Finansal hizmet firmaları için uyumluluk raporlaması söz konusu olduğunda çevresel, sosyal ve yönetişim (ESG) konuları pek yeni konular değildir, ancak siber güvenlik ihlallerinin yönetişim bileşeni üzerindeki etkisi yakında hem finansal hem de finansal olmayan kuruluşlar için çok daha yüksek bir profil kazanacaktır. . Gizlilik sorunlarını, fidye yazılımlarının mali kayıplarını veya yönetişim perspektifinden iş sürekliliğini ele alan siber tehditler, dünya çapında ESG tartışmalarını yönetim kurulu toplantılarının ve üst düzey tartışmaların ön saflarına yerleştiriyor.
ABD şirketlerinin karşılaştığı raporlama değişiklikleri, son zamanlardaki gelişmeler nedeniyle önemli ölçüde genişleyebilir. kural değişiklikleri Menkul Kıymetler ve Borsa Komisyonu Başkanı Gary Gensler'den. 2002 Sarbanes-Oxley Yasası'nda (SOX) bulunan denetim ve finansal raporlamaya benzer siber güvenlik yönetişim raporlama gereksinimleri, yeni düzenlemelerin önemli bir bileşeni olacaktır.
SOX yönetişim gereksinimleri, yatırımcıların şirketler tarafından sahte finansal raporlamadan korunmasına yardımcı olmaya odaklanırken, siber güvenlik yönetişimi yeni ve geçmiş siber ihlaller hakkında raporlamayı iyileştirmek için tasarlanmıştır. Mevcut kurumsal yönetim, risk ve uyum (GRC) politikaları ve prosedürleri bu kuralların ele alınması için yeterli olmayacaktır.
Forrester'da kıdemli bir analist olan Alla Valente, önerilen SEC düzenleme değişikliklerini "Sarbanes-Oxley ışığı" olarak nitelendiriyor. Önerilen kurallar, şirketlerin rapor vermesi gerektiğini belirtir malzeme Siber güvenlik olaylarını, tanımlamadan sonraki dört gün içinde kaydetti. Sorun şu ki, “malzeme” tanımlanmadı ve sektöre göre değişiklik gösterdi, bu nedenle şirketler, saatin olayları bildirmeye ne zaman başlayacağını tahmin etmeye bırakıldı. Bu, siber olayların hem fazla hem de eksik bildirilmesine yol açabileceğini söylüyor.
Basınç Siber Güvenlik Önlemlerini Yönlendiriyor
Valente, önerilen kurallara uymanın bir işletmenin siber sigorta alma kabiliyeti üzerinde doğrudan bir etkisi olabileceğini belirtiyor. Mevcut duruma rağmen siber sigorta pazarında kaos Siber sigortacılar envanteri azaltırken bu durum fiyatları yukarı ve kapsama alanını aşağı çekerken, bu kural değişiklikleri potansiyel olarak şirketler üzerindeki, aksi halde o anda oluşturamayacakları siber güvenlik kontrollerini uygulamaya yönelik baskıyı daha da artırabilir. Ayrıca, geçmiş ihlaller ve bunların nasıl yönetilip hafifletildikleri hakkında çok daha fazla bilgi gerektirecektir.
Siber güvenlik danışmanlık firması Coalfire'ın saha CISO'su Jason Hicks, “Yönetimin raporlama ve siber yönetişimdeki yeni rolü ve kurulların uzmanlıklarına ve gözetimlerine ışık tutma konusundaki yeni sorumluluğu, kurumsal güvenlik programları üzerinde ekstra inceleme yapılmasını sağlayacak” diyor.
"Bu, CISO'yu sıcak koltuğa oturtuyor," diye devam ediyor. “Ayrıca, ekiplerine siber güvenlik deneyimi olan yöneticileri denemek ve eklemek için kurulları yönlendirmesi de muhtemel. Nitelikli insan sayısının azlığı göz önüne alındığında, kurulların siber güvenlik riski ve şirketin güvenlik programının yeterliliği konusunda tavsiyelerde bulunmak üzere kendi danışmanlarını tuttuğunu da görebiliyordum.
Hicks, "Bu alanların tümünün, ESG yaklaşımınızın yönetişim bölümüne dahil edilmesi gerekecek" diye ekliyor. "Yönetim, siber güvenlik riskini yönetmekten zaten sorumludur, bu nedenle yük ve karmaşıklıkta birkaç değişiklik yapmasına rağmen, bu tamamen yeni bir sorumluluk sınıfı oluşturmuyor."
Ulusötesi Şirketler İnisiyatif Alır
Hicks, kuruluşların şeffaflığı görme biçiminin ve bir şirketin faaliyet ortamlarının kültürel normlarının nasıl tepki verdiklerini etkileyebileceğini belirtiyor. “Çok uluslu şirketlerin, küresel olarak farklı yaklaşımlar göz önüne alındığında yaklaşımlarını dengelemeleri gerekiyor.”
Valente kabul eder. Avrupalılar, veri ihlallerine karşı savunmada Amerikan şirketlerine göre daha proaktif olma eğilimindedir. Kural değişikliği, özellikle önemli bir güvenlik kontrolü olan üçüncü taraf risk yönetimi söz konusu olduğunda, yerel kuruluşları daha proaktif olmaya zorlayabilir.
“Bu nihai hale geldiğinde, proaktif olma çabası göreceğiz. Valente, bazı [kuruluşlar] yasayı takip edecek ve kısa vadede ancak marjinal olarak başarılı olabilir, ”diyor Valente. “Diğerleri yasanın ruhunu takip edecek ve bunu, proaktif [üçüncü taraf] risk yönetimini kendilerinin bir parçası haline getirmek, çeşitlendirmek ve geliştirmek için bir araç olarak kullanacak. Kurumsal DNA'larına yerleşecek. Bunlar, bundan gerçekten gelişecek olan kuruluşlardır. ”
Şirketler Başlayabilir
Yatırım danışmanlığı firması FiSolve'nin CEO'su ve hukuk firması Cramer Rosenthal McGlynn'in eski genel danışmanı Steven Yadegari, yönetim kurulu üyelerinin siber güvenlik konusunda özel raporlar arayacağını söyledi. Bu, siber güvenliğe odaklanan üç aylık raporları ve çabaya öncülük eden CISO gibi alanın gözetiminden sorumlu kişilerle yapılan toplantıları içerecektir.
“Yeni kurallar, resmi risk değerlendirmeleri, özel kontroller, izleme önlemleri ve bir olay raporlama sistemi gerektirecektir. Bu alanlardan bazılarının mevcut programlarda ele alınmadığı ölçüde, kurullar yöneticilerin bu potansiyel gereksinimlere nasıl uymayı düşündüklerini anlamak isteyecektir. Bu görüşmeler devam etmeli ve yeni kuralların kabul edilmesini beklememeli” diyor Yadegari.
Bugün birçok şirketin satıcılarını daha dikkatli yönettiğini ve politikalarını ve prosedürlerini denetlediğini belirtiyor. Bu, özellikle bir kuruluşun hassas bilgileriyle iletişim kurabilecek üçüncü taraf hizmet sağlayıcıları ve tedarikçileri için geçerlidir.
Yadegari, "Şirketlerin, hizmetlerine güvenen şirketlere rahatlık sağlayacak sağlam bir siber güvenlik programına ve üçüncü taraf risk yönetimi (TPRM) programına sahip olmalarını sağlamaları gerekiyor" diyor.
Önerilen SEC kuralı değişikliklerinin son dili henüz kamuya açıklanmasa da, önerilen dil bulunabilir okuyun.
