Экологические, социальные и управленческие аспекты (ESG) едва ли можно назвать новыми темами, когда речь идет об отчетности о соблюдении требований для компаний, предоставляющих финансовые услуги, но влияние нарушений кибербезопасности на компонент управления вскоре приобретет гораздо более высокий статус как для финансовых, так и для нефинансовых организаций. . Будь то решение проблем конфиденциальности, финансовых потерь от программ-вымогателей или непрерывности бизнеса с точки зрения управления, киберугрозы ставят обсуждения ESG на первое место на заседаниях совета директоров и дискуссиях высшего руководства по всему миру.
Изменения в отчетности, с которыми сталкиваются американские компании, могут значительно увеличиться из-за недавнего изменения правил от председателя Комиссии по ценным бумагам и биржам Гэри Генслера. Требования к отчетности по управлению кибербезопасностью, аналогичные требованиям к аудиту и финансовой отчетности, изложенным в Законе Сарбейнса-Оксли от 2002 г. (SOX), станут ключевым компонентом новых правил.
Требования к управлению SOX направлены на то, чтобы помочь защитить инвесторов от мошеннической финансовой отчетности корпораций, в то время как управление кибербезопасностью предназначено для улучшения отчетности о новых и прошлых кибервзломах. Существующие политики и процедуры корпоративного управления, рисков и соответствия (GRC) не будут достаточными для соблюдения этих правил.
Алла Валенте, старший аналитик Forrester, характеризует предлагаемые изменения правил SEC как «легкие Сарбейнса-Оксли». Предлагаемые правила гласят, что компании должны отчитываться материала инцидентов кибербезопасности в течение четырех дней после выявления, отмечает она. Проблема в том, что «материал» не определен и варьируется в зависимости от отрасли, поэтому компаниям приходится гадать, когда часы начинают сообщать об инцидентах. По ее словам, это может привести как к завышению, так и к занижению сведений о киберинцидентах.
Давление стимулирует меры кибербезопасности
Валенте отмечает, что соблюдение предложенных правил также может оказать прямое влияние на возможность предприятия получить страховку от киберугроз. Несмотря на текущий хаос на рынке киберстрахования это приводит к росту цен и снижению покрытия, в то время как киберстраховщики сокращают запасы, эти изменения правил потенциально могут еще больше усилить давление на компании по внедрению средств контроля кибербезопасности, которые в противном случае они, возможно, не ввели бы в настоящее время. Также потребуется гораздо больше информации о прошлых нарушениях и о том, как они контролируются и смягчаются.
«Новая роль руководства в отчетности и киберуправлении, а также новая обязанность советов директоров — пролить свет на свой опыт и надзор — повлекут за собой дополнительное внимание к программам корпоративной безопасности», — говорит Джейсон Хикс, полевой директор по информационным технологиям в консалтинговой фирме по кибербезопасности Coalfire.
«Это ставит CISO в неудобное положение, — продолжает он. «Это также, вероятно, побудит советы директоров попытаться добавить в свою команду руководителей с опытом работы в области кибербезопасности. Учитывая небольшое количество квалифицированных специалистов, я мог также видеть, что советы директоров нанимают собственных консультантов, чтобы консультировать их по рискам кибербезопасности и адекватности программы безопасности компании.
«Все эти области должны быть учтены в части управления вашего подхода к ESG», — добавляет Хикс. «Руководство уже несет ответственность за управление рисками кибербезопасности, поэтому это не создает совершенно новый класс ответственности, хотя и вносит несколько изменений в нагрузку и сложность».
Транснациональные корпорации берут на себя инициативу
Хикс отмечает, что то, как организации относятся к прозрачности и культурным нормам операционной среды компании, может играть роль в том, как они реагируют. «Транснациональные корпорации должны сбалансировать свой подход, учитывая разные подходы во всем мире».
Валенте соглашается. Европейцы, как правило, более активно защищаются от утечек данных, чем американские компании. Изменение правил может заставить местные организации быть более активными, особенно когда речь идет об управлении рисками третьих сторон, ключевом элементе безопасности.
«Как только это станет окончательным, мы увидим инициативу. Некоторые [организации] будут следовать букве закона и могут добиться успеха в краткосрочной перспективе, но незначительно», — говорит Валенте. «Другие будут следовать духу закона и использовать его как средство для улучшения, диверсификации и превращения упреждающего [стороннего] управления рисками в свою деятельность. Это будет укоренено в их корпоративной ДНК. Это те организации, которые действительно выиграют от этого».
Компании могут начать
Стивен Ядегари, генеральный директор инвестиционно-консалтинговой фирмы FiSolve и бывший главный юрисконсульт юридической фирмы Cramer Rosenthal McGlynn, говорит, что члены совета директоров будут искать конкретные отчеты по кибербезопасности. Это будет включать в себя ежеквартальные отчеты, посвященные кибербезопасности, и встречи с лицами, отвечающими за надзор в этой области, такими как директор по информационной безопасности, возглавляющий работу.
«Новые правила потребуют формальных оценок рисков, конкретных средств контроля, мер мониторинга и системы отчетности об инцидентах. В той мере, в какой некоторые из этих областей не затрагиваются в существующих программах, советы директоров захотят понять, как менеджеры намерены соблюдать эти потенциальные требования. Эти разговоры должны продолжаться и не должны ждать принятия новых правил», — говорит Ядегари.
Он отмечает, что сегодня многие компании более тщательно управляют своими поставщиками и следят за их политиками и процедурами. Это особенно верно в отношении сторонних поставщиков услуг и поставщиков, которые могут иметь контакт с конфиденциальной информацией предприятия.
«Компании должны убедиться, что у них есть надежная программа кибербезопасности и программа управления сторонними рисками (TPRM), которые, в свою очередь, обеспечат комфорт компаниям, которые полагаются на их услуги», — говорит Ядегари.
Хотя окончательный язык предлагаемых изменений правил SEC еще не обнародован, предлагаемый язык можно найти здесь.
- блокчейн
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Темное чтение
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- Kaspersky
- вредоносных программ
- Mcafee
- НексБЛОК
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- VPN
- безопасности веб-сайтов
