Le considerazioni ambientali, sociali e di governance (ESG) non sono certo argomenti nuovi quando si tratta di reporting di conformità per le società di servizi finanziari, ma l’impatto delle violazioni della sicurezza informatica sulla componente di governance acquisirà presto un profilo molto più elevato per le organizzazioni finanziarie e non finanziarie. . Che si tratti di questioni relative alla privacy, alle perdite finanziarie del ransomware o alla continuità aziendale dal punto di vista della governance, le minacce informatiche stanno ponendo le discussioni ESG in prima linea nelle riunioni dei consigli di amministrazione e nelle discussioni dei vertici aziendali in tutto il mondo.
I cambiamenti nei rapporti che le aziende statunitensi devono affrontare potrebbero espandersi in modo significativo a causa dei recenti cambiamenti modifiche alle regole dal presidente della Securities and Exchange Commission Gary Gensler. Requisiti di reporting sulla governance della sicurezza informatica simili a quelli per la revisione contabile e il reporting finanziario contenuti nel Sarbanes-Oxley Act del 2002 (SOX) costituirebbero una componente chiave delle nuove normative.
I requisiti di governance di SOX si concentrano sulla protezione degli investitori dalla rendicontazione finanziaria fraudolenta da parte delle aziende, mentre la governance della sicurezza informatica è progettata per migliorare la rendicontazione sulle violazioni informatiche nuove e passate. Le politiche e le procedure esistenti in materia di governance, rischio e conformità aziendale (GRC) non saranno sufficienti per soddisfare queste regole.
Alla Valente, analista senior di Forrester, definisce le modifiche regolamentari proposte dalla SEC come “Sarbanes-Oxley light”. Le norme proposte stabiliscono che le aziende devono effettuare segnalazioni materiale incidenti di sicurezza informatica entro quattro giorni dall’identificazione, osserva. Il problema è che il “materiale” non è definito e varia a seconda del settore, quindi le aziende devono indovinare quando l’orologio inizia a segnalare gli incidenti. Ciò potrebbe portare a una segnalazione eccessiva o insufficiente di incidenti informatici, afferma.
La pressione guida le misure di sicurezza informatica
Il rispetto delle norme proposte potrebbe anche avere un impatto diretto sulla capacità di un'impresa di ottenere un'assicurazione informatica, osserva Valente. Nonostante la corrente caos nel mercato delle assicurazioni informatiche che sta spingendo i prezzi verso l’alto e verso il basso la copertura mentre gli assicuratori informatici riducono le scorte, questi cambiamenti alle regole possono potenzialmente aumentare ulteriormente la pressione sulle aziende affinché implementino controlli di sicurezza informatica che altrimenti non avrebbero potuto istituire in questo momento. Richiederebbe inoltre molte più informazioni sulle violazioni passate e su come vengono gestite e mitigate.
"Il nuovo ruolo del management nel reporting e nella governance informatica, e la nuova responsabilità dei consigli di amministrazione di far luce sulle loro competenze e supervisione, guideranno un ulteriore controllo sui programmi di sicurezza aziendale", afferma Jason Hicks, CISO sul campo presso la società di consulenza sulla sicurezza informatica Coalfire.
“Ciò mette il CISO in una posizione scottante”, continua. “È anche probabile che ciò spinga i consigli di amministrazione a cercare di aggiungere dirigenti con esperienza in materia di sicurezza informatica ai propri team. Dato il numero limitato di persone qualificate disponibili, potrei anche immaginare che i consigli di amministrazione assumano propri consulenti per consigliarli sui rischi legati alla sicurezza informatica e sull’adeguatezza del programma di sicurezza dell’azienda.
“Tutte queste aree dovranno essere prese in considerazione nella parte di governance del vostro approccio ESG”, aggiunge Hicks. “Il management è già responsabile della gestione del rischio di sicurezza informatica, quindi questo non sta creando una classe di responsabilità completamente nuova, anche se sta apportando diverse modifiche all’onere e alla complessità”.
Le transnazionali prendono l’iniziativa
Hicks osserva che il modo in cui le organizzazioni vedono la trasparenza e le norme culturali degli ambienti operativi di un'azienda possono influire sul modo in cui rispondono. “Le multinazionali devono bilanciare il loro approccio visti i diversi approcci a livello globale”.
Valente è d'accordo. Gli europei tendono ad essere più proattivi nella difesa dalle violazioni dei dati rispetto alle aziende americane. Il cambiamento delle regole potrebbe costringere le organizzazioni nazionali a essere più proattive, in particolare quando si tratta di gestione del rischio di terze parti, un controllo di sicurezza fondamentale.
“Una volta che questo diventerà definitivo, vedremo uno sforzo per essere proattivi. Alcune [organizzazioni] seguiranno la lettera della legge e potrebbero avere successo nel breve termine, ma marginalmente”, afferma Valente. “Altri seguiranno lo spirito della legge e lo utilizzeranno come mezzo per migliorare, diversificare e rendere la gestione proattiva del rischio [di terze parti] parte di ciò che sono. Sarà radicato nel loro DNA aziendale. Queste sono le organizzazioni che trarranno davvero beneficio da questo”.
Le aziende possono iniziare
Steven Yadegari, amministratore delegato della società di consulenza sugli investimenti FiSolve ed ex consigliere generale dello studio legale Cramer Rosenthal McGlynn, afferma che i membri del consiglio cercheranno rapporti specifici sulla sicurezza informatica. Ciò includerà rapporti trimestrali incentrati sulla sicurezza informatica e incontri con le persone incaricate della supervisione dell’area, come il CISO, che guidano l’iniziativa.
“Le nuove regole richiederebbero valutazioni formali dei rischi, controlli specifici, misure di monitoraggio e un sistema di segnalazione degli incidenti. Nella misura in cui alcune di queste aree non sono affrontate nei programmi esistenti, i consigli di amministrazione vorranno capire come i manager intendono conformarsi a questi potenziali requisiti. Tali conversazioni dovrebbero essere in corso e non attendere l’adozione di nuove regole”, afferma Yadegari.
Molte aziende oggi gestiscono con maggiore attenzione i propri fornitori e supervisionano le loro politiche e procedure, osserva. Ciò è particolarmente vero per i fornitori di servizi e fornitori di terze parti che potrebbero entrare in contatto con le informazioni sensibili di un'azienda.
“È doveroso che le aziende si assicurino di disporre di un solido programma di sicurezza informatica e di un programma di gestione dei rischi di terze parti (TPRM), che a sua volta fornirà conforto alle aziende che fanno affidamento sui loro servizi”, afferma Yadegari.
Anche se la lingua finale delle modifiche proposte alle regole SEC deve ancora essere resa pubblica, è possibile trovare la lingua proposta qui.
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
