환경, 사회 및 거버넌스(ESG) 고려 사항은 금융 서비스 회사의 규정 준수 보고와 관련하여 거의 새로운 주제가 아니지만 사이버 보안 위반이 거버넌스 구성 요소에 미치는 영향은 곧 금융 및 비금융 조직 모두에게 훨씬 더 높은 인지도를 얻게 될 것입니다. . 개인 정보 보호 문제, 랜섬웨어의 재정적 손실 또는 거버넌스 관점에서 비즈니스 연속성 문제를 해결하든지 간에 사이버 위협은 ESG 논의를 전 세계 이사회 및 최고 경영진 논의의 최우선 순위로 두고 있습니다.
미국 기업이 직면한 보고 변경 사항은 최근 규칙 수정 증권거래위원회의 게리 겐슬러 위원장의 말이다. 2002년 Sarbanes-Oxley 법(SOX)에서 발견된 감사 및 재무 보고에 대한 요구 사항과 유사한 사이버 보안 거버넌스 보고 요구 사항은 새 규정의 핵심 구성 요소가 될 것입니다.
SOX 거버넌스 요구 사항은 기업의 사기성 재무 보고로부터 투자자를 보호하는 데 중점을 두고 있으며 사이버 보안 거버넌스는 신규 및 과거 사이버 침해에 대한 보고를 개선하도록 설계되었습니다. 기존 GRC(기업 거버넌스, 위험 및 규정 준수) 정책 및 절차로는 이러한 규칙을 처리하기에 충분하지 않습니다.
Forrester의 선임 분석가인 Alla Valente는 제안된 SEC 규정 수정을 "Sarbanes-Oxley 조명"으로 규정합니다. 제안된 규칙은 기업이 보고해야 한다고 명시하고 있습니다. 자료 그녀는 사이버 보안 사고를 식별한 후 XNUMX일 이내에 처리한다고 말합니다. 문제는 "물질"이 정의되지 않고 산업별로 다르기 때문에 기업은 시계가 사고 보고를 시작하는 시점을 추측하게 됩니다. 이로 인해 사이버 사고가 과도하게 보고되거나 과소 보고될 수 있다고 그녀는 말합니다.
압력으로 인해 사이버 보안 조치가 취해짐
제안된 규칙을 준수하는 것은 기업의 사이버 보험 가입 능력에 직접적인 영향을 미칠 수 있다고 Valente는 지적합니다. 현재에도 불구하고 사이버 보험 시장의 혼란 이는 사이버 보험사가 재고를 줄이는 동안 가격을 높이고 보장 범위를 낮추고 있지만 이러한 규칙 변경은 기업이 현재 시행하지 않았을 사이버 보안 통제를 구현해야 하는 압력을 잠재적으로 더 증가시킬 수 있습니다. 또한 과거의 침해와 침해가 어떻게 관리되고 완화되는지에 대한 훨씬 더 많은 정보가 필요합니다.
사이버 보안 컨설팅 회사인 Coalfire의 현장 CISO인 Jason Hicks는 “보고 및 사이버 거버넌스에 대한 경영진의 새로운 역할과 이사회의 전문성과 감독에 대한 새로운 책임이 기업 보안 프로그램에 대한 추가 조사를 주도하게 될 것입니다.
"이는 CISO를 중요한 자리에 앉게 합니다."라고 그는 계속해서 말합니다. “또한 이사회가 사이버 보안 경험이 있는 경영진을 팀에 추가하도록 유도할 가능성이 있습니다. 적격한 사람의 수가 적기 때문에 이사회에서 자체 컨설턴트를 고용하여 사이버 보안 위험과 회사 보안 프로그램의 적절성에 대해 조언하는 것도 볼 수 있었습니다.
"이 모든 영역은 ESG 접근 방식의 거버넌스 부분에 포함되어야 합니다."라고 Hicks는 덧붙입니다. "경영진은 이미 사이버 보안 위험 관리에 대한 책임이 있으므로 부담과 복잡성에 몇 가지 변경을 가하지만 완전히 새로운 유형의 책임을 생성하지는 않습니다."
다국적 기업이 주도권을 잡다
Hicks는 조직이 투명성과 기업 운영 환경의 문화적 규범을 보는 방식이 조직이 대응하는 방식에 영향을 미칠 수 있다고 말합니다. “다국적 기업은 전 세계적으로 다양한 접근 방식을 고려하여 접근 방식의 균형을 맞춰야 합니다.”
Valent는 동의합니다. 유럽인은 미국 기업보다 데이터 침해에 대한 방어에 더 적극적인 경향이 있습니다. 규칙 변경으로 인해 국내 조직은 특히 핵심 보안 통제인 제XNUMX자 위험 관리와 관련하여 보다 사전 예방적일 수 있습니다.
“이것이 최종 결정되면 우리는 선제적으로 노력하는 것을 보게 될 것입니다. 일부 [조직]은 법률의 내용을 따를 것이며 단기적으로는 성공할 수 있지만 미미합니다.”라고 Valente는 말합니다. “다른 사람들은 법의 정신을 따르고 이를 개선하고, 다양화하고, 능동적인 [타사] 위험 관리를 자신의 일부로 만드는 수단으로 사용할 것입니다. 그것은 그들의 기업 DNA에 각인될 것입니다. 이것이 바로 이로부터 정말로 번성할 조직입니다.”
기업은 시작할 수 있습니다
투자 컨설팅 회사 FiSolve의 CEO이자 법률 회사인 Cramer Rosenthal McGlynn의 전 법률 고문인 Steven Yadegari는 이사회 구성원이 사이버 보안에 대한 구체적인 보고를 찾을 것이라고 말했습니다. 여기에는 사이버 보안에 중점을 둔 분기별 보고서와 CISO와 같이 해당 분야를 감독하는 개인과의 회의가 포함됩니다.
“새로운 규칙에는 공식적인 위험 평가, 특정 통제, 모니터링 조치 및 사고 보고 시스템이 필요합니다. 이러한 영역 중 일부가 기존 프로그램에서 다루어지지 않는 한, 이사회는 관리자가 이러한 잠재적 요구 사항을 준수하려는 의도를 이해하기를 원할 것입니다. 이러한 대화는 진행 중이어야 하며 새로운 규칙의 채택을 기다리지 않아야 합니다.”라고 Yadegari는 말합니다.
오늘날 많은 기업들이 공급업체를 보다 신중하게 관리하고 정책과 절차를 감독하고 있다고 그는 지적합니다. 이는 특히 기업의 민감한 정보와 접촉할 수 있는 타사 서비스 제공업체 및 공급업체에 해당됩니다.
Yadegari는 "기업은 강력한 사이버 보안 프로그램과 TPRM(타사 위험 관리) 프로그램을 보유하고 있는지 확인해야 합니다. 그러면 서비스에 의존하는 기업에 편안함을 제공할 것입니다."라고 말합니다.
제안된 SEC 규칙 변경의 최종 언어는 아직 공개되지 않았지만 제안된 언어는 찾을 수 있습니다. 여기에서 지금 확인해 보세요..
