Escalamiento y divulgación de riesgos: transparencia y rendición de cuentas
La escalada y divulgación de riesgos involucran procesos para escalar el riesgo de ciberseguridad, no solo incidentes, sino riesgos que quedan fuera de una tolerancia de manera programática. Proporciona una orientación clara dentro de la organización y los mecanismos para informar estos incidentes a las partes interesadas externas, incluidos los reguladores. El mandato de la SEC de informar incidentes importantes de ciberseguridad en un plazo de cuatro días hábiles ejemplifica la importancia de contar con protocolos sólidos de escalada y divulgación.
El marco CRMP proporciona directrices claras sobre cómo establecer procesos eficaces de divulgación y escalada de riesgos. Esto incluye definir umbrales para lo que constituye un riesgo e incidente material de ciberseguridad, establecer líneas de comunicación claras dentro de la organización y desarrollar protocolos para la presentación de informes externos oportunos.
Un enfoque programático es fundamental para cumplir con estas nuevas obligaciones y gestionar eficazmente los riesgos en este entorno digital. Históricamente, los enfoques de gestión de riesgos han girado en torno a un proceso de riesgo ad hoc o basado en herramientas que no satisfaría las obligaciones que vencen. La base de la acción civil de SolarWinds puede alinearse fundamentalmente con no tener un programa programático de gestión de riesgos cibernéticos, ni resultados o informes, escalamiento y transparencia que fueran lo suficientemente maduros para los servicios que brindaban y las responsabilidades que asumían.
Implementación del marco CRMP: pasos para el cumplimiento
Construir e implementar un programa definido de gestión de riesgos cibernéticos es un viaje. La mayoría de las organizaciones cuentan con herramientas y procesos de riesgo. Darles forma de programa requiere intención y tiempo. A continuación se presenta un enfoque recomendado para utilizar el marco, sus cuatro elementos centrales y 23 principios de apoyo:
Evaluación inicial: Las empresas deberían comenzar por realizar una evaluación exhaustiva de su programa actual de gestión de riesgos de ciberseguridad, incluida la evaluación de si sus prácticas de riesgo son un programa que pueda valerse por sí solo, con políticas y procesos básicos operativos, no simplemente herramientas de riesgo ad hoc.
Análisis de las deficiencias: Compare las prácticas actuales de gestión de riesgos de ciberseguridad con estos nuevos requisitos. El marco CRMP y las nuevas reglas de la SEC deben usarse como base para su consideración. Por supuesto, identifique las brechas y las áreas que necesitan desarrollarse o mejorarse.
Integración del marco: Integrar un marco CRMP en las prácticas de ciberseguridad existentes y otros marcos de riesgo que la organización pueda tener implementados, como las plataformas de gestión de riesgos empresariales (ERM), asegurando que se aborden todos los aspectos de los mandatos de la SEC. Esto incluye establecer protocolos claros para informar incidentes y desarrollar procesos integrales de gestión de riesgos.
Formación y sensibilización: Realizar programas de formación y sensibilización para todos los empleados, especialmente aquellos involucrados en ciberseguridad y gestión de riesgos. Garantizar que la junta directiva y la dirección estén bien informadas sobre sus funciones y responsabilidades en el nuevo marco.
Seguimiento y mejora continua: Establecer mecanismos para el seguimiento y aseguramiento continuo de las prácticas de gestión de riesgos de ciberseguridad, proporcionando actualizaciones periódicas del programa de gestión de riesgos cibernéticos, en línea con los lineamientos del marco CRMP. Esto es independiente de otros esfuerzos de protección cibernética. El programa en sí necesita seguimiento y la auditoría de tercera línea desempeña un papel fundamental en este sentido.
Documentación y presentación de informes: Documentar todos los procesos, incidentes y acciones de gestión. Prepárese para las divulgaciones anuales según los requisitos de la SEC, garantizando que todos los aspectos del programa de gestión de riesgos de ciberseguridad estén claramente articulados y sean transparentes.
Las nuevas reglas de la SEC marcan un momento decisivo en el gobierno corporativo, al colocar la ciberseguridad a la vanguardia del escrutinio regulatorio y de los inversores. El marco CRMP, con su enfoque estructurado e integral para la gestión de riesgos de ciberseguridad, ofrece una solución viable para las empresas que buscan cumplir con estos nuevos mandatos.
Estamos en un momento transformador y necesitamos un enfoque transformador intencional. Al adoptar el marco CRMP, las empresas no sólo pueden cumplir con sus obligaciones regulatorias y protegerse a sí mismas y a sus ejecutivos de responsabilidades incipientes, sino también involucrar estratégicamente al departamento de seguridad con la empresa a medida que encuentra un equilibrio cambiante entre riesgo y recompensa en esta economía digitalizada.