Các cân nhắc về môi trường, xã hội và quản trị (ESG) hầu như không phải là những chủ đề mới khi nói đến báo cáo tuân thủ cho các công ty dịch vụ tài chính, nhưng tác động của vi phạm an ninh mạng đối với thành phần quản trị sẽ sớm đạt được mức độ cao hơn nhiều đối với các tổ chức tài chính và phi tài chính. . Cho dù giải quyết các vấn đề về quyền riêng tư, thiệt hại tài chính của ransomware hay tính liên tục của doanh nghiệp từ góc độ quản trị, các mối đe dọa mạng đang đặt các cuộc thảo luận của ESG lên hàng đầu trong các cuộc họp hội đồng quản trị và các cuộc thảo luận C-suite trên toàn cầu.
Báo cáo những thay đổi mà các công ty Hoa Kỳ phải đối mặt có thể mở rộng đáng kể do gần đây sửa đổi quy tắc từ Chủ tịch Ủy ban Chứng khoán và Giao dịch, Gary Gensler. Các yêu cầu về báo cáo quản trị an ninh mạng tương tự như các yêu cầu về kiểm toán và báo cáo tài chính được quy định trong Đạo luật Sarbanes-Oxley năm 2002 (SOX) sẽ là một thành phần chính của các quy định mới.
Các yêu cầu quản trị SOX tập trung vào việc giúp bảo vệ các nhà đầu tư khỏi các báo cáo tài chính gian lận của các tập đoàn, trong khi quản trị an ninh mạng được thiết kế để cải thiện báo cáo về các vi phạm mạng mới và trước đây. Các chính sách và thủ tục hiện hành về quản trị công ty, rủi ro và tuân thủ (GRC) sẽ không đủ để giải quyết các quy tắc này.
Alla Valente, một nhà phân tích cấp cao tại Forrester, mô tả các sửa đổi quy định của SEC được đề xuất là “Sarbanes-Oxley light”. Các quy tắc đề xuất nêu rõ rằng các công ty cần phải báo cáo vật liệu Cô lưu ý, các sự cố an ninh mạng trong vòng bốn ngày kể từ ngày được xác định. Vấn đề là "vật liệu" không được xác định và thay đổi theo ngành, vì vậy các công ty vẫn phải phỏng đoán khi đồng hồ bắt đầu báo cáo sự cố. Điều này có thể dẫn đến cả báo cáo quá mức và báo cáo thiếu các sự cố mạng, cô nói.
Các biện pháp an ninh mạng cho ổ đĩa áp suất
Valente lưu ý rằng việc tuân thủ các quy tắc được đề xuất cũng có thể có tác động trực tiếp đến khả năng của doanh nghiệp trong việc mua bảo hiểm mạng. Mặc dù hiện tại hỗn loạn trong thị trường bảo hiểm mạng điều đó đang khiến giá cả tăng và phạm vi bảo hiểm giảm trong khi các công ty bảo hiểm mạng giảm hàng tồn kho, những thay đổi quy tắc này có khả năng làm tăng thêm áp lực lên các công ty trong việc thực hiện các biện pháp kiểm soát an ninh mạng mà họ có thể không thiết lập vào thời điểm này. Nó cũng sẽ yêu cầu nhiều thông tin hơn về các vi phạm trong quá khứ và cách chúng được quản lý và giảm thiểu.
Jason Hicks, lĩnh vực CISO tại công ty tư vấn an ninh mạng Coalfire, cho biết: “Vai trò mới của Ban lãnh đạo trong việc báo cáo và quản trị mạng, và trách nhiệm mới của ban quản trị trong việc làm sáng tỏ chuyên môn và giám sát của họ, sẽ thúc đẩy sự giám sát chặt chẽ hơn đối với các chương trình bảo mật doanh nghiệp.
“Điều này đặt CISO lên ghế nóng,” ông tiếp tục. “Nó cũng có khả năng thúc đẩy các hội đồng quản trị cố gắng bổ sung các giám đốc điều hành có kinh nghiệm về an ninh mạng vào nhóm của họ. Với số lượng nhỏ những người có trình độ hiện có, tôi cũng có thể thấy các hội đồng quản trị thuê chuyên gia tư vấn của riêng họ để tư vấn cho họ về rủi ro an ninh mạng và tính đầy đủ của chương trình bảo mật của công ty.
Hicks cho biết thêm: “Tất cả những lĩnh vực này sẽ cần được đưa vào phần quản trị trong phương pháp tiếp cận ESG của bạn. “Ban quản lý đã chịu trách nhiệm quản lý rủi ro an ninh mạng, vì vậy điều này không tạo ra một loại trách nhiệm hoàn toàn mới, mặc dù nó đang thực hiện một số thay đổi đối với gánh nặng và sự phức tạp.”
Các công ty xuyên quốc gia thực hiện sáng kiến
Hicks lưu ý rằng cách các tổ chức xem tính minh bạch và các chuẩn mực văn hóa của môi trường hoạt động của một công ty có thể ảnh hưởng đến cách họ phản ứng. "Các công ty đa quốc gia cần phải cân bằng cách tiếp cận của họ dựa trên các cách tiếp cận khác nhau trên toàn cầu."
Valente đồng ý. Người châu Âu có xu hướng chủ động hơn trong việc bảo vệ chống lại vi phạm dữ liệu so với các công ty Mỹ. Các quy tắc thay đổi có thể buộc các tổ chức trong nước phải chủ động hơn, đặc biệt là khi nói đến quản lý rủi ro của bên thứ ba, một biện pháp kiểm soát an ninh quan trọng.
“Một khi điều này trở thành cuối cùng, chúng tôi sẽ thấy nỗ lực để chủ động. Một số [tổ chức] sẽ tuân theo luật lệ và có thể thành công trong ngắn hạn, nhưng không đáng kể, ”Valente nói. “Những người khác sẽ tuân theo tinh thần của luật và sử dụng điều đó như một phương tiện để cải thiện, đa dạng hóa và biến việc quản lý rủi ro chủ động của [bên thứ ba] trở thành một phần của con người họ. Nó sẽ ăn sâu vào DNA công ty của họ. Đó là những tổ chức thực sự sẽ phát triển mạnh mẽ từ điều này. ”
Các công ty có thể bắt đầu
Steven Yadegari, Giám đốc điều hành của công ty tư vấn đầu tư FiSolve và là cựu cố vấn chung của công ty luật Cramer Rosenthal McGlynn, cho biết các thành viên hội đồng quản trị sẽ tìm kiếm báo cáo cụ thể về an ninh mạng. Điều này sẽ bao gồm các báo cáo hàng quý tập trung vào an ninh mạng và các cuộc họp với các cá nhân chịu trách nhiệm giám sát khu vực, chẳng hạn như CISO, dẫn đầu nỗ lực.
“Các quy tắc mới sẽ yêu cầu đánh giá rủi ro chính thức, các biện pháp kiểm soát cụ thể, các biện pháp giám sát và hệ thống báo cáo về các sự cố. Trong phạm vi một số lĩnh vực này không được đề cập trong các chương trình hiện có, hội đồng quản trị sẽ muốn hiểu cách các nhà quản lý dự định tuân thủ các yêu cầu tiềm năng này. Những cuộc trò chuyện đó nên được tiến hành và không nên đợi thông qua các quy tắc mới, ”Yadegari nói.
Nhiều công ty ngày nay đang quản lý cẩn thận hơn các nhà cung cấp của họ và giám sát các chính sách và thủ tục của họ, ông lưu ý. Điều này đặc biệt đúng đối với các nhà cung cấp dịch vụ bên thứ ba và các nhà cung cấp có thể có liên hệ với thông tin nhạy cảm của doanh nghiệp.
Yadegari nói: “Điều này giúp các công ty đảm bảo rằng họ có một chương trình an ninh mạng mạnh mẽ và chương trình quản lý rủi ro của bên thứ ba (TPRM).
Mặc dù ngôn ngữ cuối cùng của các thay đổi quy tắc SEC được đề xuất vẫn chưa được công khai, nhưng bạn có thể tìm thấy ngôn ngữ được đề xuất tại đây.
