El art\u00edculo 5 del Reglamento establece la responsabilidad del CEO y la Junta Directiva de las entidades financieras en el establecimiento de un marco interno de gobernanza y control que garantice una gesti\u00f3n eficaz y prudente del riesgo tecnol\u00f3gico.<\/p>\r\n\r\n\r\n\r\n
Por un lado, como parte de la estrategia de resiliencia operativa digital, y entre otras responsabilidades, el CEO y la Junta Directiva determinar\u00e1n cu\u00e1l es el nivel adecuado de tolerancia al riesgo tecnol\u00f3gico de la entidad financiera.<\/p>\r\n\r\n\r\n\r\n
Por otro lado, aprobar\u00e1n y revisar\u00e1n peri\u00f3dicamente la pol\u00edtica de la entidad financiera sobre los acuerdos relacionados con el uso de servicios inform\u00e1ticos y de comunicaciones suministrados por terceros, y supervisar\u00e1n el impacto potencial que puedan producirse por cambios en dichos acuerdos, incluido un resumen del an\u00e1lisis de riesgos relacionado con las tecnolog\u00edas y el posible impacto de un ciber incidente, as\u00ed como la respuesta, medidas correctivas y de recuperaci\u00f3n en caso de producirse.<\/p>\r\n\r\n\r\n\r\n
Las entidades financieras, distintas de las microempresas, establecer\u00e1n una funci\u00f3n para monitorear estos acuerdos con los proveedores de estos servicios tecnol\u00f3gicos, o designar\u00e1n a un miembro de la alta direcci\u00f3n como responsable de supervisar la exposici\u00f3n al riesgo y la documentaci\u00f3n pertinente.<\/p>\r\n\r\n\r\n\r\n
Los miembros del \u00f3rgano de direcci\u00f3n de la entidad tendr\u00e1n los conocimientos y habilidades suficientes para comprender y evaluar los riesgos de las tecnolog\u00edas y su impacto en las operaciones de la entidad financiera, los planes de seguridad, formular opiniones y pol\u00edticas, as\u00ed como discutir actividades y soluciones que protejan los activos de su organizaci\u00f3n.<\/p>\r\n\r\n\r\n\r\n
Tambi\u00e9n les requiere mantenerse activamente actualizados incluso siguiendo una formaci\u00f3n espec\u00edfica de forma regular, proporcional al riesgo tecnol\u00f3gico que se est\u00e1 gestionando y advierte de que la falta de una supervisi\u00f3n adecuada de los riesgos puede exponer a responsabilidades tanto a la empresa, como a empleados y directivos.<\/p>\r\n\r\n\r\n\r\n
Al otro lado del Atl\u00e1ntico, la situaci\u00f3n es muy similar. El 26 de Julio de 2023 la Comisi\u00f3n de Bolsa y Valores norteamericana adopt\u00f3 reglas que requieren que todas las empresas que cotizan en EE.UU., incluidas las extranjeras, declaren anualmente informaci\u00f3n importante sobre su estrategia y gesti\u00f3n de riesgos de ciberseguridad.<\/p>\r\n\r\n\r\n\r\n
Entre las nuevas obligaciones se encuentra el Art\u00edculo 106 del Reglamento S-K, que requiere que las empresas cotizadas describan sus procesos para evaluar, identificar y gestionar los riesgos materiales de las amenazas a la ciberseguridad, as\u00ed como los efectos materiales razonablemente probables derivados de dichos riesgos. Tambi\u00e9n deben describir la supervisi\u00f3n que hace la junta directiva de los riesgos de las amenazas de ciberseguridad y el papel y la experiencia de la administraci\u00f3n en la evaluaci\u00f3n y gesti\u00f3n de riesgos materiales de las amenazas de ciberseguridad. Estas declaraciones se requieren en el informe anual mediante el Formulario 10-K. Las empresas extranjeras est\u00e1n sujetas a obligaciones comparables, en el Formulario 20-F.<\/p>\r\n\r\n\r\n\r\n
Un granjero de Nebraska, que ha invertido parte de su pensi\u00f3n en cualquier empresa que cotiza en el Dow Jones o el Nasdaq tiene derecho a conocer, en t\u00e9rminos que \u00e9l pueda entender, cu\u00e1l es el apetito al riesgo tecnol\u00f3gico de la Junta Directiva. \u00bfQu\u00e9 porcentaje de la facturaci\u00f3n anual supondr\u00edan las p\u00e9rdidas ocasionadas por un ciber incidente?. \u00bfPodr\u00edan eventualmente llevar esas p\u00e9rdidas a la quiebra de la empresa?. Por eso Gary Gensler, presidente de la SEC, declar\u00f3 que, aunque muchas empresas ya ofrecen informaci\u00f3n sobre ciberseguridad a los inversores, ambos se beneficiar\u00edan si esta divulgaci\u00f3n se hiciera de una manera m\u00e1s coherente, comparable y \u00fatil para la toma de decisiones.<\/p>\r\n\r\n\r\n\r\n
M\u00e1s all\u00e1 de disponer un m\u00ednimo de controles de seguridad con el objetivo de cumplir un listado de requisitos legales, o de obtener un certificado, resulta necesario un enfoque estrat\u00e9gico basado en el riesgo y que est\u00e9 orientado a los resultados, es decir, en la gesti\u00f3n del rendimiento de las inversiones en seguridad. Necesitamos un marco que eval\u00fae la exposici\u00f3n al riesgo y traduzca esta exposici\u00f3n a lenguaje financiero para que el Responsable de Seguridad pueda entablar conversaciones significativas con la direcci\u00f3n ejecutiva, y con otras partes interesadas, sobre el impacto comercial de los incidentes y de las medidas de seguridad que los previenen.<\/p>\r\n\r\n\r\n\r\n