Komise pro cenné papíry a burzy (SEC) schválila nový systém kybernetické bezpečnosti pravidla pro zveřejňování informací pro veřejně obchodované společnosti, která nabývá účinnosti 15. prosince 2023. Tato pravidla nařizují, aby společnosti ve svých výročních zprávách poskytovat komplexní informace o tom, jak posuzují, identifikují a řídí podstatná kybernetická bezpečnostní rizika (Formulář 10-K). Vyžadují, aby organizace nastínit roli představenstva při dohledu nad riziky kybernetické bezpečnosti. A konečně, Komise pro cenné papíry (SEC) vyžaduje, aby společnosti nahlásit významné kybernetické bezpečnostní incidenty do čtyř dnů (formulář 8-K).
Toto nařízení má významný dopad jak na společnosti, tak na ředitele pro informační bezpečnost (CISO). CISO jsou středem pozornosti a mají za úkol zajistit jasnou a rychlou komunikaci ohledně kybernetických bezpečnostních opatření a incidentů ve své společnosti. Tato zvýšená viditelnost vyžaduje, aby CISO podporovali silné komunikační kanály s vrcholovými manažery a členy představenstva. CISO musí také sladit strategie kybernetické bezpečnosti s obchodními cíli i regulačními požadavky.
Pro generální ředitele i členy představenstva společností toto nařízení upevňuje jejich zaměření na odolnost v oblasti kybernetické bezpečnosti v rámci správy a řízení společností. Jejich úkolem je aktivně se podílet na strategiích kybernetické bezpečnosti a dohlížet na ně. Představenstvo je nyní pověřeno nejen zajištěním dodržování předpisů, ale také efektivity programu kybernetické bezpečnosti své společnosti. Tato změna podtrhuje vyvíjející se roli správy a řízení společností v řízení kybernetických rizik. Zdůrazňuje rostoucí zájem investorů o to, jak jsou společnosti připraveny zvládat kybernetické hrozby a zmírňovat je.
Investoři se stále více obávají dopadů kybernetické bezpečnosti na své investice. To je způsobeno rostoucím počtem významných kybernetických incidentů, jako jsou útoky ransomwaru a úniky dat. Investoři upřednostňují kybernetickou bezpečnost vedle kritických environmentálních, sociálních a správních (ESG) otázek. To se odráží v Průzkum RBC o zodpovědném investování do globální správy aktivInvestoři hledají jasná, spolehlivá a užitečná data o kybernetické bezpečnosti, která by jim pomohla při rozhodování o investicích. Potřebují a chtějí jasné ukazatele odolnosti kybernetické bezpečnosti, aniž by museli mít hluboké technické znalosti v dané oblasti. Dobrá kybernetická bezpečnost není vnímána jen jako faktor zmírňování rizik, ale také jako ukazatel robustní správy a řízení společností a kvality řízení. Díky těmto vlastnostem jsou společnosti atraktivnější pro investice. Nástroje, které zahrnují metriky kybernetické bezpečnosti, se používají k hodnocení připravenosti společnosti na kybernetickou bezpečnost. V důsledku toho jsou si nejlepší ředitelé pro informační bezpečnost (CISO) těchto hodnocení investorů vědomi. Úspěšní CISO zajišťují, aby byla opatření jejich organizací v oblasti kybernetické bezpečnosti efektivně komunikována. Efektivní CISO zdůrazňují globální trendy, jako je větší transparentnost a odpovědnost v oblasti reportingu kybernetické bezpečnosti. To pomáhá uklidnit obavy investorů a investiční komunity.
Nové nařízení SEC o kybernetické bezpečnosti vyžaduje zapojení vrcholového vedení. Vedení společností se musí zapojit do strategického plánování zveřejňování informací o kybernetické bezpečnosti. Vedoucí oddělení pro informační zabezpečení (CISO) shromažďují vedení, aby se setkali a zhodnotili kybernetickou odolnost nebo kybernetickou připravenost ve svých firmách. Tato setkání vytvářejí kritické porozumění tomu, jak tato nařízení ovlivňují vaši společnost a její zainteresované strany. Těchto setkání se nejčastěji účastní CISO, generální právní zástupce, ředitel pro řízení rizik (pokud je přítomen), finanční ředitel a vedoucí oddělení pro vztahy s investory. Klíčové body diskuse se točí kolem toho, kdo vede úsilí o zveřejňování informací, a role CISO v hlášení rizik a incidentů. Diskuse musí stanovit a ratifikovat strategie spolupráce, komunikaci s investory a to, jak definovat „…“materiál„kybernetický incident týkající se provozu společnosti, který nyní vyžaduje hlášení v systému 8-K.“
Tato jednání musí ve vaší společnosti stanovit jasnou matici odpovědnosti týkající se zveřejňování informací o kybernetické bezpečnosti. Vedoucí oddělení informační bezpečnosti (CISO) musí také zajistit, aby byl jejich přístup ke kybernetické bezpečnosti efektivně sdělován investorům a splňoval jejich očekávání ohledně transparentnosti. a porozumění. Váš vedení musí také zvážit stávající komunikační strategie společnosti v oblasti kybernetických rizik. Musí určit, zda jsou nové metody, jako například samostatná zpráva o kybernetické bezpečnosti (roční audit třetí strany), oprávněné k jasnému sdělení jejich řízení těchto rizik. Nejde jen o dodržování předpisů; jde o vytvoření informovaného a uceleného externího a interního narativu o řízení kybernetické bezpečnosti. CISO hraje v tomto procesu zásadní, ale nikoli osamocenou roli. Výsledek těchto schůzek bude formovat pozici společnosti v oblasti kybernetické bezpečnosti a vztahy s investory do budoucna.
Podle nových požadavků SEC musí organizace zveřejnit řadu informací, které investorům pomohou porozumět jejich procesům řízení rizik v oblasti kybernetické bezpečnosti. Tyto informace zahrnují strategii organizace v oblasti kybernetické bezpečnosti a řízení rizik třetích stran. Rámec běžně používaný pro takové posouzení rizik je Rámec kybernetické bezpečnosti NIST (NSF). Alternativně některé společnosti používají Standard pro řízení rizik NIST 800-171 pro jejich strategii dodržování předpisů. Poté musí manažerský tým, včetně CIO, CISO, generálního ředitele, finančního ředitele a představenstva, vytvořit program podávání zpráv, který shrnuje dosažené cíle a zmírňování rizik pro společnost v porovnání s kontrolními mechanismy uvedenými v těchto metodách hodnocení.
Kromě toho se od společností očekává, že budou sdílet podrobnosti o klíčových zásadách, technických kontrolách a nezávislých bezpečnostních hodnoceních, jako je Certifikace SOC 2. V reportech jsou uvedeny metriky programu s podrobnými informacemi o jeho efektivitě a protokolech pro řízení incidentů. Pojištění kybernetické bezpečnosti je ověřováno, což pomáhá snižovat finanční rizika spojená s kybernetickými incidenty a zároveň pomáhá určit závažnost událostí a problémů v oblasti kybernetické bezpečnosti.
Ředitelé CISO mají za úkol shromažďovat tato data prostřednictvím kontroly dokumentů a konzultací se svými týmy kybernetické bezpečnosti a vrcholovými manažery. Vzhledem k tomu, že mnoho organizací nemusí mít snadný přístup ke všem těmto informacím, může být prospěšné vytvořit mezioborový tým, který by pomohl s procesem shromažďování informací. Můžete zavést CyberHoot a zaznamenávat metriky pro každého zaměstnance, který podepisuje své zásady řízení, dokončuje videozáznamy o školení a dokončuje simulace a testy phishingu. Konečným cílem je podat zprávu představenstvu, vrcholovým manažerům a „…rozumní investoři„vyprávění, které je přístupné a srozumitelné pro všechny.“
I když se společnosti, které vytvářejí své programy, mohou ptát, co dělají ostatní, je důležité vytvořit si vlastní program pro dodržování předpisů a podávání zpráv na základě vaší vlastní velikosti, kapacit a očekávání investorů. Existují zdroje centralizovaných shromážděných informací, které můžete prozkoumat pro vývoj vlastního programu. Například v roce 2022 analýza provedená Centrum EY pro záležitosti představenstva Zveřejnění informací o společnostech z žebříčku Fortune 100 odhalilo následující zvýšenou transparentnost v řízení kybernetických bezpečnostních rizik.
Navzdory dřívějším zveřejněním vyžadují nové předpisy SEC týkající se kybernetické bezpečnosti zavedení podrobných a potenciálně transformačních postupů podávání zpráv, počínaje veřejně obchodovanými společnostmi. Přestože se pravidla primárně zaměřují na veřejně obchodované společnosti, měly by se s těmito novými pravidly seznámit i další soukromé a menší společnosti a začít s přípravou a monitorováním svých operací z hlediska vlastní odolnosti a připravenosti v oblasti kybernetické bezpečnosti.
Společnosti se musí potýkat s výzvou určit, co představuje „materiál„kybernetický bezpečnostní incident pro účely zveřejnění, jak to vyžaduje SEC. Podstatný incident je SEC definován jako „takový, který by rozumný investor při investičním rozhodování považoval za důležitý"Toto určení jde nad rámec finančních prahů a zohledňuje kvantitativní i kvalitativní data. Zahrnuje incidenty vedoucí k poškození pověsti nebo krádeži informací, které sice nejsou finančně kvantifikovatelné, ale mají významný dopad na jednotlivce nebo společnost.
Komise pro cenné papíry a burzy (SEC) navrhuje, že ačkoli se běžně zohledňuje finanční dopad, měl by se hodnotit i rozsah a povaha škody. Pro důkladné pochopení potenciálních dopadů se společnostem doporučuje provést finanční kvantifikaci kybernetických rizik. Tato analýza může odhalit slabiny programu, investiční potřeby a strategie pro zmírnění rizik.
Vedoucí oddělení informační bezpečnosti (CISO), ačkoli obvykle nejsou konečnými arbitry v otázce závažnosti, by měli být hluboce zapojeni do procesu hodnocení a do navrhování proaktivních strategií pro nápravu rizik. Závažnost incidentů by měla být určována individuálně prostřednictvím právního poradce, generálního ředitele a představenstva. Rozhodnutí o závažnosti musí zohlednit konkrétní okolnosti a potenciální důsledky pro společnost a její zainteresované strany.
Komise pro cenné papíry a burzy (SEC) stanoví specifické požadavky na zveřejňování informací o kybernetických rizikech třetích stran a uznává jejich značný potenciál pro vznik kybernetických bezpečnostních incidentů. Vzhledem k tomu, že stále více společností zadává úkoly externím dodavatelům za účelem zvýšení efektivity a konkurenceschopnosti, rizika plynoucí ze zranitelností třetích stran a dodavatelského řetězce se stupňovala. Vedoucím oddělení informačních technologií (CISO) se doporučuje, aby zavedli robustní strategii pro kybernetická rizika třetích stran, která zahrnuje identifikaci a stanovení priorit partnerských třetích stran (často na základě důležitosti dat, která obsahují nebo ke kterým mají přístup), provádění kybernetických hodnocení na základě rizik a průběžné monitorování těchto subjektů z hlediska nových hrozeb. Důkladný program je nezbytný pro to, aby zúčastněné strany zajistily efektivní řízení rizik a dodržování požadavků SEC na zveřejňování informací.
Tento vývoj zdůrazňuje strategický význam kybernetické bezpečnosti v řízení společností a potřebu, aby vedení bylo dobře informované a proaktivní v oblasti dohledu nad kybernetickou bezpečností. Naznačuje také trend směrem k větší transparentnosti v tom, jak společnosti řídí a vykazují kybernetickou bezpečnost, s důrazem na vytváření robustní kultury bezpečnosti, která je v souladu se zájmy investorů a očekáváními regulačních orgánů.
Zdroje:
https://www.sec.gov/news/press-release/2023-139
Objevte a sdílejte nejnovější trendy, tipy a osvědčené postupy v oblasti kybernetické bezpečnosti – a také nové hrozby, na které si dát pozor.
Praktický shrnutí pro vCISO VAROVÁNÍ, KTERÉ JSME IGNOROVALI NEBO JEM NEDOKÁZELI POCHOPIT Po léta nejdůvěryhodnější...
Více informací
Průvodce, jak odhalit podvody s vydáváním se za vrcholového manažera dříve, než falešný generální ředitel získá skutečný bankovní převod. Je to...
Více informací
Umělá inteligence (nebo AI) dělá phishingové e-maily chytřejšími, malware zákeřnějším a krádež přihlašovacích údajů snazší...
Více informacíZískejte bystřejší pohled na lidská rizika s pozitivním přístupem, který překonává tradiční phishingové testování.
