Miljömässiga, sociala och styrande (ESG) överväganden är knappast nya ämnen när det gäller efterlevnadsrapportering för finansiella tjänsteföretag, men effekterna av cybersäkerhetsöverträdelser på styrningskomponenten kommer snart att få en mycket högre profil för både finansiella och icke-finansiella organisationer . Oavsett om det handlar om integritetsfrågor, de ekonomiska förlusterna av ransomware eller kontinuitet i verksamheten ur ett styrningsperspektiv, sätter cyberhot ESG-diskussioner i främsta ledet vid styrelsemöten och C-suite-diskussioner runt om i världen.
De rapporteringsförändringar amerikanska företag står inför kan expandera avsevärt på grund av den senaste tiden regeländringar från Securities and Exchange Commissions ordförande Gary Gensler. Rapporteringskrav för cybersäkerhetsstyrning liknande de för revision och finansiell rapportering som finns i Sarbanes-Oxley Act från 2002 (SOX) skulle vara en nyckelkomponent i de nya reglerna.
SOX-styrningskraven fokuserar på att skydda investerare från bedräglig finansiell rapportering från företag, medan cybersäkerhetsstyrningen är utformad för att förbättra rapporteringen om nya och tidigare cyberintrång. Befintliga policyer och procedurer för företagsstyrning, risk och efterlevnad (GRC) kommer inte att vara tillräckliga för att hantera dessa regler.
Alla Valente, senioranalytiker på Forrester, karakteriserar de föreslagna ändringarna av SEC-förordningen som "Sarbanes-Oxley light." De föreslagna reglerna anger att företagen behöver anmäla Materialet cybersäkerhetsincidenter inom fyra dagar efter identifiering, konstaterar hon. Problemet är att "material" inte är definierat och varierar beroende på bransch, så företag får gissa när klockan börjar rapportera incidenter. Det kan leda till både över- och underrapportering av cyberincidenter, säger hon.
Tryck driver cybersäkerhetsåtgärder
Att följa de föreslagna reglerna kan också ha en direkt inverkan på ett företags förmåga att skaffa cyberförsäkring, noterar Valente. Trots strömmen kaos på cyberförsäkringsmarknaden som driver upp priserna och täckningen ner medan cyberförsäkringsbolag minskar lager, dessa regeländringar kan potentiellt ytterligare öka pressen på företag att implementera cybersäkerhetskontroller som de annars kanske inte hade infört just nu. Det skulle också kräva mycket mer information om tidigare överträdelser och hur de hanteras och mildras.
"Ledningens nya roll inom rapportering och cyberstyrning, och styrelsernas nya ansvar att belysa sin expertis och tillsyn, kommer att driva extra granskning av företagssäkerhetsprogram", säger Jason Hicks, fältansvarig CISO på cybersäkerhetskonsultföretaget Coalfire.
"Detta sätter CISO på heta stolen", fortsätter han. "Det kommer sannolikt också att driva styrelser att försöka lägga till chefer med erfarenhet av cybersäkerhet till sitt team. Med tanke på det lilla antalet kvalificerade personer som finns tillgängliga kunde jag också se styrelser anlita sina egna konsulter för att ge dem råd om cybersäkerhetsrisker och lämpligheten av företagets säkerhetsprogram.
"Alla dessa områden måste inkluderas i styrdelen av din ESG-strategi", tillägger Hicks. "Ledningen är redan ansvarig för att hantera cybersäkerhetsrisker, så detta skapar inte en helt ny klass av ansvar, även om det gör flera förändringar i bördan och komplexiteten."
Transnationella företag tar initiativ
Hicks noterar att hur organisationer ser på transparens och de kulturella normerna för ett företags verksamhetsmiljöer kan spela in hur de reagerar. "De multinationella företagen måste balansera sin strategi med tanke på de olika tillvägagångssätten globalt."
Valente håller med. Européer tenderar att vara mer proaktiva när det gäller att försvara sig mot dataintrång än amerikanska företag. Regeländringen kan tvinga inhemska organisationer att vara mer proaktiva, särskilt när det gäller riskhantering från tredje part, en viktig säkerhetskontroll.
"När detta väl är slutgiltigt kommer vi att se en ansträngning att vara proaktiv. Vissa [organisationer] kommer att följa lagens bokstav och kan vara framgångsrika på kort sikt, men marginellt, säger Valente. "Andra kommer att följa lagens anda och använda det som ett sätt att förbättra, diversifiera och göra den proaktiva riskhanteringen [tredjeparts] till en del av vem de är. Det kommer att vara inarbetat i deras företags-DNA. Det är de organisationer som verkligen kommer att frodas av detta.”
Företag kan komma igång
Steven Yadegari, VD för investeringskonsultföretaget FiSolve och tidigare chefsjurist på advokatfirman Cramer Rosenthal McGlynn, säger att styrelseledamöter kommer att leta efter specifik rapportering om cybersäkerhet. Detta kommer att inkludera kvartalsrapporter fokuserade på cybersäkerhet och möten med personer som ansvarar för tillsyn över området, såsom CISO, som leder arbetet.
"De nya reglerna skulle kräva formella riskbedömningar, specifika kontroller, övervakningsåtgärder och ett rapporteringssystem för incidenter. I den mån vissa av dessa områden inte tas upp i befintliga program, kommer styrelser att vilja förstå hur chefer har för avsikt att uppfylla dessa potentiella krav. Dessa samtal borde vara igång och inte vänta på att nya regler antas”, säger Yadegari.
Många företag hanterar idag sina leverantörer mer noggrant och övervakar deras policyer och rutiner, konstaterar han. Detta gäller särskilt tjänsteleverantörer och leverantörer från tredje part som kan ha kontakt med ett företags känsliga information.
"Det ankommer på företag att se till att de har ett robust cybersäkerhetsprogram och tredjepartsprogram för riskhantering (TPRM), vilket i sin tur kommer att ge tröst till företag som förlitar sig på deras tjänster", säger Yadegari.
Även om det slutliga språket för de föreslagna SEC-regeländringarna ännu inte har offentliggjorts, kan det föreslagna språket hittas här..
