En 2023, la Comisión de Bolsa y Valores (SEC) implementó nuevas la seguridad cibernética reglas de divulgación. Estas regulaciones exigen la divulgación de incidentes de violaciones y amenazas «materiales» dentro de los cuatro días posteriores a su ocurrencia, junto con informes anuales sobre gestión, estrategia y gobernanza de riesgos de ciberseguridad.
La introducción de los nuevos requisitos de ciberseguridad de la SEC representa un hito crítico en la lucha continua contra las ciberamenazas. En 2023, los directores de seguridad de la información (CISO) revelaron que tres de cada cuatro empresas en los Estados Unidos eran vulnerables a un ciberataque material. En consecuencia, el cibercrimen sigue siendo uno de los principales riesgos que enfrentan las empresas con sede en Estados Unidos. Además, en el mismo año, casi siete de cada diez organizaciones en los Estados Unidos experimentaron una Secuestro de datos ataque en los doce meses anteriores.
Los ciberataques plantean riesgos importantes para las empresas, principalmente en términos de daños financieros. Se prevé que en 2024, el cibercrimen le costará a Estados Unidos más de 452 mil millones de dólares. Además, la pérdida de datos confidenciales es una consecuencia de los ciberataques. En 2023, Estados Unidos ocupó el tercer lugar a nivel mundial en el porcentaje de empresas que informaron sobre la pérdida de información confidencial.
Además, los incidentes de compromiso de datos afectaron a aproximadamente 422 millones de personas en el país en 2022, con un total de 1.802 incidentes. Estados Unidos es reconocido entre los países con alta densidad de violaciones de datos. Más allá de las implicaciones financieras y de pérdida de datos, las empresas también temen el daño a su reputación, los tiempos de inactividad significativos y la posible pérdida de clientes actuales, todo lo cual puede afectar la valoración y la posición general de una empresa.
Aumento de la conciencia
Teniendo en cuenta los riesgos crecientes y las nuevas normas de la SEC, las empresas están reforzando sus defensas, según muestra un informe reciente de Infatica, un proveedor del mercado de servicios proxy. Según datos de la empresa, la demanda de servicios de proxy Las búsquedas han aumentado un 106,5% durante el último año. La razón detrás de esta tendencia es la capacidad de los servidores proxy para imitar ataques de ciberseguridad. Por tanto, utilizando esta tecnología las empresas pueden poner a prueba sus defensas.
El creciente interés en los servidores proxy no se limita únicamente a buscar medidas de seguridad mejoradas. Las búsquedas de “servidor proxy web gratuito” han aumentado un 5.042,9%, lo que indica una búsqueda generalizada de soluciones accesibles que ofrezcan anonimato. Mientras tanto, la demanda de “lista de servidores proxy” y “servidor proxy anónimo” también ha experimentado aumentos significativos del 80,6% y 414,3%, respectivamente, lo que destaca la importancia de operaciones en línea confiables y discretas.
Si bien las reglas de ciberseguridad de la SEC se dirigen principalmente a empresas que cotizan en bolsa, muchas de estas empresas dependen de proveedores de cadena de suministro y software de terceros más pequeños. Un ciberataque en cualquier punto de esta cadena podría tener consecuencias importantes. Por eso las entidades privadas también se ven obligadas a reforzar sus defensas.
Gran brecha
A medida que las empresas intensifican sus actividades, siguen siendo evidentes lagunas importantes. Un asombroso 81% de los líderes de seguridad reconocen el impacto de las nuevas reglas en sus negocios. Sin embargo, sólo el 54% transmite confianza en la capacidad de su organización para cumplir eficazmente. Sorprendentemente, sólo el 2% de los líderes de seguridad han iniciado el proceso de adhesión a las nuevas reglas. Aproximadamente el 33% se encuentra todavía en las primeras etapas, mientras que un sorprendente 68% se siente abrumado por los nuevos requisitos de divulgación.
Entre los innumerables desafíos, destaca determinar la materialidad de los incidentes de ciberseguridad, cuyo 49% de los encuestados destacó su complejidad. Además, el 47 % tiene dificultades para mejorar sus procesos de divulgación, lo que complica aún más los esfuerzos de cumplimiento.
A continuación se ofrecen varios consejos sobre cómo prepararse para cumplir con las normas de ciberseguridad de la SEC:
1. Consolide sus datos de riesgos de ciberseguridad
Con las nuevas regulaciones que exigen la divulgación de incidentes al momento de su descubrimiento e informes completos trimestrales y anuales sobre la estrategia de ciberseguridad, las organizaciones deben priorizar la centralización de la evaluación de riesgos de ciberseguridad y la evaluación de incidentes. datos. Consolidar estos datos en un único repositorio, en lugar de dispersarlos hoja de cálculo o se pierde en las bandejas de entrada de correo electrónico, aumenta la probabilidad de cumplir con los plazos de la SEC y reduce el tiempo dedicado a recopilar información de diferentes departamentos y partes interesadas para la divulgación de incidentes.
2. Adquirir capacidades de cuantificación de riesgos cibernéticos
Tradicionalmente, las organizaciones han utilizado métodos cualitativos como listas ordinales o gráficos de gravedad rojo, amarillo y verde para evaluar la importancia de los incidentes de ciberseguridad u otros eventos de riesgo. Si bien la SEC recomienda considerar estas evaluaciones para determinar la materialidad del incidente, cuantificar el riesgo cibernético ofrece una visión más precisa del impacto financiero de un incidente. Comprender el impacto financiero cuantificado de los riesgos cibernéticos permite a las organizaciones tomar las medidas necesarias para mitigar riesgos costosos o, idealmente, prevenirlos por completo. Este enfoque reduce el volumen general de revelaciones requeridas.
3. Optimice sus procesos de gestión de incidencias
Es un momento oportuno para realizar una revisión integral de los procesos de gestión de incidentes de su organización para garantizar que sean competentes en identificar, abordar y reportar incidentes de ciberseguridad. La racionalización y el perfeccionamiento de estos procesos facilitan la interceptación de los riesgos cibernéticos antes de que se conviertan en problemas importantes y permiten generar informes rápidos cuando sea necesario.
4. Mejore su ciberseguridad y su gobernanza del riesgo cibernético
Garantizar el cumplimiento de las nuevas regulaciones de la SEC implica informar adecuadamente a su junta directiva sobre las prácticas de gestión de riesgos de ciberseguridad de su organización. La implementación de procesos sólidos de presentación de informes y comunicación es esencial para actualizar periódicamente a los líderes sobre los esfuerzos de gestión de riesgos cibernéticos y cualquier incidente experimentado por la empresa. Además, es crucial articular cómo estos incidentes pueden afectar o ya están afectando la estrategia y las finanzas de la organización.
5. Asegure sus relaciones con terceros
Las regulaciones actualizadas enfatizan la importancia de evaluar el riesgo cibernético más allá de los límites de su organización. Cumplir con los requisitos para informar sobre la evaluación de riesgos cibernéticos de terceros y la selección segura de proveedores subraya la necesidad de establecer un programa eficaz de gestión de riesgos de terceros. De hecho, los ataques a la cadena de suministro dirigidos a contratistas y proveedores más pequeños con frecuencia se encuentran entre las principales causas de incidentes de ciberseguridad en organizaciones más grandes.
6. Mejore una cultura de riesgo cibernético dentro de sus equipos
La transformación digital ha impactado significativamente a casi todas las organizaciones, particularmente en los años posteriores a la pandemia de COVID-19, que aceleró el cambio del trabajo y la vida en línea. En consecuencia, ha habido un aumento en empleados conectarse a redes organizacionales desde diversas ubicaciones y dispositivos, ampliando significativamente nuestras superficies de ataque de ciberseguridad. Este cambio subraya la importancia crítica de fomentar una cultura de concienciación sobre los riesgos de ciberseguridad en la que la ciberseguridad se considere responsabilidad de todos, no solo competencia del equipo de seguridad de la información. Cuanta más conciencia sobre la amenaza que representan los riesgos cibernéticos pueda inculcar una organización en sus miembros, más sólida será su postura general de ciberseguridad, lo que reducirá el tiempo necesario para revelar incidentes a la SEC.
Si bien las regulaciones de la SEC plantean desafíos, también presentan oportunidades. Seguir las reglas puede disminuir la ciberseguridad de las empresas, mejorar la confianza de los inversores, atraer inversiones de capital y contribuir a la sostenibilidad empresarial a largo plazo.
Hemos enumerado las mejores herramientas de monitoreo de red..
Este artículo se produjo como parte del canal Expert Insights de TechRadarPro, donde presentamos las mejores y más brillantes mentes de la industria tecnológica actual. Las opiniones expresadas aquí son las del autor y no son necesariamente las de TechRadarPro o Future plc. Si estás interesado en contribuir, descubre más aquí: https://www.techradar.com/news/submit-your-story-to-techradar-pro