Keskkonna-, sotsiaal- ja juhtimiskaalutlused on finantsteenuste ettevõtete nõuetele vastavuse aruandluse puhul vaevalt uued teemad, kuid küberjulgeoleku rikkumiste mõju juhtimiskomponendile muutub peagi palju suuremaks nii finants- kui ka mittefinantsorganisatsioonide jaoks. . Olenemata sellest, kas käsitletakse privaatsusprobleeme, lunavara rahalisi kaotusi või äritegevuse järjepidevust valitsemise vaatenurgast, seavad küberohud ESG-teemalised arutelud juhatuse koosolekute ja C-suite arutelude esikohale kogu maailmas.
Aruandluse muutused, millega USA ettevõtted silmitsi seisavad, võivad viimaste aastate tõttu märkimisväärselt laieneda reeglite muudatused väärtpaberi- ja börsikomisjoni esimehelt Gary Genslerilt. Küberjulgeoleku juhtimise aruandlusnõuded, mis on sarnased Sarbanes-Oxley 2002. aasta seaduses (SOX) sätestatud auditi ja finantsaruandluse nõuetega, oleksid uute eeskirjade põhikomponent.
SOX-i juhtimisnõuded keskenduvad investorite kaitsmisele ettevõtete petturliku finantsaruandluse eest, samas kui küberjulgeoleku juhtimine on mõeldud uute ja varasemate küberrikkumiste aruandluse parandamiseks. Olemasolevad ettevõtte juhtimise, riskide ja vastavuse (GRC) poliitikad ja protseduurid ei ole nende reeglite täitmiseks piisavad.
Forresteri vanemanalüütik Alla Valente iseloomustab kavandatud SEC-määruse muudatusi kui "Sarbanes-Oxley valgust". Kavandatavates reeglites on sätestatud, et ettevõtted peavad aru andma materjal Ta märgib, et küberjulgeoleku intsidendid juhtusid nelja päeva jooksul pärast tuvastamist. Probleem on selles, et "materjal" ei ole määratletud ja see on tööstusharuti erinev, nii et ettevõtted jäävad arvama, millal kell hakkab juhtumitest teatama. Ta ütleb, et see võib kaasa tuua nii üle- kui ka alateavitamise küberintsidentidest.
Surve juhib küberturvalisuse meetmeid
Kavandatavate reeglite järgimine võib otseselt mõjutada ka ettevõtte võimet hankida küberkindlustust, märgib Valente. Hoolimata voolust kaos küberkindlustusturul mis tõstab hindu ja vähendab katvust, samal ajal kui küberkindlustusandjad vähendavad varusid, võivad need reeglimuudatused veelgi suurendada survet ettevõtetele rakendada küberjulgeoleku kontrolle, mida nad muidu poleks praegu kasutusele võtnud. See nõuaks ka palju rohkem teavet varasemate rikkumiste ning nende haldamise ja leevendamise kohta.
„Juhatuse uus roll aruandluses ja küberhalduses ning juhatuste uus kohustus oma teadmisi ja järelevalvet valgustada toovad kaasa ettevõtte turvaprogrammide täiendava kontrolli,” ütleb küberturvalisuse konsultatsioonifirma Coalfire valdkonna CISO esindaja Jason Hicks.
"See paneb CISO kuumale kohale," jätkab ta. "Tõenäoliselt juhitakse ka tahvleid, et proovida lisada oma meeskonda küberturvalisuse kogemusega juhte. Arvestades saadaolevate kvalifitseeritud inimeste vähest arvu, võisin näha ka juhatusi palkamas oma konsultante, kes nõustaksid neid küberturvariskide ja ettevõtte turvaprogrammi adekvaatsuse osas.
"Kõik need valdkonnad tuleb teie ESG-lähenemise juhtimisosas arvesse võtta, " lisab Hicks. "Juhtkond vastutab juba küberjulgeolekuriskide juhtimise eest, nii et see ei loo täiesti uut vastutusklassi, kuigi teeb mitmeid muudatusi koormuse ja keerukuse osas."
Rahvusvahelised ettevõtted võtavad initsiatiivi
Hicks märgib, et see, kuidas organisatsioonid näevad läbipaistvust ja ettevõtte tegevuskeskkonna kultuurinorme, võivad mõjutada nende reageerimist. "Rahvusvahelised ettevõtted peavad oma lähenemisviisi tasakaalustama, võttes arvesse erinevaid lähenemisviise kogu maailmas."
Valente nõustub. Eurooplased kipuvad olema andmerikkumiste eest kaitsmisel proaktiivsemad kui Ameerika ettevõtted. Reeglite muudatus võib sundida kodumaiseid organisatsioone olema proaktiivsemad, eriti kui tegemist on kolmanda osapoole riskijuhtimisega, mis on peamine turvakontroll.
"Kui see saab lõplikuks, näeme püüdlusi olla proaktiivsed. Mõned [organisatsioonid] järgivad seaduse tähte ja võivad olla lühikeses perspektiivis edukad, kuid vähesel määral, ”ütleb Valente. „Teised järgivad seaduse vaimu ja kasutavad seda vahendina, et parandada, mitmekesistada ja muuta see ennetav [kolmanda osapoole] riskijuhtimine osaks sellest, kes nad on. See kinnistub nende ettevõtte DNA-sse. Need on organisatsioonid, mis sellest tõesti arenevad.
Ettevõtted saavad alustada
Investeerimiskonsultatsioonifirma FiSolve tegevjuht ja endine advokaadibüroo Cramer Rosenthal McGlynn peajurist Steven Yadegari ütleb, et juhatuse liikmed otsivad küberturvalisuse kohta konkreetset aruandlust. See hõlmab kvartaalseid aruandeid, mis keskenduvad küberturvalisusele, ja kohtumisi valdkonna järelevalve eest vastutavate isikutega, näiteks CISOga, kes juhib jõupingutusi.
„Uued reeglid eeldaksid ametlikku riskianalüüsi, spetsiifilisi kontrolle, seiremeetmeid ja intsidentidest teatamise süsteemi. Kuivõrd mõnda neist valdkondadest olemasolevates programmides ei käsitleta, soovivad juhatused mõista, kuidas juhid kavatsevad neid võimalikke nõudeid täita. Need vestlused peaksid olema käimas ja ei tohiks oodata uute reeglite vastuvõtmist, ”ütleb Yadegari.
Ta märgib, et paljud ettevõtted juhivad tänapäeval oma müüjaid hoolikamalt ja jälgivad nende poliitikat ja protseduure. See kehtib eriti kolmandatest osapooltest teenusepakkujate ja tarnijate kohta, kes võivad kokku puutuda ettevõtte tundliku teabega.
"Ettevõtted peavad tagama, et neil on tugev küberturvalisuse programm ja kolmanda osapoole riskijuhtimise (TPRM) programm, mis omakorda pakub mugavust ettevõtetele, kes nende teenustele tuginevad," ütleb Yadegari.
Kuigi kavandatavate SEC-reeglite muudatuste lõplik keel ei ole veel avalikustatud, on pakutud keel leitav siin.
