Екологічні, соціальні та управлінські міркування (ESG) навряд чи є новими темами, коли справа доходить до звітності про відповідність для компаній, що надають фінансові послуги, але вплив порушень кібербезпеки на компонент управління незабаром набуде набагато більшої уваги як для фінансових, так і для нефінансових організацій. . Незалежно від того, чи йдеться про проблеми конфіденційності, фінансові втрати від програм-вимагачів чи безперервність бізнесу з точки зору управління, кіберзагрози ставлять обговорення ESG на перший план на засіданнях правління та обговореннях керівників по всьому світу.
Зміни у звітності, з якими стикаються американські компанії, можуть значно збільшитися завдяки нещодавнім зміни правил від голови Комісії з цінних паперів і бірж Гері Генслера. Вимоги до звітності щодо управління кібербезпекою, схожі на вимоги щодо аудиту та фінансової звітності, які містяться в Законі Сарбейнса-Окслі 2002 року (SOX), будуть ключовим компонентом нових правил.
Вимоги SOX щодо управління зосереджені на допомозі захистити інвесторів від шахрайства у фінансовій звітності корпорацій, тоді як управління кібербезпекою розроблено для покращення звітності про нові та минулі кіберзломи. Існуючих політик і процедур корпоративного управління, ризиків і відповідності (GRC) недостатньо для виконання цих правил.
Алла Валенте, старший аналітик Forrester, характеризує запропоновані зміни регулювання SEC як «легкі Сарбейнса-Окслі». У запропонованих правилах зазначено, що компанії повинні звітувати матеріал інцидентів кібербезпеки протягом чотирьох днів після ідентифікації, зазначає вона. Проблема полягає в тому, що «матеріал» не визначений і залежить від галузі, тому компаніям залишається здогадуватися, коли годинник починає повідомляти про інциденти. Це може призвести як до надмірного, так і до недостатнього звітування про кіберінциденти, каже вона.
Тиск спонукає до заходів кібербезпеки
Дотримання запропонованих правил також може мати прямий вплив на здатність підприємства отримати кіберстрахування, зазначає Валенте. Незважаючи на теч хаос на ринку кіберстрахування що підвищує ціни та знижує охоплення, тоді як кіберстраховики зменшують інвентаризацію, ці зміни в правилах потенційно можуть посилити тиск на компанії щодо впровадження засобів контролю кібербезпеки, які вони в іншому випадку могли б не запровадити на даний момент. Це також потребує набагато більше інформації про минулі порушення та те, як вони управляються та пом’якшуються.
«Нова роль керівництва у звітності та кіберуправлінні, а також новий обов’язок правління пролити світло на їхній досвід і нагляд змусять додатковий контроль за програмами корпоративної безпеки», — каже Джейсон Хікс, оперативний директор з питань інформаційної безпеки в консалтинговій фірмі з кібербезпеки Coalfire.
«Це ставить CISO на гаряче місце», – продовжує він. «Це також, імовірно, спонукає ради директорів долучити до своїх команд керівників із досвідом кібербезпеки. Зважаючи на невелику кількість кваліфікованих людей, я також бачив, як ради директорів наймають власних консультантів для консультування щодо ризиків кібербезпеки та адекватності програми безпеки компанії.
«Усі ці сфери необхідно врахувати в частині управління вашим підходом ESG», — додає Хікс. «Керівництво вже несе відповідальність за управління ризиками кібербезпеки, тому це не створює абсолютно нового класу відповідальності, хоча й вносить деякі зміни щодо тягаря та складності».
Транснаціональні компанії беруть ініціативу
Хікс зазначає, що те, як організації бачать прозорість, і культурні норми операційного середовища компанії можуть впливати на те, як вони реагують. «Транснаціональним компаніям необхідно збалансувати свій підхід, враховуючи різні підходи в усьому світі».
Валенте погоджується. Європейці, як правило, більш активні у захисті від витоку даних, ніж американські компанії. Зміна правил може змусити національні організації бути більш проактивними, особливо коли йдеться про управління ризиками третіх сторін, ключовий елемент контролю безпеки.
«Коли це стане остаточним, ми побачимо спроби діяти на випередження. Деякі [організації] дотримуватимуться букви закону і можуть досягти успіху в короткостроковій перспективі, але незначно», — каже Валенте. «Інші дотримуватимуться духу закону та використовуватимуть його як засіб для покращення, диверсифікації та створення проактивного [стороннього] управління ризиками частиною своєї діяльності. Це буде вкорінено в їхній корпоративній ДНК. Це ті організації, які справді процвітатимуть завдяки цьому».
Компанії можуть почати
Стівен Ядегарі, генеральний директор інвестиційно-консалтингової компанії FiSolve і колишній генеральний радник юридичної фірми Cramer Rosenthal McGlynn, каже, що члени правління шукатимуть конкретну звітність щодо кібербезпеки. Це включатиме щоквартальні звіти, зосереджені на кібербезпеці, і зустрічі з особами, відповідальними за нагляд за цією сферою, такими як CISO, який керує цими зусиллями.
«Нові правила вимагатимуть офіційної оцінки ризиків, спеціальних заходів контролю, заходів моніторингу та системи звітності про інциденти. Оскільки деякі з цих сфер не розглядаються в існуючих програмах, ради директорів захочуть зрозуміти, як керівники мають намір виконувати ці потенційні вимоги. Ці розмови мають тривати, а не чекати ухвалення нових правил», – каже Ядегарі.
Багато компаній сьогодні ретельніше керують своїми постачальниками та наглядають за їх політикою та процедурами, зазначає він. Особливо це стосується сторонніх постачальників послуг і постачальників, які можуть мати контакт із конфіденційною інформацією підприємства.
«Компанії повинні забезпечити надійну програму кібербезпеки та програму стороннього управління ризиками (TPRM), яка, у свою чергу, забезпечить комфорт компаніям, які покладаються на їхні послуги», — говорить Ядегарі.
Хоча остаточна мова пропонованих змін правил SEC ще не оприлюднена, запропоновану мову можна знайти тут.
