Pregunta: ¿Cómo deberían los líderes de ciberseguridad navegar las regulaciones de divulgación de ciberseguridad de la Comisión de Bolsa y Seguridad de EE. UU. (SEC) con respecto a eventos y riesgos cibernéticos importantes?
Yakir Golan, director ejecutivo y cofundador de Kovrr: Aunque lo que constituye un riesgo cibernético o un incidente de hardware es, por definición, contextual, el margen de interpretación permitido por la SEC ha dado lugar a sorprendentes inconsistencias en los informes de los formularios 8-K y 10-K. En algunos casos, los accionistas reciben suficientes detalles para tomar decisiones de inversión informadas, mientras que en otros quedan considerablemente insatisfechos.
En una ocasión, la SEC se vio obligada a publicar una copia de un 8-K aparentemente delgado que revelaba un evento cibernético importante, reiterando los requisitos originales y Requerir que se presente con prontitud información adicional sobre el impacto. en una enmienda. Si bien aún no ha habido consecuencias más duras y punitivas por estas revelaciones insustanciales, es sólo cuestión de tiempo antes de que finalice el período de gracia.
Generar marcos de materialidad con umbrales de pérdida.
Una de las orientaciones más concretas que la SEC ofrece a quienes presentan informes de materialidad es considerar “condiciones financieras y resultados de operaciones (ROO),» ambos son resultados claramente cuantificados. Por lo tanto, las organizaciones prácticamente reciben la estructura en la que basar sus marcos de evaluación de materialidad. Al explorar estas ramificaciones específicas y calcular los daños resultantes, los CISO pueden ayudar significativamente a las partes interesadas en sus prácticas de divulgación y garantizar el cumplimiento.
No existen márgenes de pérdida universalmente reconocidos para determinar categóricamente la materialidad, el potencial o la realidad de un incidente cibernético. Sin embargo, después de realizar una investigación exhaustiva y examinar diferentes umbrales contra los datos de pérdida de eventos de ciberseguridad de organizaciones globales en múltiples industrias, Kovrr descubrió que un 0,01% de pérdida de facturación anual de la empresa es un buen punto de partida preliminar.
En otras palabras, cualquier evento cibernético que resulte en una pérdida del 0,01% o más de los ingresos de una organización puede ser significativo y, por lo tanto, debe evaluarse más a fondo.
Exploración de escenarios de pérdidas financieras con partes interesadas clave
A pesar de su lógica, este único punto básico de facturación (0,01%) no debe considerarse una regla estricta para determinar la materialidad. Más bien, sirve como punto de partida para organizaciones que de otro modo estarían confundidas o abrumadas por el proceso. Por lo tanto, los CISO deben interactuar con las partes interesadas clave mucho antes de que ocurra un evento para explorar al menos otros tres o cuatro umbrales de pérdida financiera antes de acordar los parámetros finales.
Lo que puede considerarse un porcentaje apropiado de pérdida financiera importante para una empresa puede no serlo para otra. En última instancia, los líderes deben alinear este umbral monetario con los niveles de tolerancia y apetito de riesgo de la organización y actualizarlo según sea necesario.
Examinar otros tipos de puntos de referencia de pérdidas operativas
Si bien el porcentaje de pérdida de ingresos es uno de los umbrales más utilizados para establecer marcos de materialidad, las organizaciones también pueden aprovechar las métricas de pérdida operativa, como la cantidad de registros de ingresos comprometidos o el total de horas de interrupción, para definir preliminarmente qué constituye un alto impacto. evento cibernético.
Por ejemplo, en el mercado de seguros cibernéticos, los datos históricos de reclamaciones sugieren que una organización sufre pérdidas significativas cuando entre el 1 y el 10 % de sus registros de datos totales se han visto comprometidos. Por lo tanto, los gestores ejecutivos de riesgos pueden pedir al CISO que explore diferentes escenarios de pérdidas dentro de estos límites porcentuales, utilizando el umbral acordado posteriormente para facilitar la toma de decisiones sobre materialidad.
Calcular el probable exceso del umbral para el Formulario 10-K, Línea 1C
Una vez que se establezcan estos puntos de referencia de materialidad interna, los CISO pueden cuantificar la probabilidad de que estos valores de pérdida se superen en caso de un incidente de TI, información particularmente valiosa para cumplir con la nueva posición de ciberseguridad, 1C, del formulario 10-K. .
1C requiere que los registrantes describan sus procesos para “evaluar, identificar y gestionar material [cyber] “riesgos” e indicar, en particular, cómo estos riesgos afectarán “los resultados de las operaciones o las condiciones financieras”.
Los umbrales cuantificados, junto con la probabilidad de que se superen, facilitan que los altos ejecutivos cumplan dichas obligaciones regulatorias, proporcionando a la SEC y a los inversores una comprensión profunda del panorama de riesgos cibernéticos de la organización y los daños tangibles que enfrenta en consecuencia.
Utilice umbrales cuantitativos para el Formulario 8-K, línea 1.05
Mucho antes de que las regulaciones de ciberseguridad de la SEC entraran en vigor, los líderes empresariales ya estaban abrumados por la cantidad de tareas que gestionar después de un evento cibernético. A partir de diciembre de 2023, las organizaciones también deberán evaluar el impacto de un incidente.“sin demoras injustificadas” y luego informar la magnitud de los daños, incluidas las pérdidas financieras y operativas, en un plazo de cuatro días si se consideran importantes.
En lugar de dedicar un tiempo considerable a tratar de considerar todas las implicaciones de largo alcance, que rápidamente pueden volverse abrumadoras, los administradores de riesgos y los ejecutivos pueden aprovechar importantes umbrales cuantitativos para guiar la evaluación, preguntándose: Primero: “¿El evento resultó en pérdidas más allá de nuestros límites? »
Tener estas configuraciones disponibles hace que el proceso sea mucho más eficiente. Además, al tener estas métricas de pérdidas claramente definidas, las partes interesadas pueden justificar fácilmente sus opciones de divulgación ante la SEC, explicando en detalle por qué consideraron que el incidente era material o no.
Teniendo en cuenta los impactos cualitativos en la mezcla
Es importante señalar que si bien los umbrales cuantitativos sirven como base para las discusiones sobre la materialidad, la información divulgada no cumpliría si las organizaciones no consideraran las consecuencias más cualitativas de un evento o riesgo cibernético. Las implicaciones cualitativas pueden incluir si el evento cibernético afectó a clientes o mercados clave, si retrasó significativamente el lanzamiento de un nuevo producto o si resultó en una multa o una investigación regulatoria.
Estos parámetros binarios pueden incluirse como criterios de evaluación además del impacto cuantificado de dichos eventos. Generalmente, será más difícil argumentar que algo no es cualitativamente material si excede sus umbrales cuantitativos para revelar información material. Lo contrario es menos cierto.
Afortunadamente, con los puntos de referencia digitales implementados, las partes interesadas tienen tiempo para dedicar a evaluar estos factores cualitativos menos sencillos que contribuyen a una determinación material y brindan a los inversores un alcance adecuado de información.
En última instancia, para brindar a los accionistas la información transparente y consistente que la SEC quiere que tengan, el enfoque más práctico es adoptar una metodología estandarizada para evaluaciones materiales basada en umbrales cuantificados.
