Considerațiile de mediu, sociale și de guvernanță (ESG) nu sunt subiecte noi când vine vorba de raportarea conformității pentru firmele de servicii financiare, dar impactul încălcărilor securității cibernetice asupra componentei de guvernanță va câștiga în curând un profil mult mai mare pentru organizațiile financiare și non-financiare deopotrivă . Indiferent dacă abordează problemele de confidențialitate, pierderile financiare ale ransomware-ului sau continuitatea afacerii din perspectiva guvernanței, amenințările cibernetice pun discuțiile ESG în prim-planul reuniunilor consiliului de administrație și al discuțiilor cu conducerea din întreaga lume.
Schimbările de raportare cu care se confruntă companiile din SUA s-ar putea extinde semnificativ din cauza recentelor modificări ale regulilor de la Președintele Comisiei pentru Valori Mobiliare și Burse, Gary Gensler. Cerințele de raportare a guvernanței securității cibernetice similare cu cele pentru audit și raportare financiară găsite în Actul Sarbanes-Oxley din 2002 (SOX) ar fi o componentă cheie a noilor reglementări.
Cerințele de guvernanță SOX se concentrează pe protejarea investitorilor împotriva raportărilor financiare frauduloase ale corporațiilor, în timp ce guvernanța securității cibernetice este concepută pentru a îmbunătăți raportarea privind încălcările cibernetice noi și trecute. Politicile și procedurile existente de guvernanță corporativă, risc și conformitate (GRC) nu vor fi suficiente pentru a aborda aceste reguli.
Alla Valente, analist senior la Forrester, caracterizează modificările propuse ale regulamentului SEC drept „Sarbanes-Oxley light”. Regulile propuse prevăd că companiile trebuie să raporteze material incidente de securitate cibernetică în termen de patru zile de la identificare, notează ea. Problema este că „materialul” nu este definit și variază în funcție de industrie, astfel încât companiile sunt lăsate să ghicească când ceasul începe să raporteze incidente. Acest lucru ar putea duce atât la supraraportare, cât și la subraportare a incidentelor cibernetice, spune ea.
Presiunea conduce la măsuri de securitate cibernetică
Respectarea regulilor propuse ar putea avea, de asemenea, un impact direct asupra capacității unei întreprinderi de a obține asigurare cibernetică, notează Valente. În ciuda curentului haos pe piața asigurărilor cibernetice ceea ce duce la creșterea prețurilor și la scăderea acoperirii, în timp ce asigurătorii cibernetici reduc stocul, aceste modificări ale regulilor pot crește și mai mult presiunea asupra companiilor pentru a implementa controale de securitate cibernetică pe care altfel nu le-ar fi instituit în acest moment. De asemenea, ar necesita mult mai multe informații despre încălcările din trecut și despre modul în care acestea sunt gestionate și atenuate.
„Noul rol al managementului în raportare și guvernanță cibernetică, precum și noua responsabilitate a consiliilor de a face lumină asupra expertizei și supravegherii lor, vor conduce la un control suplimentar asupra programelor de securitate a întreprinderii”, spune Jason Hicks, CISO de domeniu la firma de consultanță în securitate cibernetică Coalfire.
„Acest lucru îl pune pe CISO pe locul fierbinte”, continuă el. „De asemenea, este probabil să conducă consiliile să încerce să adauge directori cu experiență în securitate cibernetică în echipa lor. Având în vedere numărul mic de persoane calificate disponibile, am putut vedea, de asemenea, consilii care își angajează proprii consultanți pentru a-i consilia cu privire la riscul de securitate cibernetică și adecvarea programului de securitate al companiei.
„Toate aceste domenii vor trebui luate în considerare în partea de guvernanță a abordării dumneavoastră ESG”, adaugă Hicks. „Managementul este deja responsabil pentru gestionarea riscului de securitate cibernetică, așa că acest lucru nu creează o clasă complet nouă de responsabilitate, deși face mai multe schimbări în sarcina și complexitatea.”
Transnaționalele iau inițiativă
Hicks observă că modul în care organizațiile văd transparența și normele culturale ale mediilor de operare ale unei companii pot juca în modul în care acestea răspund. „Multinaționalele trebuie să își echilibreze abordarea, având în vedere diferitele abordări la nivel global.”
Valente este de acord. Europenii tind să fie mai proactivi în apărarea împotriva încălcării datelor decât companiile americane. Schimbarea regulilor ar putea forța organizațiile naționale să fie mai proactive, în special atunci când vine vorba de gestionarea riscurilor de la terți, un control cheie de securitate.
„Odată ce acest lucru devine definitiv, vom vedea un efort de a fi proactiv. Unele [organizații] vor respecta litera legii și ar putea avea succes pe termen scurt, dar marginal”, spune Valente. „Alții vor urma spiritul legii și îl vor folosi ca mijloc de îmbunătățire, diversificare și de a face din managementul proactiv al riscului (terț) parte din ceea ce sunt. Va fi înrădăcinată în ADN-ul lor corporativ. Acestea sunt organizațiile care vor prospera cu adevărat din asta.”
Companiile pot începe
Steven Yadegari, CEO al firmei de consultanță în investiții FiSolve și fost consilier general la firma de avocatură Cramer Rosenthal McGlynn, spune că membrii consiliului de administrație vor căuta rapoarte specifice privind securitatea cibernetică. Aceasta va include rapoarte trimestriale concentrate pe securitatea cibernetică și întâlniri cu persoane însărcinate cu supravegherea zonei, cum ar fi CISO, care conduce efortul.
„Noile reguli ar necesita evaluări formale ale riscurilor, controale specifice, măsuri de monitorizare și un sistem de raportare a incidentelor. În măsura în care unele dintre aceste domenii nu sunt abordate în programele existente, consiliile vor dori să înțeleagă modul în care managerii intenționează să se conformeze acestor cerințe potențiale. Acele conversații ar trebui să fie în desfășurare și nu ar trebui să aștepte adoptarea de noi reguli”, spune Yadegari.
Multe companii de astăzi își gestionează cu mai multă atenție furnizorii și le supraveghează politicile și procedurile, notează el. Acest lucru este valabil mai ales pentru furnizorii terți de servicii și furnizorii care ar putea avea contact cu informațiile sensibile ale unei întreprinderi.
„Companiile trebuie să se asigure că au un program robust de securitate cibernetică și un program de gestionare a riscurilor de la terți (TPRM), care la rândul lor va oferi confort companiilor care se bazează pe serviciile lor”, spune Yadegari.
Deși limba finală a modificărilor propuse la regulile SEC nu a fost încă făcută publică, limbajul propus poate fi găsit aici.
- blockchain
- portofele de criptare
- criptoschimb
- securitate cibernetică
- cybercriminals
- Securitate cibernetică
- Lectură întunecată
- Departamentul de Securitate Națională
- portofele digitale
- firewall
- Kaspersky
- malware
- McAfee
- NexBLOC
- Plato
- platoul ai
- Informații despre date Platon
- Jocul lui Platon
- PlatoData
- platogaming
- VPN
- securitatea site-ului
