金融サービス企業のコンプライアンスレポートに関しては、環境、社会、ガバナンス(ESG)の考慮事項はほとんど新しいトピックではありませんが、サイバーセキュリティ違反がガバナンスコンポーネントに与える影響は、金融機関と非金融機関の両方ですぐに注目を集めるようになります。 。 プライバシーの問題、ランサムウェアの経済的損失、ガバナンスの観点からのビジネスの継続性のいずれに対処する場合でも、サイバー脅威はESGの議論を世界中の取締役会やCスイートの議論の最前線に置いています。
最近のことにより、米国企業が直面する報告の変更は大幅に拡大する可能性があります ルールの変更 証券取引委員会のゲイリー・ゲンスラー会長から。 2002年サーベンスオクスリー法(SOX)に見られる監査および財務報告の要件と同様のサイバーセキュリティガバナンス報告要件は、新しい規制の重要な要素となります。
SOXガバナンスの要件は、企業による不正な財務報告から投資家を保護することに重点を置いていますが、サイバーセキュリティガバナンスは、新規および過去のサイバー侵害に関する報告を改善するように設計されています。 既存のコーポレートガバナンス、リスク、およびコンプライアンス(GRC)のポリシーと手順は、これらのルールに対処するのに十分ではありません。
Forresterの上級アナリストであるAllaValenteは、提案されているSEC規制の変更を「Sarbanes-Oxleylight」として特徴づけています。 提案された規則は、企業が報告する必要があると述べています 材料 識別からXNUMX日以内のサイバーセキュリティインシデント、と彼女は述べています。 問題は、「材料」が定義されておらず、業界によって異なるため、企業は時計がインシデントの報告を開始する時期を推測していることです。 これは、サイバーインシデントの過大報告と過少報告の両方につながる可能性があると彼女は言います。
圧力がサイバーセキュリティ対策を推進
提案された規則を遵守することは、サイバー保険を取得する企業の能力にも直接的な影響を与える可能性がある、とバレンテ氏は述べています。 現在にもかかわらず サイバー保険市場の混乱 つまり、サイバー保険会社が在庫を減らしている間、価格を上げ、カバレッジを下げています。これらのルールの変更は、現時点では実施していなかった可能性のあるサイバーセキュリティ制御を実装するよう企業にさらに圧力をかける可能性があります。 また、過去の違反と、それらがどのように管理および軽減されているかについて、はるかに多くの情報が必要になります。
「レポート作成とサイバーガバナンスにおける経営陣の新しい役割、および専門知識と監視に光を当てる取締役会の新しい責任により、エンタープライズセキュリティプログラムに対するさらなる精査が促進されます」と、サイバーセキュリティコンサルティング会社CoalfireのフィールドCISOであるJasonHicksは述べています。
「これにより、CISOが注目を集めます」と彼は続けます。 「また、取締役会を駆り立てて、サイバーセキュリティの経験を持つ経営幹部をチームに加えようとする可能性があります。 資格のある人材が少ないことを考えると、取締役会が独自のコンサルタントを雇って、サイバーセキュリティのリスクと会社のセキュリティプログラムの適切性についてアドバイスすることもできました。
「これらすべての領域をESGアプローチのガバナンス部分に組み込む必要があります」とHicks氏は付け加えます。 「経営陣はすでにサイバーセキュリティリスクの管理に責任を負っています。そのため、負担と複雑さにいくつかの変更を加えていますが、これはまったく新しい種類の責任を生み出しているわけではありません。」
国境を越えた人々が主導権を握る
ヒックス氏は、組織が企業の運営環境の透明性と文化的規範をどのように見ているかが、組織の対応に影響を与える可能性があると述べています。 「多国籍企業は、グローバルに異なるアプローチを考えると、アプローチのバランスを取る必要があります。」
バレンテは同意します。 ヨーロッパ人は、アメリカの企業よりもデータ侵害に対する防御に積極的である傾向があります。 ルールの変更により、国内組織は、特に主要なセキュリティ管理策であるサードパーティのリスク管理に関して、より積極的になる可能性があります。
「これが最終的になると、積極的に取り組む努力が見られます。 一部の[組織]は法律の条文に従い、短期的には成功する可能性がありますが、わずかです」とバレンテ氏は言います。 「他の人々は法律の精神に従い、それを改善、多様化、そしてその積極的な[第三者の]リスク管理を彼ら自身の一部にする手段として使用します。 それは彼らの企業のDNAに根付いているでしょう。 これらは、これから本当に繁栄する組織です。」
企業は始めることができます
投資コンサルティング会社FiSolveのCEOであり、法律事務所Cramer RosenthalMcGlynnの元顧問弁護士であるStevenYadegari氏は、取締役会メンバーはサイバーセキュリティに関する具体的な報告を探すと述べています。 これには、サイバーセキュリティに焦点を当てた四半期報告書と、CISOなどの地域の監視を担当する個人との会議が含まれ、取り組みを主導します。
「新しい規則では、正式なリスク評価、特定の管理、監視手段、およびインシデントの報告システムが必要になります。 これらの分野のいくつかが既存のプログラムで取り組まれていない限り、取締役会は、マネージャーがこれらの潜在的な要件をどのように遵守するつもりであるかを理解したいと思うでしょう。 これらの会話は進行中であり、新しいルールの採用を待つべきではありません」とYadegari氏は言います。
今日の多くの企業は、ベンダーをより慎重に管理し、ポリシーと手順を監督していると彼は述べています。 これは、企業の機密情報に接触する可能性のあるサードパーティのサービスプロバイダーやサプライヤーに特に当てはまります。
「企業は、堅牢なサイバーセキュリティプログラムとサードパーティのリスク管理(TPRM)プログラムを確実に利用できるようにする必要があります。これにより、サービスに依存する企業に快適さがもたらされます」とYadegari氏は言います。
提案されたSEC規則の変更の最終的な言語はまだ公表されていませんが、提案された言語は見つけることができます こちら.
