Miljømessige, sosiale og styringshensyn (ESG) er neppe nye temaer når det kommer til samsvarsrapportering for finansielle tjenestefirmaer, men virkningen av cybersikkerhetsbrudd på styringskomponenten vil snart få en mye høyere profil for både finansielle og ikke-finansielle organisasjoner. . Enten det gjelder personvernspørsmål, økonomiske tap av løsepengevare eller forretningskontinuitet fra et styringsperspektiv, setter cybertrusler ESG-diskusjoner i forkant av styremøter og C-suite-diskusjoner over hele verden.
Rapporteringsendringene amerikanske selskaper står overfor kan utvide seg betydelig på grunn av nylig regelendringer fra Securities and Exchange Commissions styreleder Gary Gensler. Rapporteringskrav for cybersikkerhetsstyring som ligner de for revisjon og finansiell rapportering som finnes i Sarbanes-Oxley Act of 2002 (SOX) vil være en nøkkelkomponent i det nye regelverket.
SOX-styringskrav fokuserer på å beskytte investorer mot uredelig finansiell rapportering fra selskaper, mens cybersikkerhetsstyring er utformet for å forbedre rapportering om nye og tidligere cyberbrudd. Eksisterende retningslinjer og prosedyrer for bedriftsstyring, risiko og overholdelse (GRC) vil ikke være tilstrekkelig for å håndtere disse reglene.
Alla Valente, senioranalytiker ved Forrester, karakteriserer de foreslåtte SEC-reguleringsendringene som «Sarbanes-Oxley light». De foreslåtte reglene sier at virksomheter skal rapportere materiale cybersikkerhetshendelser innen fire dager etter identifisering, bemerker hun. Problemet er at "materiale" ikke er definert og varierer fra bransje til bransje, så bedrifter blir stående å gjette når klokken begynner å rapportere hendelser. Dette kan føre til både over- og underrapportering av cyberhendelser, sier hun.
Press driver cybersikkerhetstiltak
Overholdelse av de foreslåtte reglene kan også ha en direkte innvirkning på et foretaks evne til å skaffe seg cyberforsikring, bemerker Valente. Til tross for strømmen kaos i cyberforsikringsmarkedet som driver prisene opp og dekningen ned mens cyberforsikringsselskaper reduserer lagerbeholdningen, kan disse regelendringene potensielt øke presset på selskaper ytterligere for å implementere cybersikkerhetskontroller som de ellers ikke ville ha innført på dette tidspunktet. Det vil også kreve mye mer informasjon om tidligere brudd og hvordan de håndteres og reduseres.
"Ledelsens nye rolle i rapportering og cyberstyring, og styrenes nye ansvar for å belyse deres ekspertise og tilsyn, vil drive ekstra gransking av bedriftssikkerhetsprogrammer," sier Jason Hicks, felt CISO ved cybersikkerhetskonsulentfirmaet Coalfire.
"Dette setter CISO på det varme setet," fortsetter han. "Det er også sannsynlig at styrene vil prøve å legge til ledere med erfaring med cybersikkerhet til teamet deres. Gitt det lille antallet kvalifiserte personer som er tilgjengelig, kunne jeg også se at styrene ansetter sine egne konsulenter for å gi dem råd om cybersikkerhetsrisiko og tilstrekkeligheten til selskapets sikkerhetsprogram.
"Alle disse områdene må tas med i styringsdelen av din ESG-tilnærming," legger Hicks til. "Ledelsen er allerede ansvarlig for å håndtere cybersikkerhetsrisiko, så dette skaper ikke en helt ny klasse av ansvar, selv om det gjør flere endringer i byrden og kompleksiteten."
Transnasjonale selskaper tar initiativ
Hicks bemerker at måten organisasjoner ser på åpenhet og de kulturelle normene til et selskaps driftsmiljøer kan spille inn i hvordan de reagerer. "De multinasjonale selskapene må balansere sin tilnærming gitt de forskjellige tilnærmingene globalt."
Valente er enig. Europeere har en tendens til å være mer proaktive i å forsvare seg mot datainnbrudd enn amerikanske selskaper. Regelendringen kan tvinge innenlandske organisasjoner til å være mer proaktive, spesielt når det gjelder tredjeparts risikostyring, en nøkkelsikkerhetskontroll.
«Når dette er endelig, vil vi se en innsats for å være proaktive. Noen [organisasjoner] vil følge lovens bokstav, og kan lykkes på kort sikt, men marginalt, sier Valente. «Andre vil følge lovens ånd og bruke det som et middel til å forbedre, diversifisere og gjøre den proaktive [tredjeparts] risikostyringen til en del av hvem de er. Det vil være inngrodd i deres bedrifts-DNA. Det er organisasjonene som virkelig kommer til å trives med dette.»
Bedrifter kan komme i gang
Steven Yadegari, administrerende direktør i investeringskonsulentfirmaet FiSolve og tidligere generaladvokat i advokatfirmaet Cramer Rosenthal McGlynn, sier styremedlemmer vil se etter spesifikk rapportering om cybersikkerhet. Dette vil inkludere kvartalsrapporter fokusert på cybersikkerhet og møter med personer som har tilsyn med området, som CISO, som leder arbeidet.
"De nye reglene vil kreve formelle risikovurderinger, spesifikke kontroller, overvåkingstiltak og et rapporteringssystem for hendelser. I den grad noen av disse områdene ikke tas opp i eksisterende programmer, vil styrene ønske å forstå hvordan ledere har til hensikt å etterkomme disse potensielle kravene. Disse samtalene bør være i gang og bør ikke vente på vedtak av nye regler, sier Yadegari.
Mange selskaper i dag er mer nøye med å administrere sine leverandører og overvåke deres retningslinjer og prosedyrer, bemerker han. Dette gjelder spesielt for tredjeparts tjenesteleverandører og leverandører som kan ha kontakt med en virksomhets sensitive informasjon.
"Det påhviler selskaper å sikre at de har et robust nettsikkerhetsprogram og et tredjeparts risikostyringsprogram (TPRM), som igjen vil gi trøst til selskaper som er avhengige av deres tjenester," sier Yadegari.
Mens det endelige språket i de foreslåtte SEC-regelendringene ennå ikke er offentliggjort, kan det foreslåtte språket bli funnet her..
