Pertimbangan lingkungan, sosial, dan tata kelola (ESG) bukanlah topik baru dalam hal pelaporan kepatuhan untuk perusahaan jasa keuangan, tetapi dampak pelanggaran keamanan siber pada komponen tata kelola akan segera mendapatkan profil yang jauh lebih tinggi untuk organisasi keuangan dan non-keuangan. . Baik menangani masalah privasi, kerugian finansial dari ransomware, atau kelangsungan bisnis dari perspektif tata kelola, ancaman dunia maya menempatkan diskusi ESG di garis depan rapat dewan dan diskusi C-suite di seluruh dunia.
Perubahan pelaporan yang dihadapi perusahaan AS dapat berkembang secara signifikan karena baru-baru ini modifikasi aturan dari Ketua Komisi Sekuritas dan Bursa Gary Gensler. Persyaratan pelaporan tata kelola keamanan siber yang serupa dengan audit dan pelaporan keuangan yang ditemukan dalam Sarbanes-Oxley Act of 2002 (SOX) akan menjadi komponen kunci dari peraturan baru.
Persyaratan tata kelola SOX berfokus untuk membantu melindungi investor dari pelaporan keuangan penipuan oleh perusahaan, sementara tata kelola keamanan siber dirancang untuk meningkatkan pelaporan tentang pelanggaran dunia maya baru dan masa lalu. Kebijakan dan prosedur tata kelola perusahaan, risiko, dan kepatuhan (GRC) yang ada tidak akan cukup untuk mengatasi aturan ini.
Alla Valente, seorang analis senior di Forrester, mencirikan modifikasi peraturan SEC yang diusulkan sebagai "cahaya Sarbanes-Oxley." Aturan yang diusulkan menyatakan bahwa perusahaan perlu melaporkan bahan insiden keamanan siber dalam empat hari setelah identifikasi, katanya. Masalahnya adalah bahwa "materi" tidak didefinisikan dan bervariasi menurut industri, sehingga perusahaan dibiarkan menebak-nebak kapan jam mulai melaporkan insiden. Ini dapat menyebabkan pelaporan insiden siber yang berlebihan dan kurang pelaporan, katanya.
Tekanan Mendorong Tindakan Keamanan Siber
Mematuhi aturan yang diusulkan juga dapat berdampak langsung pada kemampuan perusahaan untuk mendapatkan asuransi cyber, catat Valente. Meskipun saat ini kekacauan di pasar asuransi cyber yang mendorong harga naik dan cakupan turun sementara asuransi siber mengurangi inventaris, perubahan aturan ini berpotensi dapat lebih meningkatkan tekanan pada perusahaan untuk menerapkan kontrol keamanan siber yang mungkin belum mereka terapkan saat ini. Ini juga akan membutuhkan lebih banyak informasi tentang pelanggaran masa lalu dan bagaimana mereka dikelola dan dikurangi.
โPeran baru manajemen dalam pelaporan dan tata kelola dunia maya, dan tanggung jawab baru dewan untuk menjelaskan keahlian dan pengawasan mereka, akan mendorong pengawasan ekstra pada program keamanan perusahaan,โ kata Jason Hicks, CISO lapangan di perusahaan konsultan keamanan siber Coalfire.
โIni menempatkan CISO di kursi panas,โ lanjutnya. โIni juga kemungkinan akan mendorong dewan untuk mencoba dan menambahkan eksekutif dengan pengalaman keamanan siber ke tim mereka. Mengingat sedikitnya jumlah orang yang memenuhi syarat yang tersedia, saya juga dapat melihat dewan mempekerjakan konsultan mereka sendiri untuk memberi nasihat tentang risiko keamanan siber dan kecukupan program keamanan perusahaan.
โSemua bidang ini perlu diperhitungkan dalam porsi tata kelola pendekatan LST Anda,โ tambah Hicks. โManajemen sudah bertanggung jawab untuk mengelola risiko keamanan siber, jadi ini tidak menciptakan kelas tanggung jawab yang sama sekali baru, meskipun membuat beberapa perubahan pada beban dan kompleksitas.โ
Transnasional Mengambil Inisiatif
Hicks mencatat bahwa cara organisasi memandang transparansi dan norma budaya lingkungan operasi perusahaan dapat berperan dalam cara mereka merespons. โPerusahaan multinasional perlu menyeimbangkan pendekatan mereka mengingat pendekatan yang berbeda secara global.โ
Valent setuju. Orang Eropa cenderung lebih proaktif dalam mempertahankan diri dari pelanggaran data daripada perusahaan Amerika. Perubahan aturan dapat memaksa organisasi domestik untuk lebih proaktif, terutama dalam hal manajemen risiko pihak ketiga, kontrol keamanan utama.
โSetelah ini final, kami akan melihat upaya proaktif. Beberapa [organisasi] akan mengikuti aturan hukum, dan mungkin berhasil dalam jangka pendek, tetapi sedikit,โ kata Valente. โOrang lain akan mengikuti semangat hukum dan menggunakannya sebagai sarana untuk meningkatkan, mendiversifikasi, dan menjadikan manajemen risiko [pihak ketiga] proaktif itu bagian dari siapa mereka. Itu akan tertanam dalam DNA perusahaan mereka. Mereka adalah organisasi yang benar-benar akan berkembang dari ini.โ
Perusahaan Dapat Memulai
Steven Yadegari, CEO perusahaan konsultan investasi FiSolve dan mantan penasihat umum di firma hukum Cramer Rosenthal McGlynn, mengatakan anggota dewan akan mencari pelaporan khusus tentang keamanan siber. Ini akan mencakup laporan triwulanan yang berfokus pada keamanan siber dan pertemuan dengan individu yang bertanggung jawab atas pengawasan area tersebut, seperti CISO, yang memimpin upaya tersebut.
โAturan baru akan membutuhkan penilaian risiko formal, kontrol khusus, tindakan pemantauan, dan sistem pelaporan insiden. Sejauh beberapa area ini tidak dibahas dalam program yang ada, dewan akan ingin memahami bagaimana manajer berniat untuk mematuhi persyaratan potensial ini. Pembicaraan itu harus berlangsung dan tidak harus menunggu adopsi aturan baru, โkata Yadegari.
Banyak perusahaan saat ini lebih hati-hati mengelola vendor mereka dan mengawasi kebijakan dan prosedur mereka, katanya. Hal ini terutama berlaku untuk penyedia dan pemasok layanan pihak ketiga yang mungkin memiliki kontak dengan informasi sensitif perusahaan.
โPerusahaan perlu memastikan bahwa mereka memiliki program keamanan siber yang kuat dan program manajemen risiko pihak ketiga (TPRM), yang pada gilirannya akan memberikan kenyamanan bagi perusahaan yang mengandalkan layanan mereka,โ kata Yadegari.
Sementara bahasa final dari perubahan aturan SEC yang diusulkan belum diumumkan, bahasa yang diusulkan dapat ditemukan di sini.
