שיקולים סביבתיים, חברתיים וממשל (ESG) אינם נושאים חדשים כמעט בכל הנוגע לדיווח תאימות לחברות שירותים פיננסיים, אך ההשפעה של הפרות אבטחת סייבר על מרכיב הממשל בקרוב תקבל פרופיל גבוה בהרבה עבור ארגונים פיננסיים ולא פיננסיים כאחד. . בין אם מתייחסים לבעיות פרטיות, להפסדים הכספיים של תוכנות כופר, או המשכיות עסקית מנקודת מבט של ממשל, איומי סייבר מציבים את דיוני ה-ESG בחזית ישיבות דירקטוריון ודיוני C-suite ברחבי העולם.
שינויי הדיווח שעומדים בפני חברות אמריקאיות עלולים להתרחב באופן משמעותי עקב לאחרונה שינויים כללים מאת יו"ר הרשות לניירות ערך, גארי גנסלר. דרישות דיווח ממשל אבטחת סייבר דומות לאלו לביקורת ודיווח כספי המצוי בחוק Sarbanes-Oxley משנת 2002 (SOX) יהיו מרכיב מרכזי בתקנות החדשות.
דרישות הממשל של SOX מתמקדות בסיוע בהגנה על משקיעים מפני דיווח כספי הונאה על ידי תאגידים, בעוד שממשל אבטחת סייבר נועד לשפר את הדיווח על הפרות סייבר חדשות ועברות. המדיניות והנהלים הקיימים של ממשל תאגידי, סיכונים ותאימות (GRC) לא יספיקו כדי לטפל בכללים אלה.
Alla Valente, אנליסט בכיר בפורסטר, מאפיין את השינויים המוצעים בתקנות ה-SEC כ"אור סרבינס-אוקסלי". הכללים המוצעים קובעים שחברות צריכות לדווח חוֹמֶר תקריות אבטחת סייבר בתוך ארבעה ימים מרגע הזיהוי, היא מציינת. הבעיה היא ש"חומר" אינו מוגדר ומשתנה לפי ענף, כך שחברות נותרות לנחש מתי השעון מתחיל לדווח על תקריות. הדבר עלול להוביל גם לדיווח יתר וגם לדיווח נמוך על אירועי סייבר, היא אומרת.
לחץ מניע אמצעי אבטחת סייבר
לעמידה בכללים המוצעים יכולה להיות גם השפעה ישירה על יכולתו של מיזם להשיג ביטוח סייבר, מציין ולנטה. למרות הזרם כאוס בשוק ביטוח הסייבר מה שמעלה את המחירים ואת הכיסוי מטה בזמן שמבטחי סייבר מפחיתים את המלאי, שינויים כללים אלו עלולים להגביר עוד יותר את הלחץ על חברות ליישם בקרות אבטחת סייבר שאחרת אולי לא היו נוהגות להפעיל בשלב זה. זה גם ידרוש הרבה יותר מידע על הפרות קודמות וכיצד הן מנוהלות והפחתתן.
"התפקיד החדש של ההנהלה בדיווח וממשל סייבר, והאחריות החדשה של הדירקטוריונים לשפוך אור על המומחיות והפיקוח שלהם, יובילו לבדיקה נוספת על תוכניות אבטחה ארגוניות", אומר ג'ייסון היקס, CISO בתחום בחברת הייעוץ לאבטחת הסייבר Coalfire.
"זה שם את ה-CISO על המושב החם", הוא ממשיך. "סביר להניח שזה גם יגרום לדירקטוריונים לנסות ולהוסיף מנהלים עם ניסיון באבטחת סייבר לצוות שלהם. בהתחשב במספר הקטן של אנשים מוסמכים זמינים, יכולתי לראות גם מועצות המנהלים שוכרות יועצים משלהן כדי לייעץ להם לגבי סיכוני אבטחת סייבר ומידת ההתאמה של תוכנית האבטחה של החברה.
"כל התחומים האלה יצטרכו להילקח בחשבון בחלק הממשלתי של גישת ה-ESG שלך", מוסיף היקס. "ההנהלה כבר אחראית לניהול סיכוני אבטחת סייבר, כך שזה לא יוצר סוג חדש לגמרי של אחריות, למרות שהיא מבצעת כמה שינויים בנטל ובמורכבות."
חוצות לאומיות נוקטות יוזמה
היקס מציין שהאופן שבו ארגונים רואים שקיפות ואת הנורמות התרבותיות של סביבות ההפעלה של החברה יכולה להשפיע על האופן שבו הם מגיבים. "החברות הרב-לאומיות צריכות לאזן את הגישה שלהן בהתחשב בגישות השונות בעולם".
ולנטה מסכים. האירופים נוטים להיות יותר פרואקטיביים בהגנה מפני פרצות מידע מאשר חברות אמריקאיות. שינוי הכללים עשוי לאלץ ארגונים מקומיים להיות יותר פרואקטיביים, במיוחד כשמדובר בניהול סיכונים של צד שלישי, בקרת אבטחה מרכזית.
"ברגע שזה יהפוך לסופי, נראה מאמץ להיות פרואקטיבי. חלק מהארגונים יפעלו לפי החוק, ועשויים להצליח בטווח הקצר, אך באופן שולי", אומר ולנטה. "אחרים יפעלו לפי רוח החוק וישתמשו בזה כאמצעי לשפר, לגוון ולהפוך את ניהול הסיכונים היזום [צד שלישי] לחלק ממי שהם. זה יהיה טבוע ב-DNA הארגוני שלהם. אלה הארגונים שבאמת הולכים לשגשג מזה".
חברות יכולות להתחיל
סטיבן ידגרי, מנכ"ל חברת ייעוץ ההשקעות FiSolve והיועץ הכללי לשעבר במשרד עורכי הדין Cramer Rosenthal McGlynn, אומר שחברי דירקטוריון יחפשו דיווח ספציפי על אבטחת סייבר. זה יכלול דוחות רבעוניים המתמקדים באבטחת סייבר ופגישות עם אנשים המופקדים על הפיקוח על האזור, כמו ה-CISO, המוביל את המאמץ.
"הכללים החדשים ידרשו הערכות סיכונים פורמליות, בקרות ספציפיות, אמצעי ניטור ומערכת דיווח של תקריות. במידה וחלק מהתחומים הללו אינם מטופלים בתוכניות קיימות, מועצות המנהלים ירצו להבין כיצד מנהלים מתכוונים לעמוד בדרישות הפוטנציאליות הללו. השיחות האלה צריכות להתנהל ולא לחכות לאימוץ כללים חדשים", אומר ידיגרי.
חברות רבות מנהלות כיום את הספקים שלהן בקפידה רבה יותר ומפקחות על המדיניות והנהלים שלהן, הוא מציין. זה נכון במיוחד לגבי ספקי שירותים וספקים של צד שלישי שעשויים ליצור קשר עם מידע רגיש של ארגון.
"מגיע לחברות להבטיח שיש להן תוכנית אבטחת סייבר חזקה ותוכנית ניהול סיכונים של צד שלישי (TPRM), אשר בתורה תספק נוחות לחברות המסתמכות על השירותים שלהן", אומר ידגארי.
בעוד שהשפה הסופית של השינויים המוצעים בחוק ה-SEC עדיין לא פורסמה לציבור, ניתן למצוא את השפה המוצעת כאן.
