Razumevanje predlaganih pravil SEC skozi lečo ESG

Okoljski, socialni in upravljavski vidiki (ESG) niso nove teme, ko gre za poročanje o skladnosti za podjetja za finančne storitve, vendar bo vpliv kršitev kibernetske varnosti na komponento upravljanja kmalu pridobil veliko večjo prepoznavnost za finančne in nefinančne organizacije. . Ne glede na to, ali obravnavajo vprašanja zasebnosti, finančne izgube zaradi izsiljevalske programske opreme ali neprekinjenost poslovanja z vidika upravljanja, kibernetske grožnje postavljajo razprave ESG v ospredje sej upravnih odborov in razprav C-suite po vsem svetu.

Spremembe poročanja, s katerimi se soočajo ameriška podjetja, bi se lahko znatno povečale zaradi nedavnih spremembe pravil od predsednika Komisije za vrednostne papirje in borzo Garyja Genslerja. Zahteve za poročanje o upravljanju kibernetske varnosti, podobne tistim za revizijo in finančno poročanje iz zakona Sarbanes-Oxley iz leta 2002 (SOX), bi bile ključni sestavni del novih predpisov.

Zahteve glede upravljanja SOX se osredotočajo na pomoč pri zaščiti vlagateljev pred goljufivim finančnim poročanjem s strani korporacij, medtem ko je upravljanje kibernetske varnosti zasnovano za izboljšanje poročanja o novih in preteklih kibernetskih vdorih. Obstoječe politike in postopki korporativnega upravljanja, tveganja in skladnosti (GRC) ne bodo zadostovali za obravnavanje teh pravil.

Alla Valente, višji analitik pri Forresterju, je predlagane spremembe uredbe SEC označila kot "lahko Sarbanes-Oxley". Predlagana pravila določajo, da morajo podjetja poročati Material incidentov kibernetske varnosti v štirih dneh po identifikaciji, ugotavlja. Težava je v tem, da "material" ni opredeljen in se razlikuje glede na panogo, zato morajo podjetja ugibati, kdaj začne ura poročati o dogodkih. To bi lahko privedlo do pretiranega in premajhnega poročanja o kibernetskih incidentih, pravi.

Pritisk poganja ukrepe kibernetske varnosti

Upoštevanje predlaganih pravil bi lahko neposredno vplivalo tudi na zmožnost podjetja, da pridobi kibernetsko zavarovanje, ugotavlja Valente. Kljub trenutnemu kaos na kibernetskem zavarovalniškem trgu ki zvišuje cene in zmanjšuje pokritost, medtem ko kibernetske zavarovalnice zmanjšujejo zaloge, lahko te spremembe pravil potencialno dodatno povečajo pritisk na podjetja, da izvajajo nadzor kibernetske varnosti, ki ga sicer trenutno morda ne bi uvedla. Prav tako bi zahtevalo veliko več informacij o preteklih kršitvah in o tem, kako se jih upravlja in ublaži.

»Nova vloga vodstva pri poročanju in kibernetskem upravljanju ter nova odgovornost upravnih odborov, da osvetlijo svoje strokovno znanje in izkušnje, bodo spodbudili dodaten nadzor varnostnih programov podjetij,« pravi Jason Hicks, področni CISO v svetovalnem podjetju za kibernetsko varnost Coalfire.

"To postavlja CISO na vroč stol," nadaljuje. »Prav tako je verjetno, da bo uprave spodbudilo k temu, da bodo v svojo ekipo poskušali dodati vodilne delavce z izkušnjami na področju kibernetske varnosti. Glede na majhno število usposobljenih ljudi, ki so na voljo, sem videl, da upravni odbori najemajo svoje svetovalce, da jim svetujejo o tveganju kibernetske varnosti in ustreznosti varnostnega programa podjetja.

»Vsa ta področja bo treba vključiti v del upravljanja vašega ESG pristopa,« dodaja Hicks. "Vodstvo je že odgovorno za obvladovanje tveganja kibernetske varnosti, tako da to ne ustvarja povsem novega razreda odgovornosti, čeprav uvaja več sprememb glede bremena in kompleksnosti."

Transnacionalci prevzamejo pobudo

Hicks ugotavlja, da lahko način, kako organizacije gledajo na preglednost, in kulturne norme delovnega okolja podjetja vplivajo na njihov odziv. "Multinacionalke morajo uravnotežiti svoj pristop glede na različne pristope na svetovni ravni."

Valente se strinja. Evropejci so bolj proaktivni pri obrambi pred kršitvami podatkov kot ameriška podjetja. Sprememba pravil bi lahko prisilila domače organizacije, da so bolj proaktivne, zlasti ko gre za obvladovanje tveganj tretjih oseb, ki je ključni varnostni nadzor.

"Ko bo to postalo pravnomočno, bomo videli prizadevanja za proaktivnost. Nekatere [organizacije] bodo sledile črki zakona in bodo morda kratkoročno uspešne, vendar obrobno,« pravi Valente. »Drugi bodo sledili duhu zakona in ga uporabili kot sredstvo za izboljšanje, diverzifikacijo in to proaktivno [tretjo osebo] obvladovanje tveganja del tega, kar so. To bo zakoreninjeno v DNK njihovega podjetja. To so organizacije, ki bodo zaradi tega resnično uspevale.«

Podjetja lahko začnejo

Steven Yadegari, izvršni direktor investicijsko svetovalnega podjetja FiSolve in nekdanji generalni svetovalec v odvetniški pisarni Cramer Rosenthal McGlynn, pravi, da bodo člani odbora iskali posebna poročila o kibernetski varnosti. To bo vključevalo četrtletna poročila, osredotočena na kibernetsko varnost, in sestanke s posamezniki, zadolženimi za nadzor nad področjem, kot je CISO, ki vodi prizadevanja.

»Nova pravila bi zahtevala uradne ocene tveganja, posebne kontrole, nadzorne ukrepe in sistem poročanja o incidentih. Če nekatera od teh področij niso obravnavana v obstoječih programih, bodo upravni odbori želeli razumeti, kako nameravajo vodje izpolniti te morebitne zahteve. Ti pogovori bi morali potekati in ne bi smeli čakati na sprejetje novih pravil,« pravi Yadegari.

Mnoga podjetja danes bolj skrbno upravljajo svoje prodajalce in nadzirajo njihove politike in postopke, ugotavlja. To še posebej velja za ponudnike storitev tretjih oseb in dobavitelje, ki bi lahko imeli stik z občutljivimi podatki podjetja.

»Podjetja morajo zagotoviti, da imajo robusten program kibernetske varnosti in program za obvladovanje tveganj tretjih oseb (TPRM), ki bo zagotovil udobje podjetjem, ki se zanašajo na njihove storitve,« pravi Yadegari.

Medtem ko končni jezik predlaganih sprememb pravil SEC še ni bil objavljen, je predlagani jezik mogoče najti tukaj.