Kwestie środowiskowe, społeczne i ładu korporacyjnego (ESG) nie są nowymi tematami, jeśli chodzi o raportowanie zgodności dla firm świadczących usługi finansowe, ale wpływ naruszeń cyberbezpieczeństwa na komponent zarządzania wkrótce zyska znacznie wyższy profil zarówno dla organizacji finansowych, jak i niefinansowych . Niezależnie od tego, czy chodzi o kwestie prywatności, straty finansowe oprogramowania ransomware, czy ciągłość biznesową z perspektywy zarządzania, zagrożenia cybernetyczne stawiają dyskusje na temat ESG na czele posiedzeń zarządu i dyskusji kierownictwa na całym świecie.
Zmiany w raportowaniu, przed którymi stoją amerykańskie firmy, mogą się znacznie rozszerzyć z powodu ostatnich modyfikacje reguł od przewodniczącego Komisji Papierów Wartościowych i Giełd Gary'ego Genslera. Kluczowym elementem nowych regulacji byłyby wymagania dotyczące raportowania w zakresie zarządzania cyberbezpieczeństwem, podobne do tych, które dotyczą audytu i sprawozdawczości finansowej zawarte w ustawie Sarbanes-Oxley z 2002 r. (SOX).
Wymogi w zakresie zarządzania SOX koncentrują się na ochronie inwestorów przed oszukańczą sprawozdawczością finansową przez korporacje, podczas gdy zarządzanie cyberbezpieczeństwem ma na celu poprawę raportowania o nowych i wcześniejszych cybernaruszeniach. Istniejące zasady i procedury dotyczące ładu korporacyjnego, ryzyka i zgodności (GRC) nie będą wystarczające, aby uwzględnić te zasady.
Alla Valente, starszy analityk w firmie Forrester, charakteryzuje proponowane modyfikacje przepisów SEC jako „światło Sarbanes-Oxley”. Proponowane zasady stanowią, że firmy muszą zgłaszać materiał zauważa, że incydenty cyberbezpieczeństwa w ciągu czterech dni od identyfikacji. Problem polega na tym, że „materiał” nie jest zdefiniowany i różni się w zależności od branży, więc firmy mogą zgadywać, kiedy zegar zaczyna zgłaszać incydenty. Może to prowadzić zarówno do nadmiernego, jak i zaniżonego zgłaszania incydentów cybernetycznych, mówi.
Presja napędza środki bezpieczeństwa cybernetycznego
Przestrzeganie proponowanych zasad może również mieć bezpośredni wpływ na zdolność przedsiębiorstwa do uzyskania ubezpieczenia cybernetycznego, zauważa Valente. Pomimo prądu chaos na rynku ubezpieczeń cybernetycznych co prowadzi do wzrostu cen i spadku zasięgu, podczas gdy ubezpieczyciele cybernetyczni zmniejszają zapasy, te zmiany zasad potencjalnie mogą jeszcze bardziej zwiększyć presję na firmy, aby wdrażały mechanizmy kontroli cyberbezpieczeństwa, których w przeciwnym razie nie wprowadziłyby do tej pory. Wymagałoby to również znacznie więcej informacji na temat przeszłych naruszeń oraz sposobów ich zarządzania i łagodzenia.
„Nowa rola kierownictwa w raportowaniu i zarządzaniu cybernetycznym, a także nowa odpowiedzialność zarządów za rzucanie światła na ich wiedzę fachową i nadzór, będą napędzać dodatkową kontrolę programów bezpieczeństwa dla przedsiębiorstw” – mówi Jason Hicks, CISO w firmie konsultingowej ds. cyberbezpieczeństwa Coalfire.
„To stawia CISO na gorącym miejscu”, kontynuuje. „Prawdopodobnie spowoduje to również, że zarządy spróbują dodać do swojego zespołu dyrektorów z doświadczeniem w zakresie cyberbezpieczeństwa. Biorąc pod uwagę niewielką liczbę dostępnych wykwalifikowanych osób, mogłem również zobaczyć, jak zarządy zatrudniają własnych konsultantów, którzy doradzają im w zakresie ryzyka cyberbezpieczeństwa i adekwatności programu bezpieczeństwa firmy.
„Wszystkie te obszary będą musiały zostać uwzględnione w części dotyczącej zarządzania w podejściu ESG” – dodaje Hicks. „Kierownictwo jest już odpowiedzialne za zarządzanie ryzykiem cyberbezpieczeństwa, więc nie tworzy to zupełnie nowej klasy odpowiedzialności, chociaż wprowadza kilka zmian w obciążeniu i złożoności”.
Transnarodowi podejmują inicjatywę
Hicks zauważa, że sposób, w jaki organizacje postrzegają przejrzystość i normy kulturowe środowiska operacyjnego firmy, może wpływać na ich reakcję. „Firmy międzynarodowe muszą zrównoważyć swoje podejście, biorąc pod uwagę różne podejścia na całym świecie”.
Valente się zgadza. Europejczycy są bardziej aktywni w obronie przed naruszeniami danych niż firmy amerykańskie. Zmiana zasad może zmusić organizacje krajowe do większej proaktywności, szczególnie jeśli chodzi o zarządzanie ryzykiem stron trzecich, kluczową kontrolę bezpieczeństwa.
„Kiedy stanie się to ostateczne, będziemy starali się być proaktywni. Niektóre [organizacje] będą postępować zgodnie z literą prawa i mogą odnieść sukces na krótką metę, ale marginalnie” – mówi Valente. „Inni będą postępować zgodnie z duchem prawa i wykorzystywać to jako sposób na poprawę, dywersyfikację i uczynienie tego proaktywnego zarządzania ryzykiem [strony trzeciej] częścią tego, kim są. Będzie to zakorzenione w ich korporacyjnym DNA. To są organizacje, które naprawdę z tego wyjdą”.
Firmy mogą zacząć
Steven Yadegari, dyrektor generalny firmy doradztwa inwestycyjnego FiSolve i były doradca generalny w firmie prawniczej Cramer Rosenthal McGlynn, mówi, że członkowie zarządu będą szukać konkretnych raportów na temat cyberbezpieczeństwa. Obejmą one kwartalne raporty skoncentrowane na cyberbezpieczeństwie oraz spotkania z osobami odpowiedzialnymi za nadzór nad tym obszarem, takimi jak CISO, kierujący działaniami.
„Nowe zasady wymagałyby formalnej oceny ryzyka, konkretnych kontroli, środków monitorowania i systemu zgłaszania incydentów. W zakresie, w jakim niektóre z tych obszarów nie są uwzględnione w istniejących programach, rady będą chciały zrozumieć, w jaki sposób menedżerowie zamierzają spełnić te potencjalne wymagania. Te rozmowy powinny być w toku i nie powinny czekać na przyjęcie nowych zasad – mówi Yadegari.
Zauważa, że obecnie wiele firm ostrożniej zarządza swoimi dostawcami i nadzoruje ich zasady i procedury. Dotyczy to w szczególności zewnętrznych dostawców usług i dostawców, którzy mogą mieć kontakt z poufnymi informacjami przedsiębiorstwa.
„Firmom wypada zapewnić solidny program cyberbezpieczeństwa i program zarządzania ryzykiem stron trzecich (TPRM), co z kolei zapewni komfort firmom, które polegają na ich usługach”, mówi Yadegari.
Chociaż ostateczny język proponowanych zmian w przepisach SEC nie został jeszcze opublikowany, proponowany język można znaleźć tutaj.
- blockchain
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Mroczne czytanie
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- Kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- VPN
- zabezpieczenia stron internetowych
