Ciberseguridad incidentes están constantemente en las noticias estos días, pero pronto escucharás sobre muchos más ellos. La medida de la Comisión de Bolsa y Valores entró en vigor el lunes y exige que todas las empresas públicas informen sobre las violaciones de datos en solo cuatro días.
el nueva regla SEC Requiere que las empresas públicas presenten una presentación ante el gobierno dentro de los cuatro días hábiles posteriores a la determinación de un “material” de incidente de seguridad cibernética. En la violación de datos de 23andMe, los usuarios descubrí en diciembre que 6,9 millones de personas tuvieron sus biodatos expuestos, aunque el hackeo sucedió en principios de octubre. En ese caso, no está claro cuándo 23andMe supimos sobre la gravedad del truco, y cuán material fue , pero son posibles usuarios podría haber sido alertado mucho antes.
Las empresas públicas actualmente tardan aproximadamente 80 días en informar incidentes a la SEC, según la última investigación de Gartner. Ese número solo ha aumentado en los últimos años, desde 60 días en 2020, ya que las empresas tardan más en responder mientras seleccionan Respuestas de relaciones públicas a violaciones masivas de datos. Sin embargo, algunas tardan más de 100 días porque existen muy pocas reglas para informar sobre violaciones de datos en todos.
La palabra clave en esta legislación es “material”, porque es ambigua y difícil de definir cuándo se determina exactamente que un incidente de ciberseguridad es así. La Corte Suprema define evidencia material como una probabilidad sustancial de que un inversor razonable lo considere importante. Un CEO podría enterarse de una filtración de datos en enero, pero sólo determinar que era material en febrero, después de semanas de una revisión interna.
La regla de la SEC, aprobada en julio pero que entró en vigor el 18 de diciembre, también requiere que las empresas brinden más detalles sobre la naturaleza de un incidente. alcance y calendario. Esto significa que el público sabrá más sobre las violaciones de datos más rápidamente que antes. Las respuestas en materia de ciberseguridad se han visto socavadas durante mucho tiempo por Empresas públicas, que se benefician de millones de puntos de datos de usuarios pero tienen sistemas de seguridad relativamente débiles.
Solo en la última semana: nos enteramos de que Comcast perdió los datos de cada cliente de Xfinity; Insomniac Games de PlayStation fue pirateado y perdido 1,67 terabytes de datos, incluyendo los pasaportes de sus empleados y los detalles de un nuevo juego de Wolverine; y una enorme compañía hipotecaria y de préstamos, Sr. Cooper, perdido los datos de 14 millones de personas. Esos son solo los incidentes de ciberseguridad que se reportaron esta semana. Sin embargo, es posible que ya haya sido impactado por alguna otra empresa que perdió sus datos, y simplemente no lo sabe todavía. La nueva regla de la SEC tiene como objetivo cambiar eso.
Este contenido ha sido traducido automáticamente del material original. Debido a los matices de la traducción automática, pueden existir ligeras diferencias. Para la versión original, haga clic aquí.