SEC INSTA A MEJORES PRÁCTICAS DE CIBERSEGURIDAD EN EMPRESAS FINANCIERAS
La Comisión de Bolsa y Valores de EE.UU. informa a las compañías de servicios financieros qué tipo de prácticas de ciberseguridad ha encontrado durante las auditorías, brindándoles información detallada sobre cómo manejar datos confidenciales y protegerse contra ataques cibernéticos.
Las observaciones de la SEC son las más recientes en una serie de movimientos de reguladores y agencias gubernamentales que demuestran que están cada vez más preocupados por las prácticas sobre seguridad cibernética corporativa.
La lista de la SEC de estas prácticas se publica a menos de una semana de que la Agencia de Seguridad Nacional publicara una guía sobre cómo las empresas deberían proteger sus servicios basados en la nube. Varios puntos planteados en esa guía son similares a los que recomienda la SEC, como el uso de la autenticación multifactor, el mantenimiento de programas de parches y el cifrado del tráfico de datos.
Algunos expertos señalan que si bien ciertas áreas que la SEC analiza son valiosas, incluido el asesoramiento sobre la creación de copias de seguridad de datos fuera de línea, algunas de las más sofisticadas herramientas y procesos están fuera del alcance de las empresas más pequeñas.
En una sección que cubre la pérdida de datos, la SEC sugiere que las empresas usen sistemas que puedan detectar y bloquear las transmisiones de datos que contienen información confidencial, como el Seguro Social o los números de cuenta.
También sugiere controles rigurosos para el acceso a los sistemas, incluido el uso de códigos de acceso generados aleatoriamente para autenticar a las personas y la eliminación inmediata de accesos a un empleado cuando deja una empresa.
El regulador seguramente no espera que todas las compañías bajo su órbita de control implementen todos los enfoques que enumera, y entiende que las empresas más pequeñas enfrentan desafíos con los recursos para la seguridad cibernética.
El informe de la SEC se divide en áreas que incluyen acceso y gestión de proveedores, respuesta a incidentes, seguridad móvil, gobernanza y gestión de riesgos, capacitación de empleados y prevención de pérdida de datos. «Creemos que evaluar su nivel de preparación e implementar algunas o todas [estas] medidas hará que su organización sea más segura», dice el informe.
Bajo la gestión de proveedores, por ejemplo, la SEC destaca que las empresas deben haber establecido procedimientos para terminar la relación contractual con proveedores de servicios en la nube y otros proveedores, con el fin de preservar los datos necesarios para el cumplimiento de las normativas al pasar de un proveedor a otro.
El informe también dice que las compañías deben comprender claramente los riesgos relacionados con el uso de los proveedores de servicios basados en la nube, y qué parte es responsable para salvaguardar la información confidencial. Los reguladores financieros, incluida la SEC, la Autoridad Reguladora de la Industria Financiera y la Asociación Nacional de Futuros, señalaron recientemente que se están centrando en la seguridad de la nube durante las auditorías de las compañías.
La prevención de pérdida de datos es un enfoque principal de los exámenes de la SEC. En 2019, la SEC envió una serie de encuestas detalladas a asesores de inversión registrados que se centraron en sus acuerdos de seguridad en la nube. Muchos asesores carecían de los tipos de herramientas descritas por la SEC, particularmente en términos de monitoreo cuando se transmitía información confidencial.