RESUMEN DE CUMPLIMIENTO

Navega las nuevas reglas de divulgación de ciberseguridad de la SEC

Kiteworks facilita informes precisos y a tiempo

Las empresas que cotizan en bolsa acaban de recibir nuevas y estrictas normas de reporte de ciberseguridad por parte de la Comisión de Bolsa y Valores (SEC) que las obligarán a transparentar sus registros sobre filtraciones de datos y riesgos cibernéticos. Según el Formulario 8-K, Ítem 1.05, ahora las empresas deben reportar incidentes materiales de ciberseguridad en tan solo cuatro días desde su ocurrencia. El Formulario 6-K se modificará para exigir que los emisores privados extranjeros revelen información sobre incidentes materiales de ciberseguridad en una jurisdicción extranjera a cualquier bolsa de valores o a los titulares de valores. Además, según el Reglamento S-K, Ítem 106, las empresas deben detallar a los inversionistas sus procesos de administración de riesgos de ciberseguridad y, a partir de los informes anuales de 2023, incluir toda su estrategia de gestión de riesgos cibernéticos e incidentes pasados. El objetivo es brindar mayor transparencia a los inversionistas sobre programas, riesgos e impactos de ciberseguridad. Todas las empresas públicas deben cumplir con las divulgaciones anuales a partir de los informes para ejercicios fiscales que terminen después del 15 de diciembre de 2023. Para el reporte de filtraciones materiales, la mayoría de las empresas deben cumplir a partir de los 90 días posteriores a la publicación de las reglas en el Registro Federal o antes del 18 de diciembre de 2023. Las empresas de menor tamaño tienen hasta el 15 de junio de 2024 para comenzar con las divulgaciones 8-K. El objetivo de la SEC es ofrecer visibilidad clara a los inversionistas sobre amenazas cibernéticas, gobernanza e impactos. Las capacidades de registro de auditoría y alertas de seguridad de Kiteworks permiten a las agencias monitorear riesgos cibernéticos de forma proactiva, detectar incidentes más rápido y contar con la evidencia forense necesaria para reportes detallados a la SEC en plazos ajustados. Así es como funciona:

Aspectos Destacados de la Solución

  • Registros de auditoría integrales
  • Alertas de seguridad
  • Integración con soluciones SIEM
  • Visibilidad centralizada
  • Monitoreo en tiempo real

Regulación Aumentada de Reportes

El Reglamento S-K, Ítem 106(b) de la SEC exige que las empresas públicas revelen sus procesos para evaluar, identificar y administrar riesgos materiales de ciberseguridad en sus presentaciones regulares ante la SEC. Las empresas deben describir cómo estos procesos se integran en su sistema general de administración de riesgos y si involucran a terceros para apoyar la gestión de riesgos cibernéticos. También deben comentar si incidentes previos han impactado materialmente el negocio y cómo los riesgos cibernéticos pueden afectar la estrategia y el desempeño en el futuro. La SEC ahora exige además que las empresas públicas reporten incidentes materiales de ciberseguridad en un plazo de cuatro días bajo el Formulario 8-K, Ítem 1.05. Esto incluye detallar la naturaleza, alcance, momento e impactos comerciales de la filtración. Finalmente, el Formulario 6-K de la SEC requiere que las empresas públicas divulguen de inmediato cualquier riesgo o incidente de ciberseguridad que sea material para los inversionistas. Para cumplir, las organizaciones necesitan capacidades para detectar amenazas de forma temprana y contar con evidencia forense detallada para investigar incidentes.

Supervisión Integral de la Gobernanza

El Reglamento S-K, Ítem 106(c) exige que las empresas describan la supervisión del consejo de administración sobre los riesgos derivados de amenazas de ciberseguridad y el rol y experiencia de la dirección en la evaluación y gestión de estos riesgos. Esta divulgación es obligatoria en los informes anuales en los Formularios 10-K y 20-F. Incluye identificar cualquier comité o subcomité del consejo responsable de la supervisión de riesgos de ciberseguridad y describir los procesos mediante los cuales el consejo o dicho comité es informado sobre estos riesgos. El consejo supervisa los riesgos de ciberseguridad, incluidos los derivados del uso compartido externo de archivos, a través del Comité de Auditoría. Kiteworks respalda actualizaciones periódicas sobre riesgos cibernéticos y planes de reducción de riesgos, incluyendo detalles sobre las políticas de acceso basadas en roles de Kiteworks que controlan la colaboración externa. Kiteworks permite un control granular sobre los permisos de uso compartido de archivos para limitar el acceso a datos sensibles. Funciones como el reenvío restringido de correos electrónicos, revisiones de acceso de usuarios y escaneo de contenido protegen la propiedad intelectual y la información confidencial mientras habilitan la colaboración segura. La administración centralizada de políticas y la inspección de transacciones aseguran la aplicación uniforme en toda la empresa. Los registros de auditoría detallados que proporciona Kiteworks ofrecen a gerentes y auditores los informes necesarios para demostrar cumplimiento normativo. Con sus sólidos controles de acceso y auditoría, Kiteworks facilita la gobernanza de riesgos cibernéticos derivados del intercambio digital externo de contenidos.

Las organizaciones deben describir el rol de la dirección en la evaluación y gestión de los riesgos materiales del titular derivados de amenazas de ciberseguridad. Kiteworks permite a la dirección utilizar controles, monitoreo y prevención de amenazas para reducir riesgos cibernéticos en asociaciones con terceros. Las políticas de acceso granulares aseguran que los colaboradores externos solo accedan a los datos necesarios para su función. El monitoreo en tiempo real rastrea toda la actividad de usuarios, transferencias de archivos y accesos a datos, mientras que las tecnologías de cifrado y hash protegen la información y garantizan su integridad. Juntas, estas capacidades previenen el acceso y modificación no autorizados de datos, disminuyendo la superficie de ataque. Además, la integración con soluciones SSO, MFA, AV, ATP y DLP proporciona seguridad en capas alineada con las mejores prácticas del sector. Los registros de auditoría demuestran cumplimiento durante revisiones y auditorías periódicas. Al restringir el acceso, detectar amenazas y proteger activos sensibles, Kiteworks permite una colaboración externa segura y ayuda a la dirección a mantener una gobernanza sólida de la seguridad de los datos. El enfoque de defensa en profundidad de la plataforma es clave en el programa de la empresa para evaluar y minimizar riesgos cibernéticos de terceros.

También se debe divulgar si existen y cuáles son los cargos directivos o comités responsables de evaluar y gestionar estos riesgos, así como la experiencia relevante de dichas personas o miembros en el nivel de detalle necesario para describir plenamente la naturaleza de su experiencia. Kiteworks ayuda a las empresas a cumplir con el Reglamento S-K de la SEC, Ítem 106(c)(i), proporcionando controles de acceso robustos y auditoría para asegurar la colaboración externa. Los controles granulares basados en roles alineados a las necesidades del negocio aplican el principio de mínimo privilegio, con permisos personalizados de carpetas y roles de visualizador/cargador/editor que limitan la exposición. Los mecanismos de bloqueo garantizan la colaboración segura, mientras que el monitoreo integral brinda visibilidad sobre todas las acciones de los usuarios. Los registros de auditoría detallados capturan cada transacción, permitiendo revisiones periódicas para asegurar el cumplimiento de las políticas. Al combinar una base de acceso centrada en la identidad con una visibilidad completa, Kiteworks potencia la gobernanza proactiva de asociaciones externas. El personal experto puede analizar patrones de uso para optimizar permisos y detectar anomalías sospechosas. Tanto las limitaciones preventivas de acceso como los controles de detección contribuyen a la reducción de riesgos y al cumplimiento normativo. Kiteworks es un componente esencial de un marco ciberseguro para colaborar de forma segura con terceros.

Además, las organizaciones deben divulgar los procesos mediante los cuales estas personas o comités son informados y monitorean la prevención, detección, reducción y remediación de incidentes de ciberseguridad, y si reportan información sobre los riesgos al consejo de administración o a un comité o subcomité del consejo. Kiteworks facilita la gobernanza y el reporte de riesgos cibernéticos según lo exige el Reglamento S-K de la SEC, Ítem 106(c)(ii) y (iii). Aprovechar los paneles, registros de auditoría y alertas de Kiteworks potencia la supervisión y el reporte de incidentes cibernéticos. El CISO y el Comité de Gobernanza monitorean los análisis de seguridad de la plataforma para detectar anomalías sospechosas que puedan requerir investigación y remediación. El registro integral de actividades captura cada transacción de usuario, permitiendo auditorías periódicas para asegurar el cumplimiento de políticas y detectar posibles amenazas internas. En caso de una filtración confirmada, las notificaciones instantáneas activan los protocolos de respuesta establecidos para reducir el impacto. Los riesgos se reportan al consejo directamente por el CISO o a través del Comité de Auditoría, que tiene la ciberseguridad como tema permanente en la agenda. Kiteworks proporciona visibilidad continua, permitiendo que el personal experto monitoree los esfuerzos de prevención, detecte intrusiones rápidamente y mantenga informada a la dirección sobre el estado cibernético. Las alertas y registros detallados respaldan los requisitos de la SEC para informar e involucrar a ejecutivos y directores en la gobernanza de riesgos cibernéticos mediante monitoreo constante y reportes oportunos.

Registros de Auditoría y Alertas de Seguridad: Visibilidad y Soporte para el Cumplimiento

Para cumplir con estas estrictas regulaciones, Kiteworks ofrece capacidades críticas para el monitoreo de seguridad, la detección de incidentes y la auditoría forense detallada. Kiteworks proporciona registros de auditoría integrales e inmutables que capturan toda la actividad de usuarios, administradores y archivos en su plataforma segura. Estos registros centralizados respaldan la supervisión rutinaria de riesgos cibernéticos y el análisis forense rápido cuando ocurre un incidente. Los registros de auditoría establecen una cadena de custodia para determinar qué datos fueron accedidos, cuándo y por quién, a fin de cuantificar los impactos de una filtración. Los registros se integran fácilmente con soluciones SIEM para alertas automatizadas, reportes y flujos de trabajo de respuesta. Además, las alertas configurables de Kiteworks notifican a los administradores sobre eventos sospechosos como intentos fallidos de inicio de sesión o transferencias de archivos anómalas que pueden indicar amenazas. Juntos, el registro robusto de actividades y las alertas automatizadas de Kiteworks brindan la visibilidad de riesgos cibernéticos y la detección temprana de amenazas que las organizaciones necesitan para cumplir con las reglas de divulgación de la SEC. Los registros de auditoría facilitan rápidamente la investigación, remediación y reporte de incidentes cibernéticos materiales en un plazo de cuatro días, como se exige. Las alertas permiten el monitoreo proactivo para identificar problemas más rápido y minimizar los impactos. Con el seguimiento integral de actividades y alertas en todas las herramientas de colaboración, Kiteworks refuerza la supervisión de ciberseguridad, la respuesta a incidentes y las capacidades forenses esenciales para reportes detallados a la SEC. Permite a las empresas cumplir con las nuevas regulaciones de transparencia, proteger datos sensibles y mantener la confianza de los inversionistas. En definitiva, Kiteworks proporciona la visibilidad de seguridad, controles e información accionable sobre amenazas que las organizaciones necesitan para demostrar una gobernanza efectiva de riesgos cibernéticos, resiliencia y divulgación oportuna.

La SEC ahora exige divulgaciones detalladas sobre riesgos cibernéticos y filtraciones materiales de datos. Kiteworks ofrece las capacidades esenciales para cumplir con estas regulaciones, incluyendo registros de auditoría integrales que capturan trazabilidad detallada de actividades y alertas configurables para detectar amenazas a tiempo. El registro robusto de Kiteworks permite un análisis forense rápido para investigar y reportar incidentes dentro de la estricta ventana de cuatro días de la SEC. Sus alertas facilitan el monitoreo proactivo para identificar problemas más rápido y reducir el impacto. Al asegurar el acceso a contenido sensible, detectar anomalías y proporcionar registros de auditoría, Kiteworks ayuda a las empresas a prevenir, detectar y responder a posibles incidentes de ciberseguridad. Sus capacidades de seguridad permiten a las empresas cumplir con los estrictos requisitos de divulgación de la SEC, mantener la confianza de los inversionistas y demostrar una gobernanza efectiva de riesgos cibernéticos. Para las empresas públicas, Kiteworks es fundamental para reportar de manera oportuna y precisa los incidentes cibernéticos que ahora exige la SEC.

 

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Compartir
Twittear
Compartir
Explore Kiteworks