Ehdotettujen SEC-sääntöjen ymmärtäminen ESG-objektiivin kautta

Ympäristö-, yhteiskunta- ja hallintonäkökohdat (ESG) eivät ole juuri uusia aiheita rahoituspalveluyritysten vaatimustenmukaisuusraportoinnissa, mutta kyberturvallisuusloukkausten vaikutus hallintokomponenttiin tulee pian paljon korkeammalle näkyvämmäksi sekä rahoitus- että ei-finanssiorganisaatioissa. . Riippumatta siitä, käsitelläänkö yksityisyysongelmia, kiristysohjelmien aiheuttamia taloudellisia menetyksiä tai liiketoiminnan jatkuvuutta hallinnon näkökulmasta, kyberuhat nostavat ESG-keskustelut etusijalle hallituksen kokouksissa ja C-sarjan keskusteluissa ympäri maailmaa.

Yhdysvaltain yritysten kohtaamat raportointimuutokset voivat laajentua merkittävästi viime aikoina sääntömuutokset arvopaperi- ja pörssikomitean puheenjohtaja Gary Gensler. Kyberturvallisuuden hallinnan raportointivaatimukset, jotka ovat samankaltaisia ​​kuin vuoden 2002 Sarbanes-Oxley Act of XNUMX:n (SOX) auditoinnin ja taloudellisen raportoinnin vaatimukset, olisivat keskeinen osa uusia säännöksiä.

SOX-hallintavaatimukset keskittyvät auttamaan sijoittajia suojelemaan yritysten vilpillisiltä talousraportoinnilta, kun taas kyberturvallisuuden hallinta on suunniteltu parantamaan uusien ja aiempien tietoturvaloukkausten raportointia. Nykyiset hallinto-, riski- ja noudattamiskäytännöt (GRC) eivät riitä näiden sääntöjen noudattamiseen.

Alla Valente, Forresterin vanhempi analyytikko, luonnehtii ehdotettuja SEC-säännösten muutoksia "Sarbanes-Oxley light". Ehdotetuissa säännöissä todetaan, että yritysten on raportoitava materiaali kyberturvallisuushäiriöitä neljän päivän sisällä tunnistamisesta, hän huomauttaa. Ongelmana on, että "materiaalia" ei ole määritelty ja se vaihtelee toimialoittain, joten yritykset jäävät arvailemaan, milloin kello alkaa raportoida tapauksista. Tämä voi johtaa sekä kybertapahtumien yli- että aliraportointiin, hän sanoo.

Paine ohjaa kyberturvallisuustoimenpiteitä

Ehdotettujen sääntöjen noudattaminen voi myös vaikuttaa suoraan yrityksen mahdollisuuksiin hankkia kybervakuutus, Valente huomauttaa. Virrasta huolimatta kaaos kybervakuutusmarkkinoilla Tämä nostaa hintoja ja laskee kattavuutta samalla, kun kybervakuutusyhtiöt vähentävät varastojaan, nämä sääntömuutokset voivat mahdollisesti lisätä yrityksiin kohdistuvaa painetta ottaa käyttöön kyberturvallisuuden valvontatoimia, joita ne eivät muuten olisi tällä hetkellä ottaneet käyttöön. Se vaatisi myös paljon enemmän tietoa aiemmista rikkomuksista ja siitä, miten niitä hallitaan ja lievennetään.

"Johdon uusi rooli raportoinnissa ja kyberhallinnassa sekä hallitusten uusi vastuu valaista asiantuntemustaan ​​ja valvontaansa lisäävät yritysten tietoturvaohjelmien valvontaa", sanoo Jason Hicks, Coalfiren kyberturvallisuuskonsulttiyrityksen CISO.

"Tämä asettaa CISO:n kuumalle penkille", hän jatkaa. "On myös todennäköistä, että lautakunnat yrittävät lisätä tiimiinsä kyberturvallisuuskokemusta omaavia johtajia. Koska saatavilla on vähän päteviä henkilöitä, saatoin nähdä myös johtokuntien palkkaavan omia konsulttejaan neuvomaan heitä kyberturvallisuusriskeissä ja yrityksen tietoturvaohjelman riittävyydessä.

"Kaikki nämä alueet on otettava huomioon ESG-lähestymistavan hallinto-osuudessa", Hicks lisää. "Johto on jo vastuussa kyberturvallisuusriskien hallinnasta, joten tämä ei luo täysin uutta vastuuluokkaa, vaikka se tekeekin useita muutoksia taakkaan ja monimutkaisuuteen."

Kansainväliset yritykset tekevät aloitteen

Hicks huomauttaa, että tapa, jolla organisaatiot näkevät läpinäkyvyyden ja yrityksen toimintaympäristön kulttuuriset normit, voivat vaikuttaa siihen, miten ne reagoivat. "Monikansallisten yritysten on tasapainotettava lähestymistapaansa, kun otetaan huomioon erilaiset lähestymistavat maailmanlaajuisesti."

Valente on samaa mieltä. Eurooppalaiset ovat yleensä ennakoivampia puolustautuessaan tietomurroilta kuin amerikkalaiset yritykset. Sääntömuutos saattaa pakottaa kotimaiset organisaatiot olemaan ennakoivampia, varsinkin kun on kyse kolmannen osapuolen riskienhallinnasta, keskeisestä turvallisuuden valvonnasta.

"Kun tämä tulee lopulliseksi, näemme pyrkimyksen toimia ennakoivasti. Jotkut [organisaatiot] noudattavat lain kirjainta ja saattavat menestyä lyhyellä aikavälillä, mutta marginaalisesti”, Valente sanoo. "Toiset noudattavat lain henkeä ja käyttävät sitä keinona parantaa, monipuolistaa ja tehdä ennakoivasta [kolmannen osapuolen] riskienhallinnasta osa sitä, kuka he ovat. Se juurtuu heidän yrityksen DNA:han. Nämä ovat organisaatiot, jotka todella menestyvät tästä."

Yritykset voivat aloittaa

Steven Yadegari, sijoituskonsulttiyritys FiSolven toimitusjohtaja ja Cramer Rosenthal McGlynnin lakiasiainjohtaja, sanoo hallituksen jäsenten etsivän erityistä kyberturvallisuusraportointia. Tämä sisältää neljännesvuosittaiset kyberturvallisuuteen keskittyvät raportit ja tapaamiset alueen valvonnasta vastaavien henkilöiden, kuten CISO:n, kanssa.

”Uudet säännöt edellyttäisivät muodollisia riskinarviointeja, erityisiä valvontatoimia, seurantatoimenpiteitä ja vaaratilanteiden raportointijärjestelmää. Siltä osin kuin joitain näistä alueista ei käsitellä olemassa olevissa ohjelmissa, lautakunnat haluavat ymmärtää, kuinka johtajat aikovat noudattaa näitä mahdollisia vaatimuksia. Näiden keskustelujen pitäisi olla käynnissä, eikä niiden pitäisi odottaa uusien sääntöjen hyväksymistä”, Yadegari sanoo.

Monet yritykset hallitsevat nykyään huolellisemmin myyjiään ja valvovat toimintatapojaan ja menettelyjään, hän huomauttaa. Tämä pätee erityisesti kolmannen osapuolen palveluntarjoajiin ja toimittajiin, jotka saattavat olla yhteydessä yrityksen arkaluonteisiin tietoihin.

"Yritysten on varmistettava, että niillä on vankka kyberturvallisuusohjelma ja kolmannen osapuolen riskienhallintaohjelma (TPRM), mikä puolestaan ​​tarjoaa mukavuutta yrityksille, jotka luottavat heidän palveluihinsa", Yadegari sanoo.

Vaikka ehdotettujen SEC-sääntömuutosten lopullista kieltä ei ole vielä julkistettu, ehdotettu kieli löytyy tätä.