Nuevas regulaciones de la SEC en ciberseguridad

Por: CP Iván Rodríguez. Colaborador de Auditool.

La Comisión de Bolsa y Valores de Estados Unidos (SEC por sus siglas en inglés Securities and Exchange Commission) anunció, recientemente, nuevas regulaciones de ciberseguridad, que incluyen tres nuevas reglas propuestas y reabrir el período de comentarios sobre una regla propuesta en el año 2022. Dichas reglas propuestas se centran en las entidades del sector financiero, incluidos los corredores de bolsa, asesores de inversión, compañías de inversión y otras entidades reguladas por la SEC.

Las nuevas regulaciones propuestas por la SEC requerirían que las entidades reguladas adopten formalmente políticas y procedimientos para responder a incidentes cibernéticos, ampliarían el alcance de la información sujeta a las reglas para incluir información recibida de instituciones financieras de terceros, e implementarían nuevos requisitos para informar incidentes cibernéticos tanto a clientes como a reguladores. Las normas propuestas incluyen lo siguiente:

Reglamento S-P^[1]

Las enmiendas propuestas por la SEC a la Regulación S-P requerirían el seguimiento de los corredores de bolsa, asesores de inversión registrados y compañías de inversión. Hay que tener en cuenta:

Crear un programa de respuesta a incidentes: se requerirá que las entidades adopten políticas y procedimientos escritos que aborden el acceso no autorizado o el uso de la información del cliente, incluidos los procedimientos para notificar a las personas afectadas por un incidente. La regla propuesta también requerirá que las entidades reguladas notifiquen a las personas afectadas dentro de los 30 días posteriores a la notificación de que se ha producido un acceso no autorizado.

Ampliar el alcance del nuevo término de "información del cliente": la regla propuesta requerirá que las entidades reguladas apliquen salvaguardas a los registros que contienen "información personal no pública" que recopilan, tanto sobre sus propios clientes como sobre los que reciben de instituciones financieras de terceros.

Agentes de eliminación, documentación y transferencia de registros: la propuesta también introducirá otras enmiendas al Reglamento S-P, incluido el requisito de procedimientos mejorados para eliminar la información sobre informes del consumidor, la ampliación de la aplicación de las disposiciones de salvaguardias a los agentes de transferencia, y el requisito de que las entidades cubiertas mantengan registros escritos que documenten el cumplimiento de las normas modificadas propuestas.

Políticas cibernéticas para los mercados de valores

Otra propuesta de la SEC involucra a parte de las entidades que incluyen a los corredores de bolsa, las agencias de compensación, los principales participantes de swaps basados en valores, la Junta Municipal de Reglamentación de Valores, las asociaciones nacionales de valores, las bolsas nacionales de valores, los repositorios de datos de swaps basados en valores, los agentes de swaps basados en valores y agentes de transferencia denominados colectivamente entidades de mercado. Con estas entidades requerirá las siguientes acciones:

Establecer y mantener políticas y procedimientos escritos: se requerirá que las entidades del mercado establezcan, mantengan y hagan cumplir políticas y procedimientos escritos para abordar los riesgos de ciberseguridad. Esto incluiría evaluaciones periódicas de los riesgos cibernéticos asociados con los sistemas de información y el mantenimiento de evaluaciones escritas de riesgos.

Procedimientos de respuesta a incidentes: la regla propuesta también requeriría que las entidades del mercado implementen medidas y procedimientos para detectar y responder a incidentes de ciberseguridad, incluida la documentación escrita de la respuesta y recuperación de un incidente.

Informes a la SEC y divulgaciones públicas: las entidades del mercado tendrían que informar "incidentes significativos de ciberseguridad" a la SEC mediante la presentación de la Parte I de un formulario SCIR^[2] Si las entidades cubiertas tienen motivos razonables para creer que se ha producido o está en curso un incidente significativo de ciberseguridad, deben notificar instantáneamente a la comisión por escrito. Además, deben presentar la Parte I de un nuevo formulario SCIR dentro de las 48 horas que se mantendrá confidencial en EDGAR^[3] y contendrá detalles exhaustivos sobre el incidente. También deben actualizar continuamente este formulario si se producen cambios sustanciales.

Cumplimiento e Integridad de los Sistemas de Regulación

La propuesta proporcionaría varias actualizaciones al Cumplimiento e Integridad de los Sistemas de Regulación, incluidas nuevas especificaciones para las políticas y procedimientos requeridos, así como la ampliación del alcance de las entidades cubiertas. Esto incluye lo siguiente:

Ampliación del alcance de las entidades SCI^[4]: la norma propuesta ampliaría la definición de entidades SCI para incluir 1) repositorios de datos de swap basados en valores registrados; 2) todas las agencias de compensación que estén exentas de registro; y 3) ciertos grandes corredores de bolsa, en particular, aquellos que exceden un umbral de activos totales o un umbral de actividad de transacción.

Nuevos requisitos para políticas y procedimientos: la propuesta también incluye disposiciones adicionales que requieren que las políticas y procedimientos de una entidad cubierta incluyan un inventario y clasificación escritos de todos los sistemas y programas de SCI para la gestión del ciclo de vida, así como para la prevención del acceso no autorizado a dichos sistemas de gestión y supervisión de ciertos proveedores externos, incluidos algunos proveedores de servicios en la nube.

Expansión de eventos de notificación y otros requisitos: las enmiendas propuestas también ampliarían los eventos que desencadenarían la notificación inmediata a la SEC, actualizaría la regla de revisión anual de SCI y sus requisitos de pruebas de continuidad del negocio y recuperación ante desastres, y actualizaría algunas de las disposiciones de mantenimiento de registros del reglamento.

Período de comentarios reabierto

Finalmente, la SEC anunció que el período de comentarios se reabrió para una regla propuesta el año pasado relacionada con la gestión de riesgos de ciberseguridad y las divulgaciones relacionadas con la ciberseguridad para asesores de inversión registrados, compañías de inversión registradas y compañías de desarrollo empresarial. La regla propuesta, entre otras cosas, requeriría adoptar políticas escritas de ciberseguridad, informar incidentes cibernéticos a la SEC y divulgar públicamente incidentes significativos a través de folletos y declaraciones de registro.

Como se advierte, hay una preocupación por los incidentes de seguridad cibernéticos que seguramente serán motivo de nuevas regulaciones por parte de los organismos que ejercen algún tipo de inspección, vigilancia y control a las organizaciones de diferentes sectores, por lo que se recomienda a los auditores estar atentos a las disposiciones normativas que surjan al respecto y a su manera de aplicarlas de manera íntegra y oportuna.

^[1] La Regulación S-P, también conocida como la regla de privacidad de la información financiera del consumidor, es una regulación implementada bajo la Ley Gramm-Leach-Bliley (GLBA). Esta regulación establece requisitos de privacidad que los corredores de bolsa, asesores de inversiones y otras instituciones financieras deben seguir para proteger la privacidad y seguridad de la información del cliente.

^[2] Incidentes y riesgos significativos de ciberseguridad - Significant Cybersecurity Incidents and Risks (SCIR)

^[3] EDGAR (Electronic Data Gathering, Analysis, and Retrieval) significa Recopilación, análisis y recuperación de datos electrónicos. Es una base de datos en línea mantenida por la SEC.

^[4] SCI es un término que incluye organizaciones autorreguladoras, incluidas bolsas de valores y opciones, agencias de compensación registradas, sistemas de negociación alternativos, entre otras.

ivan

CP Iván Rodríguez - CIE AF

Auditor y consultor, diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, diplomado en Gerencia de la Calidad. Contador público (CP) de la Pontificia Universidad Javeriana con 20 años de experiencia en diversas empresas. Tiene amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool.

Bogotá D.C., Colombia.

Auditoría de TI

Nuevas regulaciones de la SEC en ciberseguridad

Bienvenido a Auditool, la Red Global de Conocimientos en Auditoría y Control Interno.

Política de manejo de reclamaciones y devoluciones

La transformación tecnológica y sus contribuciones a la auditoría

Sesgos cognitivos en auditoría: Un análisis basado en 'Thinking,...

Riesgos comunes en TI y cómo auditarlos

Fraude fiscal y sus implicaciones: Estrategias para mejorar la...

Biblioteca Integral de controles y riesgos para el proceso de compras

Curso Virtual: Introducción a los KPI para auditores

Cómo revisar la documentación de auditorías predecesoras: Guía...

¡Potencia tu Firma registrándote en nuestro directorio! 🌎✏️

Guía de auditoría para el manejo seguro de firmas manuales y...