Τα περιβαλλοντικά, κοινωνικά και θέματα διακυβέρνησης (ESG) δεν είναι καθόλου νέα θέματα όσον αφορά την αναφορά συμμόρφωσης για εταιρείες χρηματοοικονομικών υπηρεσιών, αλλά ο αντίκτυπος των παραβιάσεων της κυβερνοασφάλειας στο στοιχείο διακυβέρνησης σύντομα θα αποκτήσει πολύ υψηλότερο προφίλ τόσο για χρηματοπιστωτικούς όσο και για μη χρηματοπιστωτικούς οργανισμούς . Είτε αντιμετωπίζονται ζητήματα απορρήτου, οι οικονομικές απώλειες του ransomware είτε η επιχειρηματική συνέχεια από την άποψη της διακυβέρνησης, οι απειλές στον κυβερνοχώρο θέτουν τις συζητήσεις ESG στην πρώτη γραμμή των συνεδριάσεων του διοικητικού συμβουλίου και των συζητήσεων C-suite σε όλο τον κόσμο.
Οι αλλαγές στις αναφορές που αντιμετωπίζουν οι αμερικανικές εταιρείες ενδέχεται να επεκταθούν σημαντικά λόγω των πρόσφατων τροποποιήσεις κανόνων από τον Πρόεδρο της Επιτροπής Κεφαλαιαγοράς Gary Gensler. Οι απαιτήσεις υποβολής εκθέσεων διακυβέρνησης κυβερνοασφάλειας παρόμοιες με εκείνες για τον έλεγχο και τις οικονομικές αναφορές που αναφέρονται στον νόμο Sarbanes-Oxley του 2002 (SOX) θα αποτελούν βασικό στοιχείο των νέων κανονισμών.
Οι απαιτήσεις διακυβέρνησης SOX επικεντρώνονται στην προστασία των επενδυτών από δόλιες οικονομικές αναφορές από εταιρείες, ενώ η διακυβέρνηση της κυβερνοασφάλειας έχει σχεδιαστεί για να βελτιώσει τις αναφορές για νέες και προηγούμενες παραβιάσεις στον κυβερνοχώρο. Οι υπάρχουσες πολιτικές και διαδικασίες εταιρικής διακυβέρνησης, κινδύνου και συμμόρφωσης (GRC) δεν θα επαρκούν για την αντιμετώπιση αυτών των κανόνων.
Η Alla Valente, ανώτερος αναλυτής στη Forrester, χαρακτηρίζει τις προτεινόμενες τροποποιήσεις του κανονισμού SEC ως "Sarbanes-Oxley light". Οι προτεινόμενοι κανόνες ορίζουν ότι οι εταιρείες πρέπει να υποβάλλουν εκθέσεις υλικό περιστατικά κυβερνοασφάλειας εντός τεσσάρων ημερών από την ταυτοποίηση, σημειώνει. Το πρόβλημα είναι ότι το «υλικό» δεν ορίζεται και ποικίλλει ανά κλάδο, επομένως οι εταιρείες αφήνονται να μαντεύουν πότε το ρολόι αρχίζει να αναφέρει περιστατικά. Αυτό θα μπορούσε να οδηγήσει τόσο σε υπερβολική όσο και σε υπο-αναφορά περιστατικών στον κυβερνοχώρο, λέει.
Η πίεση οδηγεί τα μέτρα κυβερνοασφάλειας
Η συμμόρφωση με τους προτεινόμενους κανόνες θα μπορούσε επίσης να έχει άμεσο αντίκτυπο στην ικανότητα μιας επιχείρησης να αποκτήσει ασφάλεια στον κυβερνοχώρο, σημειώνει ο Valente. Παρά το ρεύμα χάος στην αγορά ασφάλισης στον κυβερνοχώρο Αυτό αυξάνει τις τιμές και μειώνει την κάλυψη, ενώ οι ασφαλιστικές εταιρείες στον κυβερνοχώρο μειώνουν τα αποθέματα, αυτές οι αλλαγές κανόνων ενδέχεται να αυξήσουν περαιτέρω την πίεση στις εταιρείες να εφαρμόσουν ελέγχους κυβερνοασφάλειας που διαφορετικά δεν θα είχαν θεσπίσει αυτήν τη στιγμή. Θα απαιτούσε επίσης πολύ περισσότερες πληροφορίες σχετικά με προηγούμενες παραβιάσεις και τον τρόπο διαχείρισης και μετριασμού τους.
«Ο νέος ρόλος της διοίκησης στις αναφορές και τη διακυβέρνηση στον κυβερνοχώρο, και η νέα ευθύνη των διοικητικών συμβουλίων να ρίξουν φως στην τεχνογνωσία και την επίβλεψή τους, θα οδηγήσουν σε επιπλέον έλεγχο των προγραμμάτων ασφάλειας των επιχειρήσεων», λέει ο Jason Hicks, CISO στην εταιρεία συμβούλων κυβερνοασφάλειας Coalfire.
«Αυτό θέτει το CISO στο καυτό κάθισμα», συνεχίζει. «Είναι επίσης πιθανό να οδηγήσει τα διοικητικά συμβούλια να προσπαθήσουν να προσθέσουν στελέχη με εμπειρία στον κυβερνοχώρο στην ομάδα τους. Δεδομένου του μικρού αριθμού διαθέσιμων ειδικευμένων ατόμων, θα μπορούσα επίσης να δω συμβούλια να προσλαμβάνουν δικούς τους συμβούλους για να τους συμβουλεύουν σχετικά με τον κίνδυνο κυβερνοασφάλειας και την επάρκεια του προγράμματος ασφάλειας της εταιρείας.
«Όλοι αυτοί οι τομείς θα πρέπει να ληφθούν υπόψη στο τμήμα διακυβέρνησης της ESG προσέγγισής σας», προσθέτει ο Hicks. «Η Διοίκηση είναι ήδη υπεύθυνη για τη διαχείριση του κινδύνου κυβερνοασφάλειας, επομένως αυτό δεν δημιουργεί μια εντελώς νέα κατηγορία ευθύνης, αν και κάνει αρκετές αλλαγές στο βάρος και την πολυπλοκότητα».
Οι Transnationals Take Initiative
Ο Hicks σημειώνει ότι ο τρόπος με τον οποίο οι οργανισμοί βλέπουν τη διαφάνεια και τα πολιτισμικά πρότυπα των λειτουργικών περιβαλλόντων μιας εταιρείας μπορούν να παίξουν τον τρόπο με τον οποίο ανταποκρίνονται. «Οι πολυεθνικές πρέπει να ισορροπήσουν την προσέγγισή τους δεδομένων των διαφορετικών προσεγγίσεων παγκοσμίως».
Ο Valente συμφωνεί. Οι Ευρωπαίοι τείνουν να είναι πιο προορατικοί στην άμυνα έναντι παραβιάσεων δεδομένων από τις αμερικανικές εταιρείες. Η αλλαγή των κανόνων θα μπορούσε να αναγκάσει τους εγχώριους οργανισμούς να είναι πιο προορατικοί, ιδιαίτερα όταν πρόκειται για τη διαχείριση κινδύνου τρίτων, έναν βασικό έλεγχο ασφάλειας.
«Μόλις αυτό γίνει οριστικό, θα δούμε μια προσπάθεια να είμαστε προορατικοί. Ορισμένοι [οργανισμοί] θα ακολουθήσουν το γράμμα του νόμου και μπορεί να είναι επιτυχείς βραχυπρόθεσμα, αλλά οριακά», λέει ο Valente. «Άλλοι θα ακολουθήσουν το πνεύμα του νόμου και θα το χρησιμοποιήσουν ως μέσο για να βελτιώσουν, να διαφοροποιήσουν και να κάνουν αυτή την προληπτική διαχείριση κινδύνου [τρίτων] μέρος αυτού που είναι. Θα είναι ριζωμένο στο εταιρικό τους DNA. Αυτοί είναι οι οργανισμοί που πραγματικά θα ευδοκιμήσουν από αυτό».
Οι εταιρείες μπορούν να ξεκινήσουν
Ο Steven Yadegari, Διευθύνων Σύμβουλος της εταιρείας συμβούλων επενδύσεων FiSolve και πρώην γενικός σύμβουλος της δικηγορικής εταιρείας Cramer Rosenthal McGlynn, λέει ότι τα μέλη του διοικητικού συμβουλίου θα αναζητήσουν συγκεκριμένες αναφορές για την ασφάλεια στον κυβερνοχώρο. Αυτό θα περιλαμβάνει τριμηνιαίες εκθέσεις που επικεντρώνονται στην κυβερνοασφάλεια και συναντήσεις με άτομα που είναι επιφορτισμένα με την επίβλεψη της περιοχής, όπως το CISO, που ηγείται της προσπάθειας.
«Οι νέοι κανόνες θα απαιτούσαν επίσημες εκτιμήσεις κινδύνου, ειδικούς ελέγχους, μέτρα παρακολούθησης και ένα σύστημα αναφοράς συμβάντων. Στο βαθμό που ορισμένοι από αυτούς τους τομείς δεν αντιμετωπίζονται στα υπάρχοντα προγράμματα, τα διοικητικά συμβούλια θα θέλουν να κατανοήσουν πώς οι διευθυντές σκοπεύουν να συμμορφωθούν με αυτές τις πιθανές απαιτήσεις. Αυτές οι συνομιλίες θα πρέπει να βρίσκονται σε εξέλιξη και δεν πρέπει να περιμένουν την υιοθέτηση νέων κανόνων», λέει ο Yadegari.
Πολλές εταιρείες σήμερα διαχειρίζονται πιο προσεκτικά τους προμηθευτές τους και επιβλέπουν τις πολιτικές και τις διαδικασίες τους, σημειώνει. Αυτό ισχύει ιδιαίτερα για τρίτους παρόχους υπηρεσιών και προμηθευτές που ενδέχεται να έχουν επαφή με ευαίσθητες πληροφορίες μιας επιχείρησης.
«Οφείλονται στις εταιρείες να διασφαλίσουν ότι διαθέτουν ένα ισχυρό πρόγραμμα κυβερνοασφάλειας και ένα πρόγραμμα διαχείρισης κινδύνου τρίτων (TPRM), το οποίο με τη σειρά του θα παρέχει άνεση σε εταιρείες που βασίζονται στις υπηρεσίες τους», λέει ο Yadegari.
Ενώ η τελική γλώσσα των προτεινόμενων αλλαγών στον κανόνα SEC δεν έχει ακόμη δημοσιοποιηθεί, η προτεινόμενη γλώσσα μπορεί να βρεθεί εδώ.
- blockchain
- πορτοφόλια κρυπτογράφησης
- κρυπτο -ανταλλαγή
- κυβερνασφάλεια
- εγκληματίες του κυβερνοχώρου
- Κυβερνασφάλεια
- Σκοτεινή ανάγνωση
- Υπουργείο Εσωτερικής Ασφάλειας
- ψηφιακά πορτοφόλια
- firewall
- Kaspersky
- malware
- Mcafee
- Nexbloc
- Πλάτων
- πλάτων αι
- Πληροφορία δεδομένων Plato
- Παιχνίδι Πλάτωνας
- Πλάτωνα δεδομένα
- platogaming
- VPN
- ιστοσελίδα της ασφάλειας
