La SEC acaba de publicar nuevas reglas para informar sobre violaciones de seguridad cibernética esto es lo que significa para los CFO

La SEC publica reglas sobre informes de violaciones de seguridad cibernética, impacto para los CFO

Cuatro días hábiles. Eso es lo que tienen las empresas públicas para informar a la Comisión de Valores y Bolsa de los Estados Unidos (SEC) de una brecha de ciberseguridad que pueda afectar el resultado final de una organización.

La SEC anunció la adopción de nuevas reglas el 26 de julio que requiere la divulgación en el nuevo Ítem 1.05 del Formulario 8-K de cualquier incidente de ciberseguridad que la empresa determine que sea “material”, junto con una descripción que incluya la “naturaleza, alcance y tiempo”, y el impacto probable.

Las nuevas reglas también agregan el Ítem 106 de la Regulación S-K, que requerirá que las empresas describan sus procesos para evaluar, identificar y gestionar los riesgos materiales derivados de amenazas de ciberseguridad, así como la supervisión de la junta directiva sobre los riesgos derivados de amenazas de ciberseguridad. Estas divulgaciones también serán requeridas en el informe anual del Formulario 10-K de un registrante.

Las nuevas reglas entrarán en vigor en diciembre o 30 días después de su publicación en el Registro Federal. La presentación de los informes 10-K y 20-F deberá realizarse a partir de los informes anuales correspondientes a los ejercicios fiscales que terminen el 15 de diciembre o después, anunció la SEC.

Muchas empresas ya han estado compartiendo información sobre incidentes cibernéticos en los formularios 8-K, pero ahora hay un estándar. Y cada vez más se espera que los directores financieros desempeñen un papel más importante en la presentación de informes regulatorios. En la Encuesta de Señales de CFO de Deloitte para el segundo trimestre de 2023, los directores financieros citaron el aumento de las regulaciones y el trabajo con los reguladores como uno de los principales desafíos relacionados con la gestión del riesgo empresarial (43%). Y la implementación de procesos para identificar, monitorear y abordar los riesgos también fue mencionada como una preocupación (27%).

Es hora de la verdad… para algunos

Desde marzo de 2022, había indicios de que la SEC tomaría alguna medida en relación con la presentación de informes de ciberseguridad, y las empresas públicas deberían haberse estado preparando, según Courtney Adante, presidenta del asesoramiento de riesgos de seguridad en Teneo, una firma global de asesoramiento a CEO. Además de dirigir la división, Adante apoya a clientes de las ANBLE 500 con el diseño y la implementación de programas de estrategia de seguridad empresarial, incluida la gestión de riesgos de ciberseguridad.

“En mi opinión, la SEC buscaba realmente más transparencia para la comunidad de inversionistas”, dice Adante. “Lo que he visto es que las empresas, especialmente en industrias o sectores altamente regulados como los servicios financieros o incluso la defensa, estaban en gran medida adelantadas porque han tenido que cumplir con la regulación durante algún tiempo. Para otras industrias y sectores que tal vez no hayan dedicado tiempo a esto, es hora de la verdad. Creo que tienen cerca de seis meses para organizarse antes de que estas reglas entren en vigor”.

¿Qué papel cree Adante que desempeñarán los directores financieros en la presentación de informes a la SEC? “La evaluación de materialidad en términos de interrupción comercial y impacto en los resultados financieros obviamente recae en el director financiero”, dice. “Pero el director financiero deberá tomar esa decisión informado por una amplia gama de partes interesadas dentro de la empresa y los compañeros en el equipo directivo, y en el resto de días y semanas posteriores a la brecha para tomar esa decisión sobre la materialidad”.

Si se trata de una brecha material y que merece ser informada a la SEC, ¿cómo puede una empresa vencer al reloj de la regla de los cuatro días? Prepare un plan de gestión de crisis para tener la “capacidad de movilizarse rápidamente como equipo directivo ejecutivo para compartir información y hacerlo de manera fluida”, explica Adante. “Y no solo asegurarse de que tienen esos marcos de respuesta a incidentes y gestión de crisis en su lugar, sino también probarlos ahora”.

Guy Melamed, director financiero y director de operaciones de Varonis Systems Inc. (Nasdaq: VRNS), una empresa de software que proporciona seguridad y análisis de datos, comparte su perspectiva. “Los directores financieros suelen ser responsables de muchas cosas, pero las reglas de la SEC significan que ahora deben adquirir conocimientos sobre un tema más que nunca se enseñó en ninguna clase de contabilidad: la ciberseguridad”, dice Melamed. “La responsabilidad de mantener seguras a las empresas sigue siendo responsabilidad del equipo de seguridad, pero los directores financieros deben comenzar a tomar medidas y hacer preguntas sobre la seguridad de su organización, y las correctas. Con demasiada frecuencia, el riesgo comienza cuando la información crítica se expone demasiado”.

¿Cuál es una buena pregunta de seguridad? “Pregúntele a su [director de seguridad de la información] quién puede o quién ha accedido a sus estados financieros en los últimos 30 días. Si no pueden responderle en cinco minutos, está expuesto”, dice Melamed.


Sheryl Estrada[email protected]

Gran negocio

Un informe de S&P Global Market Intelligence revela que las empresas de medios y telecomunicaciones cotizadas en bolsa en América del Norte recaudaron colectivamente $868 millones a través de ofertas de capital en junio. El total representa una “disminución significativa” en comparación con los $26.51 mil millones revisados que se recaudaron en mayo de 2023 y los $1.33 mil millones recaudados en junio de 2022, según el informe.

Cortesía de S&P Global Market Intelligence

Profundizando

La Encuesta de Opinión de los Oficiales Senior de Préstamos del Banco de la Reserva Federal de julio de 2023 sobre las prácticas de préstamo bancario, publicada el lunes, encontró que en el segundo trimestre de 2023, un número creciente de bancos endurecieron los estándares de préstamo. “En cuanto a los préstamos a empresas, los encuestados informaron, en general, estándares más estrictos y una demanda más débil de préstamos comerciales e industriales para empresas de todos los tamaños”, según el informe. “Mientras tanto, los bancos informaron estándares más estrictos y una demanda más débil en todas las categorías de préstamos comerciales de bienes raíces”.

Tabla de clasificación

Jami Rubin fue nombrada CFO de Boundless Bio, una empresa oncológica en fase clínica. Rubin aporta más de 30 años de experiencia al cargo. Rubin fue CFO de EQRx hasta hace poco. Pasó la mayor parte de su carrera como analista de acciones de biotecnología, incluyendo como socia de Goldman Sachs. Rubin también fue socia de PJT Partners, un banco de inversiones global enfocado en asesoramiento.

Monica Vinay fue nombrada CFO de Visual Edge IT, Inc., especializada en servicios de TI y seguridad gestionados y computación en la nube. La experiencia de Vinay se ha centrado en finanzas y análisis. Más recientemente, se desempeñó como CFO interina y vicepresidenta de relaciones con inversionistas y tesorera en Myers Industries, Inc. Antes de eso, Vinay fue directora de finanzas en Barnes Group, Inc.

Escuchado

“Prevemos que los precios de las viviendas en 2023 terminen el año sin cambios en comparación con 2022, antes de caer un 2% en 2024 a medida que la asequibilidad continúa ajustándose lentamente a los promedios a largo plazo y los inventarios comienzan a subir lentamente desde los mínimos de varias décadas”.

—Analistas de vivienda de Morgan Stanley escribieron en una nota de investigación que esperan que los precios de las viviendas se mantengan estables en comparación con el año anterior en 2023, antes de disminuir en 2024, informó Yahoo Finance.