresa, los esfuerzos de remediación, cualquier cambio en la preparación de la empresa en materia de ciberseguridad.

Divulgación ampliada en los informes anuales y trimestrales

Según las normas propuestas por la SEC, las empresas que cotizan en bolsa deben revelar detalles sobre las políticas y procedimientos para identificar y gestionar los riesgos de ciberseguridad en sus presentaciones de los formularios 10-Q y 10-K. Esto incluye (pero no se limita a) información sobre:

• Programa(s) de evaluación de riesgos de ciberseguridad
• Contratación de auditores o evaluadores externos en el programa de evaluación
• Políticas y procedimientos para identificar los riesgos
• Actividades destinadas a prevenir, detectar y minimizar los incidentes de ciberseguridad
• Incidentes de ciberseguridad que hayan dado lugar a cambios en la gobernanza, las políticas o la tecnología
• Cómo considera la empresa que los riesgos de ciberseguridad forman parte de su estrategia empresarial y de su planificación financiera

Las normas también exigen la divulgación del papel y la experiencia de la dirección de la empresa en la evaluación y gestión de los riesgos e incidentes de ciberseguridad. Esto incluye (pero no se limita a) información sobre:

• La presencia de cargos directivos o comités responsables de la prevención, mitigación, detección y reparación de incidentes de ciberseguridad, y la experiencia pertinente de dichas personas o miembros.
• El Jefe de Seguridad de la Información, o alguien en un puesto equivalente, y si es así, su experiencia y a quién reporta
• Procesos establecidos para garantizar que las personas o comités estén informados y supervisen la prevención, mitigación, detección y reparación de los incidentes de ciberseguridad.
• Si el consejo o un comité del consejo revisa la postura y los programas de ciberseguridad y con qué frecuencia lo hace

Las empresas necesitan tecnologías para reducir y gestionar el riesgo de pérdida de datos por intrusos

Las empresas públicas deben asegurarse de que disponen de la tecnología adecuada para detectar e investigar incidentes relacionados con la fuga o pérdida de datos resultantes de acciones de empleados o contratistas. Aunque las empresas pueden haber invertido en sistemas de gestión de identidades o en herramientas específicas de protección de datos en la nube, necesitan asegurarse de que tienen una visión completa del riesgo interno en todas las actividades de los empleados y contratistas en sus ordenadores portátiles y en los sistemas en la nube de la empresa.

Las empresas necesitan más visibilidad para eliminar los puntos ciegos de datos

Dada la amplia gama de datos que, en caso de pérdida o robo, podrían desencadenar la obligación de informar en virtud de las normas propuestas, las empresas públicas necesitan tener visibilidad de los archivos que salen de su empresa y contar con procesos eficaces (manuales, automatizados o tecnológicos) para clasificarlos y responder a ellos. Esto se vuelve particularmente primordial con los empleados/contratistas que se marchan, ya que es más probable que se lleven información sensible (accidental o maliciosamente) que podría ser de utilidad para los competidores actuales o futuros.

Las empresas necesitan saber qué archivos fueron sustraídos o filtrados por iniciados

Las normas propuestas por la SEC exigen que las empresas puedan determinar rápidamente si un incidente de riesgo de información privilegiada es material o no. Para ello, sin embargo, una empresa necesita saber qué información se puso en peligro, así como cómo y cuándo, lo antes posible. Armada con esa información, una empresa puede actuar inmediatamente para contener la situación, mitigar su impacto para que no alcance el nivel de material y evitar lo que de otro modo podría ser un incidente de ciberseguridad notificable. Sin embargo, las empresas carecen con frecuencia de ese nivel de visibilidad sobre el movimiento de los archivos. Con demasiada frecuencia, los detalles de un incidente de riesgo interno sólo se conocen mucho después de que haya pasado la oportunidad de tomar medidas rápidas y eficaces. De cara al futuro, las empresas públicas necesitan disponer de una tecnología que les ayude a saber rápidamente qué archivos se vieron implicados en un incidente y, además, poder determinar con rapidez la materialidad.

Las empresas necesitan tecnologías para detectar e investigar rápidamente la pérdida de datos por intrusos

Según las normas propuestas, es importante que las empresas utilicen herramientas y tecnologías que les ayuden a identificar, priorizar, detectar y responder a los incidentes de pérdida de datos por parte de personas con acceso a información privilegiada. Las herramientas deben ayudarles a priorizar los elementos de mayor riesgo para que esos incidentes sean triados y gestionados a tiempo.

Las empresas deben garantizar una documentación adecuada de todos los incidentes investigados relacionados con información privilegiada

Los incidentes con información privilegiada pueden afectar a todo tipo de información de la empresa. Se hace imperativo que las empresas dispongan de herramientas y procedimientos para documentar adecuadamente todos los incidentes de información privilegiada investigados para respaldar sus presentaciones ante la SEC y apoyar sus determinaciones de materialidad (incluidas las decisiones de no informar sobre un incidente de ciberseguridad).

Las empresas necesitan tecnología para impedir que los empleados de mayor riesgo se lleven archivos confidenciales

En una empresa moderna resulta poco práctico prohibir a los empleados que compartan archivos e información entre ellos, o impedirles que accedan a herramientas y sistemas de la nube pública para realizar su trabajo. Su productividad depende a menudo del acceso a dichas herramientas, aunque se trate de herramientas no corporativas como Dropbox o su correo electrónico personal. Sin embargo, en determinados casos y para ciertas personas de alto riesgo, como los empleados que se marchan o los contratistas, las empresas deben asegurarse de que pueden impedirles que se lleven archivos a su correo electrónico personal, a unidades USB o a cuentas personales en la nube como Dropbox. Este enfoque reduce enormemente el riesgo más común de que la información sensible sea sustraída por personas de forma accidental o intencionada.

Las empresas necesitan estrategias integrales para minimizar los riesgos de información privilegiada por parte de empleados y contratistas

La mayoría de los incidentes de pérdida de datos por personas con acceso a información privilegiada son involuntarios o accidentales. Las empresas necesitan invertir en herramientas que puedan detectar estos eventos de bajo riesgo y educar automáticamente a los usuarios sobre cómo proteger mejor la información de la empresa. Aunque en la actualidad las empresas inviertan en la formación anual de sus empleados en materia de seguridad, estos enfoques suelen ser ineficaces. Las empresas deben centrarse más en la educación correctiva "justo a tiempo" para reducir activamente el riesgo de que información material sea filtrada por personas con información privilegiada. Esto debe formar parte de la cultura de seguridad de la empresa.

Las empresas necesitan una participación adecuada de las partes interesadas durante las investigaciones

Con el fin de determinar la materialidad de manera oportuna, las empresas necesitan evolucionar sus procesos de respuesta a incidentes de ciberseguridad para garantizar una colaboración más amplia entre Seguridad, Asesoría Jurídica/General, Cumplimiento, Director Financiero, partes interesadas de las líneas de negocio, como vicepresidentes o directores de departamentos, y ejecutivos de la empresa. Esto se debe a que es imposible que una sola persona o equipo dentro del equipo de Seguridad de la Información determine la materialidad de forma razonable.

Impacto empresarial

El impacto empresarial del riesgo de información privilegiada es real y puede ser sustancial. La pérdida del código fuente, una lista de clientes u otra propiedad intelectual clave puede obstaculizar significativamente la capacidad de una empresa para competir. Además, como las organizaciones pueden no ser conscientes de una exfiltración de datos durante semanas, meses o incluso años, recuperar la IP perdida puede ser una batalla cuesta arriba, costosa y que requiere mucho tiempo. Los recursos que podrían utilizarse para desarrollar el negocio de la empresa se gastan en cambio en abogados, litigios e investigadores forenses. Del mismo modo, la exposición no autorizada o el robo de datos personales puede desencadenar la presentación de informes reglamentarios, multas y costosos esfuerzos para remediar las infracciones. Y cualquier incidente de ciberseguridad puede dañar la reputación de una empresa en el mercado. La visibilidad de los datos es fundamental no sólo para cumplir con las nuevas normas de notificación de incidentes de ciberseguridad de la SEC, sino para evitar que se produzcan incidentes de ciberseguridad en primer lugar o mitigar sus impactos.

Cómo puede ayudar Mimecast a hacer frente a estos nuevos requisitos de la SEC

Mimecast Incydr y Mimecast Instructor están específicamente diseñados para ayudar a las empresas a prevenir, detectar, investigar y responder rápidamente a la pérdida de datos por parte de personas con acceso a información privilegiada. Los productos de Mimecast proporcionan una amplia gama de funciones que simplifican la carga de trabajo de las empresas para gestionar el riesgo de ciberseguridad debido a las personas con acceso a información privilegiada. Mimecast también proporciona la mejor experiencia y orientación sobre las mejores prácticas para abordar los aspectos de la reducción de riesgos que van más allá de la tecnología, es decir, las cuestiones relativas a las personas y los procesos. Algunas de las capacidades diferenciadas de Mimecast incluyen:

La más amplia detección de la filtración de datos en sistemas de punto final y en la nube

Incydr incluye detección de exfiltración líder en la industria a través de puntos finales (Windows, Mac, Linux) y sistemas en la nube. Mimecast puede detectar y alertar sobre el movimiento de archivos de riesgo independientemente del tipo de archivo: código fuente, archivos empresariales, archivos zip, etc. La detección incluye el movimiento de datos a través de navegadores web y unidades USB, pero también cubre vectores de exfiltración más novedosos como Airdrop y Git (herramienta de gestión de código fuente). Mimecast también detecta la actividad de riesgo de compartir archivos en los repositorios en la nube de la empresa, como Office365, Google Drive, Box, los sistemas de correo electrónico de la empresa y Salesforce. Mimecast también proporciona a las empresas todos los detalles contextuales del incidente (quién, qué, cuándo y cómo) para que los equipos de investigación puedan decidir rápidamente cómo proceder.

Acceso a los archivos filtrados para una rápida determinación de la materialidad

En todos los casos de exfiltración de datos detectados (independientemente de la puntuación de riesgo), Mimecast conserva automáticamente una copia del archivo exfiltrado. Esto permite a los investigadores ver e inspeccionar los archivos implicados en un incidente para determinar a tiempo la materialidad. Los clientes no necesitan hacer nada especial ni gestionar repositorios de seguridad para utilizar esta funcionalidad.

Funcionalidad de gestión de casos para documentar con precisión los detalles pertinentes de la investigación

Mimecast tiene incorporadas funciones de gestión de casos que permiten a las empresas seguir y registrar las investigaciones sobre riesgos internos. Esto permite a los equipos de investigación realizar un seguimiento seguro de los incidentes delicados y gestionarlos por separado de otros sistemas de gestión de incidentes informáticos o de seguridad. Los casos pueden contener todos los detalles de los sucesos de seguridad en cuestión y pueden realizar un seguimiento de los archivos reales implicados en un incidente. Los casos pueden exportarse fácilmente con fines de registro permanente, colaboración y auditoría.

Priorizar los riesgos de información privilegiada relevantes para evitar el agotamiento de las investigaciones

Incydr puntúa automáticamente las acciones internas de riesgo y proporciona reglas configurables de alerta y priorización para garantizar que los equipos de seguridad e investigación no se vean abrumados por demasiadas alertas o falsos positivos. Incydr incluye más de 250 Indicadores de Riesgo Incydr - incluyendo atributos de archivo, usuario y comportamiento - que son rastreados desde el primer día de uso para minimizar el tiempo hasta la detección. Esto ayuda a los equipos de investigación a identificar rápidamente los incidentes más relevantes e investigarlos a tiempo.

Vista histórica de la actividad de usuarios y archivos para reforzar las investigaciones

Mimecast conserva los eventos históricos de exfiltración de archivos por parte de los usuarios para garantizar que los investigadores puedan mirar hacia atrás en el tiempo y determinar si un usuario o archivo determinado estuvo implicado en incidentes no materiales anteriores. Esto ocurre automáticamente independientemente de si esos hechos previos fueron investigados o no. Los eventos históricos pueden guardarse hasta 180 días (dependiendo del producto adquirido).

Bloqueo de la exfiltración

Incydr incluye funciones para bloquear a los usuarios de alto riesgo, como los empleados que se marchan, los reincidentes y los contratistas, para que no puedan mover datos de sus portátiles de empresa a destinos en la nube o unidades USB que no sean de confianza. El potente enfoque basado en listas de vigilancia de Mimecast para bloquear el movimiento de archivos de riesgo combina las ventajas de reducir el riesgo de estas personas de alto riesgo al tiempo que garantiza que los miembros del equipo de seguridad no se vean agobiados por complejas tareas de gestión de reglas.

Educación automatizada de los empleados para minimizar y mitigar el riesgo de pérdida de datos por intrusos

Incydr e Instructor facilitan la formación automatizada y justo a tiempo de los empleados para mitigar y gestionar la exposición de datos de bajo riesgo o accidental por parte de los empleados. Los empleados son contactados automáticamente a través de Slack, Microsoft Teams o correo electrónico y se les presentan lecciones en vídeo del tamaño de un bocado que les ayudan a comprender por qué sus acciones fueron arriesgadas y cómo evitarlas en el futuro. Este enfoque tiene el doble beneficio de reducir el riesgo a lo largo del tiempo debido a la reincidencia, al tiempo que reduce la carga de investigación de los equipos de Seguridad. Esto garantiza que las empresas dispongan de una estrategia de reducción de riesgos completa que se centre en todos los niveles de riesgo de pérdida de datos.

Prácticas expertas en la gestión de programas eficaces contra el riesgo de información privilegiada (personas, procesos y tecnología)

El equipo de Mimecast produce y proporciona orientación sobre las mejores prácticas y educación para los clientes sobre cómo gestionar eficazmente sus programas de riesgo de información privilegiada de una manera que se adapte a los objetivos y la cultura de su organización. Se proporcionan plantillas de políticas, flujos de trabajo ideales y directrices de mejores prácticas a todos los clientes de Mimecast sin coste adicional. Mimecast también ofrece compromisos de Servicios Expertos de pago en los que los Asesores de Riesgo de Información Privilegiada trabajan directamente con los clientes para ayudarles a establecer o madurar programas de Riesgo de Información Privilegiada para garantizar que son eficaces y cumplen con los requisitos reglamentarios.

Lo esencial

Con sus nuevas normas de ciberseguridad, la SEC pretende mejorar la cultura de seguridad en las empresas que cotizan en bolsa y aumentar la transparencia tanto para la SEC como para los inversores. La pérdida accidental o malintencionada de datos por parte de personas con acceso a información privilegiada puede desencadenar la obligación de informar en virtud de las normas propuestas, y las empresas tendrán que realizar divulgaciones periódicas sobre su postura en materia de gestión de riesgos de información privilegiada. Incydr ayuda a las empresas a prevenir, detectar, investigar y remediar la pérdida de datos y contribuirá a que las empresas públicas cumplan con el nuevo marco de divulgación de la SEC con respecto a los incidentes de riesgo de información privilegiada.

Referencias adicionales

• Normas propuestas por la Comisión del Mercado de Valores
• Hoja informativa: Normas propuestas sobre ciberseguridad para empresas públicas
• Impacto de las normas propuestas por la SEC en las investigaciones sobre ciberseguridad y la estrategia de respuesta