Explicación
En octubre de 2023, la Comisión de Bolsa y Valores de EE. UU. (SEC) presentó una demanda histórica contra SolarWinds Corp. y su director de seguridad de la información (CISO), lo que cambió drásticamente el panorama para los profesionales de la seguridad. Este caso es notable porque es la primera vez que la SEC procesa a un CISO individualmente en un caso de cumplimiento, y muchos líderes de seguridad se preguntan qué acciones inmediatas pueden tomar para protegerse como individuos y organizaciones de demandas similares. Me pregunto si debería tomarlas. cualquier acción.
La mayoría de las personas en ciberseguridad ahora conocen la violación de SolarWinds que ocurrió en 2020. En esta infracción, los actores de amenazas obtuvieron acceso no autorizado al entorno de una empresa de redes y colocaron malware en el software de Orion. SolarWinds, sin saberlo, distribuyó a los clientes actualizaciones de Orion que contenían malware.
A fines del año pasado, la SEC demandó a SolarWinds y su CISO, Timothy Brown, en una variedad de medios, incluidos documentos presentados ante la SEC, una “declaración de seguridad” publicada en el sitio web de la compañía, comunicados de prensa, podcasts y publicaciones de blogs. alega que ambas partes hicieron declaraciones falsas y engañosas a los inversores sobre los riesgos, prácticas y vulnerabilidades de ciberseguridad de SolarWinds.
¿Qué debe hacer un CISO?
Si bien las demandas de la SEC pueden tardar años en resolverse, aquí hay cinco elementos de acción que todo CISO de una empresa pública debería considerar ahora.
Establezca líneas claras de comunicación con el director financiero y el equipo de informes financieros. Las funciones de informes de la SEC y seguridad de la información deben trabajar en estrecha colaboración. La coordinación es especialmente importante dadas las nuevas reglas de notificación 8-K para incidentes graves de ciberseguridad.
Las declaraciones hechas a clientes y proveedores deben estar sujetas al mismo nivel de escrutinio que las declaraciones hechas a los accionistas. Un error común es creer que la responsabilidad según las leyes de valores de EE. UU. se aplica sólo a las declaraciones realizadas en los documentos de la SEC. Como ilustra el caso de SolarWinds, la SEC ha adoptado la posición de que todas las comunicaciones públicas, incluidas publicaciones de blogs, comunicados de prensa y declaraciones orales, pueden influir en la información general disponible para los inversores. Existe una delgada línea entre las exageraciones de marketing y algo que puede engañar a los inversores, y todas las declaraciones públicas deben hacerse teniendo en cuenta a los inversores y la posible responsabilidad de los valores.
Asegúrese de que sus políticas y controles de seguridad de la información sean de última generación. Uno de los elementos más controvertidos del caso fue la acusación de la SEC de que SolarWinds, la empresa involucrada en el fraude, no mantuvo controles contables internos adecuados sobre sus informes financieros. Aunque esta cuestión finalmente se resolverá mediante un litigio, la SEC puede presentar demandas similares contra otras empresas en el futuro. Los CISO también deberían considerar los seguros disponibles y la cobertura corporativa.
Trabaja en equipo con auditoría interna y otros proveedores de aseguramiento. Probar su sistema puede hacerlo más resistente y monitorear las comunicaciones externas desde múltiples perspectivas puede ayudar a reducir los errores.
En caso de duda, consulte a un abogado. La posición de la SEC sobre la ciberseguridad es compleja y cambia rápidamente. Si surge un patrón de hechos nuevo o incierto, asegúrese de consultar a un abogado de ciberseguridad con experiencia en asuntos de la SEC.
La SEC da prioridad a la protección de los inversores cuando aborda las violaciones de la ciberseguridad, que a menudo implican cuestiones complejas como la privacidad de los datos y la seguridad nacional. Recientemente, la SEC exigió a las empresas que cotizan en bolsa que aumentaran la transparencia informando sobre el monitoreo de la ciberseguridad en sus informes anuales y divulgando incidentes importantes dentro de los cuatro días hábiles. Será interesante ver cómo se desarrollan las cosas en la SEC, pero estos casos sientan un precedente que cambiará la forma en que se manejan las divulgaciones de ciberseguridad en toda la industria, aumentando la importancia de la transparencia y la responsabilidad en la era digital. se enfatiza.
Fuente: https://www.darkreading.com/cyber-risk/the-sec-solarwinds-case-what-ciso-should-do-now
