Miljømæssige, sociale og forvaltningsmæssige (ESG) overvejelser er næppe nye emner, når det kommer til compliance-rapportering for finansielle servicevirksomheder, men virkningen af cybersikkerhedsbrud på styringskomponenten vil snart få en meget højere profil for både finansielle og ikke-finansielle organisationer . Uanset om det drejer sig om privatlivsspørgsmål, de økonomiske tab af ransomware eller forretningskontinuitet fra et forvaltningsperspektiv, sætter cybertrusler ESG-diskussioner i spidsen for bestyrelsesmøder og C-suite-diskussioner over hele kloden.
De rapporteringsændringer, amerikanske virksomheder står over for, kan udvide sig betydeligt på grund af de seneste regelændringer fra Securities and Exchange Commission's formand Gary Gensler. Krav til cybersikkerhedsstyring svarende til dem for revision og finansiel rapportering, der findes i Sarbanes-Oxley Act of 2002 (SOX), ville være en nøglekomponent i de nye regler.
SOX-styringskrav fokuserer på at hjælpe med at beskytte investorer mod svigagtig finansiel rapportering fra virksomheder, mens cybersikkerhedsstyring er designet til at forbedre rapportering om nye og tidligere cyberbrud. Eksisterende politikker og procedurer for virksomhedsledelse, risiko og overholdelse (GRC) vil ikke være tilstrækkelige til at håndtere disse regler.
Alla Valente, senioranalytiker hos Forrester, karakteriserer de foreslåede SEC-reguleringsændringer som "Sarbanes-Oxley light." De foreslåede regler siger, at virksomheder skal indberette materiale cybersikkerhedshændelser inden for fire dage efter identifikation, bemærker hun. Problemet er, at "materiale" ikke er defineret og varierer fra branche til branche, så virksomheder lader sig gætte, hvornår uret begynder at rapportere hændelser. Det kan føre til både over- og underrapportering af cyberhændelser, siger hun.
Pressure Driver Cybersikkerhedsforanstaltninger
Overholdelse af de foreslåede regler kan også have en direkte indvirkning på en virksomheds evne til at opnå cyberforsikring, bemærker Valente. På trods af strømmen kaos på cyberforsikringsmarkedet som driver priserne op og dækningen ned, mens cyberforsikringsselskaber reducerer lagerbeholdningen, kan disse regelændringer potentielt øge presset på virksomhederne til at implementere cybersikkerhedskontroller, som de ellers ikke ville have indført på nuværende tidspunkt. Det ville også kræve langt mere information om tidligere brud, og hvordan de håndteres og afbødes.
"Ledelsens nye rolle inden for rapportering og cyberstyring, og bestyrelsernes nye ansvar for at kaste lys over deres ekspertise og tilsyn, vil drive ekstra granskning af virksomhedens sikkerhedsprogrammer," siger Jason Hicks, felt CISO hos cybersikkerhedskonsulentfirmaet Coalfire.
"Dette sætter CISO'en på det varme sæde," fortsætter han. "Det vil sandsynligvis også få bestyrelser til at forsøge at tilføje ledere med cybersikkerhedserfaring til deres team. I betragtning af det lille antal kvalificerede personer, der er til rådighed, kunne jeg også se bestyrelser ansætte deres egne konsulenter til at rådgive dem om cybersikkerhedsrisici og tilstrækkeligheden af virksomhedens sikkerhedsprogram.
"Alle disse områder skal medregnes i styringsdelen af din ESG-tilgang," tilføjer Hicks. "Ledelsen er allerede ansvarlig for styring af cybersikkerhedsrisici, så dette skaber ikke en helt ny klasse af ansvar, selvom det foretager flere ændringer i byrden og kompleksiteten."
Transnationale tager initiativ
Hicks bemærker, at den måde, organisationer ser på gennemsigtighed og de kulturelle normer for en virksomheds driftsmiljøer, kan spille ind i, hvordan de reagerer. "De multinationale selskaber er nødt til at balancere deres tilgang i betragtning af de forskellige tilgange globalt."
Valentine er enig. Europæere har en tendens til at være mere proaktive i at forsvare sig mod databrud end amerikanske virksomheder. Ændringen af reglerne kan tvinge indenlandske organisationer til at være mere proaktive, især når det kommer til tredjeparts risikostyring, en vigtig sikkerhedskontrol.
"Når dette er endeligt, vil vi se en indsats for at være proaktive. Nogle [organisationer] vil følge lovens bogstav og vil måske få succes på kort sigt, men marginalt, siger Valente. "Andre vil følge lovens ånd og bruge det som et middel til at forbedre, diversificere og gøre den proaktive [tredjeparts] risikostyring til en del af, hvem de er. Det vil være indgroet i deres virksomheds-DNA. Det er de organisationer, der virkelig kommer til at trives med dette."
Virksomheder kan komme i gang
Steven Yadegari, administrerende direktør for investeringskonsulentfirmaet FiSolve og tidligere generaladvokat hos advokatfirmaet Cramer Rosenthal McGlynn, siger, at bestyrelsesmedlemmer vil lede efter specifik rapportering om cybersikkerhed. Dette vil omfatte kvartalsrapporter med fokus på cybersikkerhed og møder med personer med ansvar for tilsyn med området, såsom CISO, der leder indsatsen.
"De nye regler ville kræve formelle risikovurderinger, specifikke kontroller, overvågningsforanstaltninger og et rapporteringssystem for hændelser. I det omfang nogle af disse områder ikke er behandlet i eksisterende programmer, vil bestyrelser gerne forstå, hvordan ledere har til hensigt at overholde disse potentielle krav. De samtaler bør være i gang og bør ikke vente på vedtagelse af nye regler,” siger Yadegari.
Mange virksomheder i dag administrerer deres leverandører mere omhyggeligt og overvåger deres politikker og procedurer, bemærker han. Dette gælder især for tredjepartstjenesteudbydere og leverandører, der kan have kontakt med en virksomheds følsomme oplysninger.
"Det påhviler virksomheder at sikre, at de har et robust cybersikkerhedsprogram og et tredjeparts risikostyringsprogram (TPRM), som igen vil give komfort til virksomheder, der er afhængige af deres tjenester," siger Yadegari.
Selvom det endelige sprog i de foreslåede SEC-regelændringer endnu ikke er offentliggjort, kan det foreslåede sprog findes link..
