就金融服务公司的合规性报告而言,环境、社会和治理 (ESG) 考虑几乎不是新话题,但网络安全漏洞对治理部分的影响很快就会在金融和非金融组织等机构中获得更高的关注度. 无论是从治理角度解决隐私问题、勒索软件的财务损失还是业务连续性,网络威胁都将 ESG 讨论置于全球董事会会议和高管讨论的最前沿。
美国公司面临的报告变化可能会显着扩大,因为最近 规则修改 来自美国证券交易委员会主席 Gary Gensler。 与 2002 年萨班斯-奥克斯利法案 (SOX) 中的审计和财务报告类似的网络安全治理报告要求将成为新法规的关键组成部分。
SOX 治理要求侧重于帮助保护投资者免受公司欺诈性财务报告的影响,而网络安全治理旨在改进对新的和过去的网络泄露事件的报告。 现有的公司治理、风险和合规 (GRC) 政策和程序不足以解决这些规则。
Forrester 的高级分析师 Alla Valente 将拟议的 SEC 监管修改描述为“萨班斯-奥克斯利法案”。 拟议规则规定公司需要报告 材料 她指出,在识别后四天内网络安全事件。 问题是“材料”没有定义并且因行业而异,因此公司只能猜测时钟何时开始报告事件。 她说,这可能导致网络事件的过度报告和报告不足。
压力推动网络安全措施
Valente 指出,遵守拟议规则也可能对企业获得网络保险的能力产生直接影响。 尽管目前 网络保险市场混乱 这会在网络保险公司减少库存的同时推高价格和降低覆盖率,这些规则变化可能会进一步增加公司实施网络安全控制的压力,否则他们此时可能不会实施这些控制。 它还需要更多关于过去违规行为以及如何管理和缓解这些违规行为的信息。
“管理层在报告和网络治理方面的新角色,以及董事会阐明其专业知识和监督的新责任,将推动对企业安全计划的额外审查,”网络安全咨询公司 Coalfire 的现场首席信息安全官 Jason Hicks 说。
“这让 CISO 处于热议席位,”他继续说道。 “这也可能促使董事会尝试将具有网络安全经验的高管加入他们的团队。 鉴于可用的合格人员数量很少,我还可以看到董事会聘请他们自己的顾问,就网络安全风险和公司安全计划的充分性向他们提供建议。
“所有这些领域都需要纳入 ESG 方法的治理部分,”希克斯补充道。 “管理层已经负责管理网络安全风险,因此这并没有创造一个全新的责任类别,尽管它正在对负担和复杂性做出一些改变。”
跨国公司采取主动
希克斯指出,组织看待透明度的方式和公司运营环境的文化规范会影响他们的反应方式。 “鉴于全球范围内的不同方法,跨国公司需要平衡他们的方法。”
瓦伦特同意。 与美国公司相比,欧洲人在防御数据泄露方面往往更加积极主动。 规则的变化可能会迫使国内组织更加积极主动,特别是在第三方风险管理方面,这是一项关键的安全控制。
“一旦这成为最终决定,我们将看到积极主动的努力。 一些 [组织] 将遵守法律条文,并可能在短期内取得成功,但幅度不大,”瓦伦特说。 “其他人将遵循法律精神,并以此作为改进、多样化和使积极的[第三方]风险管理成为他们的一部分的手段。 这将在他们的企业 DNA 中根深蒂固。 这些是真正会从中茁壮成长的组织。”
公司可以开始
投资咨询公司 FiSolve 的首席执行官、Cramer Rosenthal McGlynn 律师事务所的前总法律顾问 Steven Yadegari 表示,董事会成员将寻找有关网络安全的具体报告。 这将包括侧重于网络安全的季度报告,以及与负责监督该领域的个人(如牵头工作的 CISO)的会议。
“新规则将要求正式的风险评估、具体的控制、监控措施和事件报告系统。 如果现有计划中未涉及其中一些领域,董事会将希望了解管理人员打算如何遵守这些潜在要求。 这些对话应该正在进行中,不应该等待新规则的采用,”Yadegari 说。
他指出,今天的许多公司都更加谨慎地管理他们的供应商并监督他们的政策和程序。 对于可能与企业敏感信息有联系的第三方服务提供商和供应商尤其如此。
“公司应该确保他们拥有强大的网络安全计划和第三方风险管理 (TPRM) 计划,这反过来将为依赖其服务的公司提供安慰,”Yadegari 说。
虽然拟议的 SEC 规则变更的最终语言尚未公布,但可以找到拟议的语言 点击此处.
