A környezetvédelmi, társadalmi és kormányzási (ESG) megfontolások aligha számítanak új témának a pénzügyi szolgáltató cégek megfelelőségi jelentésében, de a kiberbiztonsági incidensek hatása az irányítási komponensre hamarosan sokkal nagyobb horderejű lesz a pénzügyi és nem pénzügyi szervezetek számára egyaránt. . Akár az adatvédelmi problémákról, akár a zsarolóprogramok pénzügyi veszteségeiről, akár az üzletmenet folytonosságáról van szó az irányítás szempontjából, a kiberfenyegetések világszerte az ESG-megbeszéléseket helyezik a vezetőségi ülések és a C-suite megbeszélések előterébe.
A jelentéstételi változások, amelyekkel az amerikai vállalatok szembesülnek, a közelmúltban bekövetkezett változások miatt jelentősen bővülhetnek szabálymódosítások az Értékpapír- és Tőzsdefelügyelet elnökétől, Gary Genslertől. A 2002-es Sarbanes-Oxley törvényben (SOX) szereplő auditálási és pénzügyi jelentési követelményekhez hasonló kiberbiztonsági irányítási jelentéstételi követelmények az új szabályozás kulcsfontosságú elemei lennének.
A SOX irányítási követelményei a befektetők védelmére összpontosítanak a vállalatok csalárd pénzügyi jelentéseivel szemben, míg a kiberbiztonsági irányítás célja az új és korábbi kibersértések jelentésének javítása. A meglévő vállalatirányítási, kockázati és megfelelőségi (GRC) irányelvek és eljárások nem lesznek elegendőek e szabályok kezelésére.
Alla Valente, a Forrester vezető elemzője a SEC-szabályozás javasolt módosításait „Sarbanes-Oxley light”-ként jellemzi. A javasolt szabályok szerint a cégeknek jelentést kell tenniük anyag kiberbiztonsági incidensek az azonosítástól számított négy napon belül – jegyzi meg. A probléma az, hogy az „anyag” nincs meghatározva, és ágazatonként változik, így a vállalatoknak csak találgatniuk kell, mikor kezdi el az incidensek jelentését. Ez a kiberincidensek túl- és aluljelentéséhez is vezethet, mondja.
A nyomás ösztönzi a kiberbiztonsági intézkedéseket
Valente megjegyzi, hogy a javasolt szabályok betartása közvetlen hatással lehet a vállalkozás azon képességére is, hogy kiberbiztosítást szerezzen. A jelenlegi ellenére káosz a kiberbiztosítási piacon ami növeli az árakat és csökkenti a fedezetet, miközben a kiberbiztosítók csökkentik a készleteket, ezek a szabálymódosítások potenciálisan tovább növelhetik a vállalatokra nehezedő nyomást olyan kiberbiztonsági ellenőrzések végrehajtására, amelyeket egyébként jelenleg nem vezettek volna be. Ezenkívül sokkal több információra lenne szükség a múltbeli jogsértésekről, valamint azok kezeléséről és enyhítéséről.
„A menedzsmentnek a jelentéskészítésben és a kiberirányításban betöltött új szerepe, valamint a testületek új felelőssége, hogy megvilágítsák szakértelmüket és felügyeletüket, fokozottan ellenőrizni fogják a vállalati biztonsági programokat” – mondja Jason Hicks, a Coalfire kiberbiztonsági tanácsadó cég CISO-ja.
„Ez a CISO-t a forró ülésre helyezi” – folytatja. „Valószínűleg arra is ösztönöz majd, hogy megpróbáljanak kiberbiztonsági tapasztalattal rendelkező vezetőket felvenni a csapatba. Tekintettel a rendelkezésre álló képzett emberek kis számára, azt is láttam, hogy a testületek saját tanácsadókat alkalmaznak, hogy tanácsot adjanak nekik a kiberbiztonsági kockázatokkal és a vállalat biztonsági programjának megfelelőségével kapcsolatban.
„Ezeket a területeket mind figyelembe kell venni az ESG-megközelítés irányítási részében” – teszi hozzá Hicks. „A menedzsment már most is felelős a kiberbiztonsági kockázatok kezeléséért, így ez nem jelent egy teljesen új felelősségi osztályt, bár számos változtatást eszközöl a terheken és a bonyolultságon.”
A transznacionális cégek kezdeményeznek
Hicks megjegyzi, hogy az, ahogyan a szervezetek látják az átláthatóságot, és a vállalat működési környezetének kulturális normái befolyásolhatják a reakciókat. „A multinacionális vállalatoknak egyensúlyba kell hozniuk megközelítésüket, tekintettel a globálisan eltérő megközelítésekre.”
Valente egyetért. Az európaiak általában proaktívabbak az adatszivárgás elleni védekezésben, mint az amerikai vállalatok. A szabályok változása proaktívabbra kényszerítheti a hazai szervezeteket, különösen, ha harmadik fél kockázatkezeléséről van szó, ami egy kulcsfontosságú biztonsági ellenőrzés.
„Miután ez véglegessé válik, erőfeszítéseket fogunk látni a proaktívvá válásra. Néhány [szervezet] követni fogja a törvény betűjét, és rövid távon sikeres lehet, de csak kismértékben” – mondja Valente. „Mások követni fogják a törvény szellemét, és ezt eszközként használják fel, hogy javítsák, diverzifikálják, és a proaktív [harmadik fél] kockázatkezelést ők maguk részévé tegyék. Ez beépül a vállalati DNS-ükbe. Ezek azok a szervezetek, amelyek igazán boldogulni fognak ettől.”
A cégek elkezdhetik
Steven Yadegari, a FiSolve befektetési tanácsadó cég vezérigazgatója és a Cramer Rosenthal McGlynn ügyvédi iroda korábbi főtanácsosa szerint az igazgatótanács tagjai konkrét jelentéseket fognak keresni a kiberbiztonsággal kapcsolatban. Ez magában foglalja a negyedéves jelentéseket, amelyek a kiberbiztonságra összpontosítanak, valamint a terület felügyeletével megbízott személyekkel, például a CISO-val folytatott találkozókat, amelyek az erőfeszítéseket vezetik.
„Az új szabályok hivatalos kockázatértékelést, speciális ellenőrzéseket, monitoring intézkedéseket és az események jelentési rendszerét írnák elő. Amennyiben e területek némelyikével a meglévő programok nem foglalkoznak, a testületek meg akarják érteni, hogy a vezetők hogyan kívánnak megfelelni ezeknek a lehetséges követelményeknek. Ezeket a beszélgetéseket folyamatban kell tartani, és nem szabad megvárni az új szabályok elfogadását” – mondja Yadegari.
Sok vállalat manapság alaposabban irányítja beszállítóit, és felügyeli politikáit és eljárásait, jegyzi meg. Ez különösen igaz azokra a külső szolgáltatókra és beszállítókra, amelyek kapcsolatba léphetnek a vállalat érzékeny információival.
„A vállalatoknak gondoskodniuk kell egy robusztus kiberbiztonsági programmal és harmadik féltől származó kockázatkezelési (TPRM) programmal, amely viszont kényelmet nyújt a szolgáltatásaikra támaszkodó cégeknek” – mondja Yadegari.
Bár a javasolt SEC-szabálymódosítások végső nyelve még nem került nyilvánosságra, a javasolt nyelv megtalálható itt.
