Las autoridades advierten sobre el cumplimiento (y riesgos por incumplimiento) en temas de ciberseguridad
Hace unos días, la Oficina de Inspecciones de Cumplimiento (OCIE) de la Comisión de Bolsa y Valores de EE.UU. (SEC) emitió una nueva alerta de riesgos de seguridad cibernética. En esta iniciativa, la SEC vuelve a insistir en su intención de llevar a cabo una segunda fase de exámenes sobre seguridad cibernética de las firmas que operan como asesores de inversión.
A finales de septiembre, un asesor de inversiones con sede en St. Louis resolvió cargos de la SEC acusándola de carecer un adecuado plan de ciberseguridad previo a una violación de datos que puso en peligro la información de cerca de 100.000 personas, entre ellas miles de clientes de la firma.
Una investigación de la SEC encontró que R.T. Jones Capital Equities Management violó esta «regla salvaguardias». Durante cuatro años, la empresa «no adoptó las políticas y procedimientos escritos para garantizar la seguridad y confidencialidad de la información de identificación personal [PII por sus siglas en inglés] y protegerla de amenazas o acceso no autorizado,» dijo la SEC. Haga clic aquí para leer el comunicado de la SEC.
La SEC ha puesto a la ciberseguridad como una amenaza real y la colocó en lo alto de su lista de prioridades. Lanzó la primera alerta del riesgo sobre el tema en abril de 2014 y luego emitió sus prioridades en los exámenes que fueron anunciadas en enero y realizó la primera ronda de los mismos este año.
La más reciente alerta de riesgo de la agencia proporciona información adicional sobre las áreas de interés para la segunda ronda de exámenes de seguridad cibernética de la OCIE, que supondrán más pruebas para evaluar la implementación de los procedimientos y controles de las firmas. La idea de pruebas más extensas podría significar que la SEC llevará a cabo más visitas in situ a las empresas en esta segunda ronda de exámenes.
Algunos de los pasos que los profesionales en cumplimiento y riesgo de las distintas firmas que deben hacer frente a un posible examen por parte de la SEC en temas de políticas y procedimientos son:
–Identificar los riesgos de seguridad cibernética de la empresa – los riesgos que representan las actividades de la empresa y la interconectividad – cualquier cosa que representa una potencial pérdida o daño de un activo como consecuencia de una amenaza que explota una vulnerabilidad.
–Proteger los datos de la empresa una vez que las amenazas, las vulnerabilidades y los riesgos de la empresa han sido identificados para ayudar a la empresa a evaluar si tiene las salvaguardas o controles adecuados para mitigar los distintos tipos de amenazas que enfrenta.
–Entrenar al equipo sobre la importancia de proteger los datos y detectar vulnerabilidades es clave para mantener a los sistemas seguros.
— Los sistemas de prueba, procedimientos y los remiendos que las empresas han diseñado para reemplazar a los sistemas cuando se vean en peligro, son esenciales. Además, para mantener su eficacia, todas las herramientas de detección de la empresa y procesos de seguridad deben ser actualizados regularmente para permitir la supervisión continua y detecciones en tiempo real de las amenazas en constante evolución.
Ser capaz de demostrar el compromiso de la empresa con estrictos protocolos de seguridad cibernética, que van dese la identificación de riesgos a entrenamiento, puede aportar mucho para mostrar a los reguladores, acciones, público y otros el grado de seriedad de la empresa con respecto a su seguridad de datos.
Funcionarios de la OCIE, dentro de la SEC, han dicho que si encuentran manuales de cumplimiento que no son específicos para el negocio de la firma que están inspeccionando, asumirán que estas compañías no toman con seriedad el tema de cumplimiento, determinarán que estas firmas tienen un alto riesgo de incumplimiento y es probable que realicen una revisión completa del total de las operaciones de la empresa.