Un estudio reciente de Board Cybersecurity encontró que 4 de cada 10 empresas que cotizan en bolsa y que divulgan públicamente sus perfiles de ciberseguridad en sus presentaciones 10-K tienen un director de seguridad (CSO) o un director de seguridad de la información (CISO) dedicado.
Si bien mencionar a los CSO y CISO en las presentaciones 10-K no es un requisito de presentación de informes (los requisitos son flexibles), se mencionan en el 60% de los casos, especialmente dada la importancia que se otorga a sus funciones en las grandes empresas. .
La decisión de trabajar con un proveedor de servicios de seguridad gestionados (MSSP) suele tomarla el CSO o el CISO. En ese sentido, ¿son sorprendentes las cifras del 10-K? ¿Las empresas tardan en nombrar CSO y CISO para supervisar las cuestiones de ciberseguridad?
En una revisión de 2178 10-K del 15 de marzo de 2024, compartida por el fundador de Board Cybersecurity, Andrew Hoog, con MSSP Alert, descubrimos que pocos mencionan a un ejecutivo de seguridad de tiempo completo (CSO, CISO representaba solo el 41% de los 10-K). Presentaciones K.
“Creo que en general hay acuerdo en que las áreas clave de valor corporativo (ventas, productos) y riesgo (asesoramiento legal) deberían tener ejecutivos dedicados”, dijo en un correo electrónico con MSSP Alert. “Dados los riesgos sistémicos que la ciberseguridad plantea a las organizaciones, creo que el 41% es mucho menor de lo que dirían la mayoría de los expertos en ciberseguridad. No es el 2%, por lo que está claro que se trata de una estrategia de gestión importante”.
En estos días de infracciones cibernéticas desenfrenadas, no se puede eludir el hecho sorprendente de que muy pocas empresas registradas en la SEC 10-K mencionen el papel de un CSO o CISO en sus presentaciones ante la SEC. ¿No comprenden las empresas la importancia de que los ejecutivos supervisen la ciberseguridad?
“Los incidentes de ciberseguridad pueden tener un impacto significativo en las empresas y, en casos de gran escala, pueden afectar a economías enteras”, afirma Hoog. “Dados los riesgos sistémicos para las empresas, es esencial contar con un ejecutivo de seguridad dedicado con experiencia y enfocado en mitigar el impacto de estos ataques”.
“Las recientes normas de divulgación de ciberseguridad de la SEC se han utilizado no sólo para proporcionar a los inversores información importante sobre cómo las empresas gestionan los riesgos de seguridad, sino también para recopilar las mejores prácticas para la gestión de riesgos de ciberseguridad.
Impacto de la regla de incidentes de ciberseguridad de la SEC
Para comprender completamente el impacto de estos datos, es necesario comprender el contexto de la Regla de notificación de incidentes de ciberseguridad de la SEC, que entrará en vigor el 18 de diciembre de 2023.
En las nuevas regulaciones de notificación de incidentes de la Comisión de Bolsa y Valores (SEC), la sección de impacto “material” de las regulaciones (Ítem 1.05 del Formulario 8-K) recibió la mayor atención. Según Incident Tracker de Board Cybersecurity, 13 empresas han informado incidentes importantes de ciberseguridad en sus informes 8-K desde que la regla entró en vigor, incluidos grandes nombres como Hewlett-Packard Enterprise, Microsoft y UnitedHealth Group. Desde principios de 2024, casi 3.000 empresas han informado sobre sus estrategias de gestión de riesgos y gobernanza de la ciberseguridad divulgadas en sus 10-K corporativos. El punto 1C Ciberseguridad en la presentación 10-K requiere que las empresas describan cómo se integran sus procesos de ciberseguridad en el sistema general de gestión de riesgos del registrante. Como parte de las reglas de la SEC, las empresas también deben describir el papel de su junta directiva y gerencia en la evaluación y gestión de riesgos materiales de ciberseguridad. Esta es la sección donde se menciona al CSO o CISO como parte de la postura de ciberseguridad de la empresa, si la empresa así lo decide. Otro requisito (y esto es importante para los MSSP) es que las empresas deben informar sobre sus procesos para monitorear e identificar riesgos significativos de amenazas de ciberseguridad asociadas con proveedores externos.
Descripción general de la presentación 10-K
A continuación se muestra un ejemplo de una presentación de Ciberseguridad del Artículo 1C de 10-K.
Examinar los datos por industria proporciona una mirada más cercana a los 10-K presentados por la industria con respecto a la ciberseguridad que mencionan a los CSO o CISO.
Agricultura, silvicultura, 22% comercio mayorista, 31% industria de servicios, 59% comunicaciones, energía, 52% desconocido, 46% comercio minorista, 34% finanzas, seguros, bienes raíces, 51% industria manufacturera, 28% industria de la construcción, 35% industria minera, 18%
¿Qué tienen de sorprendente estos números?
Las industrias de servicios, incluidas las empresas de tecnología, tampoco son caras. La industria energética, que incluye muchas empresas de infraestructura, tampoco es cara. Las industrias financiera, de seguros y de bienes raíces, incluidos los principales bancos, tampoco son caras. La minería, con ciertos recursos críticos e impactos ambientales, puede pasar por alto los riesgos de ciberseguridad.
Detalles de datos
Rango de fechas: 23 de agosto de 2023 al 15 de marzo de 2024 Número total de 10-K con elemento 1C: 3173 Número de 10-K con elemento 1C de más de 100 caracteres: 2860 Error en la extracción automática de 1C 10 Número de -K: 150 Número total de 10-K incluidos en el análisis: aproximadamente 2.710
Los envíos del Artículo 1C de menos de 100 caracteres se excluyeron de la encuesta, ya que las empresas con años fiscales que finalizan antes del 15 de diciembre de 2023 no están obligadas a completar el Artículo 1C.
Board Cybersecurity es un recurso de ciberseguridad para miembros de juntas directivas, ejecutivos e inversores. Un estudio anterior realizado en febrero de 2024 con una muestra más pequeña de 373 encontró que el 52% de las presentaciones mencionaban a un CSO o CISO. Board Cybersecurity actualiza sus datos periódicamente, por lo que MSSP Alert seguirá realizando un seguimiento de sus hallazgos.
Fuente: https://www.msspalert.com/news/cso-cisos-no-mention-in-40-of-large-companies-sec-cybersecurity-filings
