Η Επιτροπή Κεφαλαιαγοράς των ΗΠΑ (SEC) θέσπισε νέα μέτρα κυβερνοασφάλειας κανόνες γνωστοποίησης για εισηγμένες στο χρηματιστήριο εταιρείες, η οποία τίθεται σε ισχύ στις 15 Δεκεμβρίου 2023. Αυτοί οι κανόνες ορίζουν ότι οι εταιρείες παρέχουν αναλυτικές λεπτομέρειες σχετικά με τον τρόπο με τον οποίο αξιολογούν, εντοπίζουν και διαχειρίζονται τους ουσιώδεις κινδύνους κυβερνοασφάλειας στις ετήσιες εκθέσεις τους (Έντυπο 10-K). Απαιτούν από τους οργανισμούς να να περιγράψετε τον ρόλο του διοικητικού συμβουλίου στην εποπτεία των κινδύνων κυβερνοασφάλειας. Τέλος, Η Επιτροπή Κεφαλαιαγοράς (SEC) απαιτεί από τις εταιρείες να να αναφέρετε σημαντικά περιστατικά κυβερνοασφάλειας εντός τεσσάρων ημερών (Έντυπο 8-K).
Αυτός ο κανονισμός έχει σημαντικό αντίκτυπο τόσο στις εταιρείες όσο και στους Διευθυντές Ασφάλειας Πληροφοριών (CISO). Οι CISO βρίσκονται στο προσκήνιο, επιφορτισμένοι με τη διασφάλιση σαφούς και άμεσης επικοινωνίας σχετικά με τα μέτρα και τα περιστατικά κυβερνοασφάλειας της εταιρείας τους. Αυτή η αυξημένη προβολή απαιτεί από τους CISO να καλλιεργήσουν ισχυρά κανάλια επικοινωνίας με τα ανώτερα στελέχη και τα μέλη του διοικητικού συμβουλίου. Οι CISO πρέπει επίσης να ευθυγραμμίζουν τις στρατηγικές κυβερνοασφάλειας τόσο με τους επιχειρηματικούς στόχους όσο και με τις κανονιστικές απαιτήσεις.
Για τους Διευθύνοντες Συμβούλους των εταιρειών και τα μέλη των Διοικητικών Συμβουλίων, ο κανονισμός ενισχύει την εστίασή τους στην ανθεκτικότητα στον κυβερνοχώρο στο πλαίσιο της εταιρικής διακυβέρνησης. Έχουν αναλάβει την ενεργό συμμετοχή και την εποπτεία των στρατηγικών κυβερνοασφάλειας. Το Διοικητικό Συμβούλιο είναι πλέον επιφορτισμένο με τη διασφάλιση όχι μόνο της συμμόρφωσης αλλά και της αποτελεσματικότητας του προγράμματος κυβερνοασφάλειας της εταιρείας τους. Αυτή η μετατόπιση υπογραμμίζει τον εξελισσόμενο ρόλο της εταιρικής διακυβέρνησης στη διαχείριση των κυβερνοκινδύνων. Υπογραμμίζει το αυξανόμενο ενδιαφέρον των επενδυτών για τον τρόπο με τον οποίο οι εταιρείες είναι προετοιμασμένες να χειριστούν και να μετριάσουν τις κυβερνοαπειλές.
Οι επενδυτές ανησυχούν ολοένα και περισσότερο για τις επιπτώσεις της κυβερνοασφάλειας στις επενδύσεις τους. Αυτό έχει ωθηθεί από τον αυξανόμενο αριθμό περιστατικών στον κυβερνοχώρο υψηλού προφίλ, όπως επιθέσεις ransomware και παραβιάσεις δεδομένων. Οι επενδυτές δίνουν προτεραιότητα στην κυβερνοασφάλεια παράλληλα με κρίσιμα περιβαλλοντικά, κοινωνικά και διακυβερνητικά (ESG) ζητήματα. Αυτό αντικατοπτρίζεται στο Παγκόσμια Έρευνα Υπεύθυνων Επενδύσεων για τη Διαχείριση Περιουσιακών Στοιχείων της RBCΟι επενδυτές αναζητούν σαφή, αξιόπιστα και εφαρμόσιμα δεδομένα κυβερνοασφάλειας για να ενημερώνουν τις επενδυτικές τους αποφάσεις. Χρειάζονται και επιθυμούν σαφείς δείκτες ανθεκτικότητας στον κυβερνοχώρο, χωρίς να χρειάζεται να διαθέτουν βαθιά τεχνική γνώση του τομέα. Η καλή κυβερνοασφάλεια δεν θεωρείται μόνο ως παράγοντας μετριασμού του κινδύνου, αλλά και ως δείκτης ισχυρής εταιρικής διακυβέρνησης και ποιότητας διαχείρισης. Αυτές οι ιδιότητες καθιστούν τις εταιρείες πιο ελκυστικές για επενδύσεις. Εργαλεία που ενσωματώνουν μετρήσεις κυβερνοασφάλειας χρησιμοποιούνται για την αξιολόγηση της ετοιμότητας μιας εταιρείας για την κυβερνοασφάλεια. Κατά συνέπεια, οι καλύτεροι Διευθυντές Ασφάλειας Πληροφοριών (CISO) γνωρίζουν αυτές τις αξιολογήσεις των επενδυτών. Οι επιτυχημένοι CISO διασφαλίζουν ότι τα μέτρα κυβερνοασφάλειας των οργανισμών τους κοινοποιούνται αποτελεσματικά. Οι αποτελεσματικοί CISO επισημαίνουν παγκόσμιες τάσεις, όπως η μεγαλύτερη διαφάνεια και λογοδοσία στην αναφορά για την κυβερνοασφάλεια. Αυτό βοηθά στην ηρεμία των ανησυχιών των επενδυτών και της επενδυτικής κοινότητας.
Ο νέος κανονισμός της Επιτροπής Κεφαλαιαγοράς (SEC) για την κυβερνοασφάλεια απαιτεί τη συμμετοχή της ανώτερης ηγεσίας. Η ηγεσία των εταιρειών πρέπει να συμμετέχει στη χάραξη στρατηγικής σχετικά με τις γνωστοποιήσεις κυβερνοασφάλειας. Οι CISO φέρνουν σε επαφή την ηγεσία για να συναντηθούν και να εξετάσουν την ανθεκτικότητα ή την ετοιμότητα στον κυβερνοχώρο στις εταιρείες τους. Αυτές οι συναντήσεις δημιουργούν κριτική κατανόηση σχετικά με το πώς αυτοί οι κανονισμοί επηρεάζουν την εταιρεία σας και τα ενδιαφερόμενα μέρη της. Αυτές οι συναντήσεις περιλαμβάνουν συχνότερα τον CISO, τον Γενικό Σύμβουλο, έναν Chief Risk Officer (εάν υπάρχει), τον CFO και τον επικεφαλής των Επενδυτικών Σχέσεων. Τα βασικά σημεία συζήτησης περιστρέφονται γύρω από το ποιος ηγείται των προσπαθειών γνωστοποίησης και τον ρόλο του CISO στην αναφορά κινδύνων και συμβάντων. Οι συζητήσεις πρέπει να χαράξουν και να επικυρώσουν στρατηγικές συνεργασίας, επικοινωνίες με τους επενδυτές και πώς να ορίσουν ένα «υλικό«Κυβερνοπεριστατικό σχετικά με τις δραστηριότητες της εταιρείας που απαιτεί πλέον αναφορά στο 8-K.»
Αυτές οι συζητήσεις πρέπει να καθιερώσουν έναν σαφή πίνακα ευθυνών εντός της εταιρείας σας σχετικά με τις γνωστοποιήσεις κυβερνοασφάλειας. Οι CISO πρέπει επίσης να διασφαλίζουν ότι η προσέγγισή τους στην κυβερνοασφάλεια κοινοποιείται αποτελεσματικά στους επενδυτές, ανταποκρινόμενοι στις προσδοκίες τους για διαφάνεια. κατανόηση. Η ηγετική σας ομάδα πρέπει επίσης να λάβει υπόψη τις υπάρχουσες στρατηγικές επικοινωνίας της εταιρείας σχετικά με τον κυβερνοκίνδυνο. Πρέπει να καθορίσουν εάν οι νέες μέθοδοι, όπως μια αυτόνομη έκθεση κυβερνοασφάλειας (ετήσιος έλεγχος από τρίτο μέρος), είναι απαραίτητες για να μεταδώσουν με σαφήνεια τη διακυβέρνηση τέτοιων κινδύνων. Δεν πρόκειται μόνο για συμμόρφωση· πρόκειται για τη διαμόρφωση μιας ενημερωμένης, συνεκτικής εξωτερικής και εσωτερικής αφήγησης σχετικά με τη διακυβέρνηση της κυβερνοασφάλειας. Ο CISO διαδραματίζει ζωτικό αλλά όχι μοναδικό ρόλο σε αυτή τη διαδικασία. Το αποτέλεσμα αυτών των συναντήσεων θα διαμορφώσει τη στάση της εταιρείας στον κυβερνοχώρο και τις σχέσεις με τους επενδυτές στο μέλλον.
Σύμφωνα με τις νέες απαιτήσεις της Επιτροπής Κεφαλαιαγοράς (SEC), οι οργανισμοί πρέπει να αποκαλύπτουν μια σειρά πληροφοριών που βοηθούν τους επενδυτές να κατανοήσουν τις διαδικασίες διαχείρισης κινδύνων στον κυβερνοχώρο. Αυτές οι πληροφορίες περιλαμβάνουν τη στρατηγική κυβερνοασφάλειας του οργανισμού και τη διαχείριση κινδύνων από τρίτους. Ένα πλαίσιο που χρησιμοποιείται συνήθως για τέτοιες αξιολογήσεις κινδύνου είναι το Πλαίσιο Κυβερνοασφάλειας NIST (NSF). Εναλλακτικά, ορισμένες εταιρείες χρησιμοποιούν το Πρότυπο Διαχείρισης Κινδύνου NIST 800-171 για τη στρατηγική συμμόρφωσής τους. Στη συνέχεια, η ομάδα διοίκησης, συμπεριλαμβανομένων των CIO, CISO, Διευθύνοντος Συμβούλου, Οικονομικού Διευθυντή και διοικητικού συμβουλίου, πρέπει να δημιουργήσει ένα πρόγραμμα αναφοράς που να περιγράφει την επίτευξη και τον μετριασμό του κινδύνου για την εταιρεία σε σχέση με τους ελέγχους που περιγράφονται σε αυτές τις μεθόδους αξιολόγησης.
Επιπλέον, οι εταιρείες αναμένεται να κοινοποιούν λεπτομέρειες σχετικά με βασικές πολιτικές, τεχνικούς ελέγχους, ανεξάρτητες αξιολογήσεις ασφαλείας, όπως Πιστοποιήσεις SOC 2. Αναφέρονται μετρήσεις του προγράμματος που περιγράφουν λεπτομερώς την αποτελεσματικότητα του προγράμματος και τα πρωτόκολλα διαχείρισης συμβάντων. Η ασφαλιστική κάλυψη στον κυβερνοχώρο επικυρώνεται, συμβάλλοντας στη μείωση του οικονομικού κινδύνου από κυβερνοσυμβάντα, ενώ παράλληλα συμβάλλει στον προσδιορισμό της σημαντικότητας των συμβάντων και των ζητημάτων κυβερνοασφάλειας.
Οι CISO έχουν την ευθύνη της συλλογής αυτών των δεδομένων μέσω ανασκοπήσεων εγγράφων και διαβουλεύσεων με τις ομάδες κυβερνοασφάλειας και τα ανώτερα στελέχη τους. Δεδομένου ότι πολλοί οργανισμοί ενδέχεται να μην έχουν άμεση πρόσβαση σε όλες αυτές τις πληροφορίες, μπορεί να είναι ωφέλιμο να σχηματιστεί μια διαλειτουργική ομάδα για να βοηθήσει στη διαδικασία συλλογής πληροφοριών. Θα μπορούσατε να υιοθετήσετε το CyberHoot και να καταγράψετε μετρήσεις για κάθε υπάλληλο που υπογράφει τις πολιτικές διακυβέρνησής του, ολοκληρώνει αναθέσεις βίντεο εκπαίδευσης ευαισθητοποίησης και ολοκληρώνει προσομοιώσεις και δοκιμές ηλεκτρονικού "ψαρέματος" (phishing). Ο απώτερος στόχος είναι να υποβληθεί αναφορά στο Διοικητικό Συμβούλιο, σε στελέχη C-Level και σε...λογικοί επενδυτές«μια αφήγηση που είναι προσβάσιμη και κατανοητή από όλους».
Ενώ οι εταιρείες που αναπτύσσουν τα προγράμματά τους μπορεί να αναρωτιούνται τι κάνουν οι άλλοι, είναι σημαντικό να δημιουργήσετε το δικό σας πρόγραμμα συμμόρφωσης και αναφοράς με βάση το δικό σας μέγεθος, τις δυνατότητές σας και τις προσδοκίες των επενδυτών. Υπάρχουν πηγές συγκεντρωτικών πληροφοριών που συλλέγονται και τις οποίες μπορείτε να εξετάσετε για την ανάπτυξη του δικού σας προγράμματος. Για παράδειγμα, το 2022, μια ανάλυση από την EY Κέντρο για θέματα Διοικητικού Συμβουλίου Στις γνωστοποιήσεις εταιρειών του Fortune 100, αποκαλύφθηκε η ακόλουθη αυξημένη διαφάνεια στη διαχείριση κινδύνων στον κυβερνοχώρο.
Παρά τις προηγούμενες γνωστοποιήσεις, οι νέοι κανονισμοί της Επιτροπής Κεφαλαιαγοράς (SEC) για την κυβερνοασφάλεια απαιτούν την υιοθέτηση λεπτομερών και δυνητικά μετασχηματιστικών πρακτικών αναφοράς, ξεκινώντας από τις εισηγμένες στο χρηματιστήριο εταιρείες. Παρά το γεγονός ότι οι κανόνες στοχεύουν κυρίως σε εισηγμένες στο χρηματιστήριο εταιρείες, άλλες ιδιωτικές και μικρότερες εταιρείες θα πρέπει να εξοικειωθούν με αυτούς τους νέους κανόνες και να αρχίσουν να προετοιμάζονται και να παρακολουθούν τις δραστηριότητές τους για τη δική τους ανθεκτικότητα και ετοιμότητα στον τομέα της κυβερνοασφάλειας.
Οι εταιρείες πρέπει να αντιμετωπίσουν την πρόκληση του προσδιορισμού του τι συνιστά «υλικό«συμβάν κυβερνοασφάλειας για σκοπούς γνωστοποίησης, όπως απαιτείται από την Επιτροπή Κεφαλαιαγοράς των ΗΠΑ (SEC). Ένα ουσιώδες συμβάν ορίζεται από την Επιτροπή Κεφαλαιαγοράς ως «κάτι που θα θεωρούνταν σημαντικό από έναν λογικό επενδυτή που λαμβάνει επενδυτική απόφαση"Αυτή η απόφαση υπερβαίνει τα οικονομικά όρια και λαμβάνει υπόψη τόσο ποσοτικά όσο και ποιοτικά δεδομένα. Περιλαμβάνει περιστατικά που έχουν ως αποτέλεσμα βλάβη στη φήμη ή κλοπή πληροφοριών, τα οποία, αν και δεν είναι οικονομικά ποσοτικοποιήσιμα, έχουν σημαντικό αντίκτυπο σε άτομα ή στην εταιρεία.
Η Επιτροπή Κεφαλαιαγοράς των ΗΠΑ (SEC) προτείνει ότι, ενώ οι οικονομικές επιπτώσεις λαμβάνονται συνήθως υπόψη, θα πρέπει επίσης να αξιολογούνται το εύρος και η φύση της ζημίας. Για την πλήρη κατανόηση των πιθανών επιπτώσεων, οι εταιρείες ενθαρρύνονται να πραγματοποιούν οικονομική ποσοτικοποίηση των κινδύνων στον κυβερνοχώρο. Αυτή η ανάλυση μπορεί να αποκαλύψει αδυναμίες του προγράμματος, επενδυτικές ανάγκες και στρατηγικές μετριασμού του κινδύνου.
Οι CISO, αν και συνήθως δεν είναι οι τελικοί κριτές της ουσιαστικότητας, θα πρέπει να συμμετέχουν ενεργά στη διαδικασία αξιολόγησης και στη χάραξη προληπτικών στρατηγικών αποκατάστασης κινδύνων. Η ουσιαστικότητα των περιστατικών θα πρέπει να καθορίζεται κατά περίπτωση μέσω νομικών συμβούλων, του Διευθύνοντος Συμβούλου και του Διοικητικού Συμβουλίου. Η απόφαση για την ουσιαστικότητα πρέπει να λαμβάνει υπόψη τις συγκεκριμένες περιστάσεις και τις πιθανές επιπτώσεις για την εταιρεία και τα ενδιαφερόμενα μέρη της.
Η Επιτροπή Κεφαλαιαγοράς (SEC) επιβάλλει συγκεκριμένες απαιτήσεις γνωστοποίησης για τους κινδύνους στον κυβερνοχώρο τρίτων, αναγνωρίζοντας τη σημαντική δυνατότητά τους να προκαλέσουν περιστατικά κυβερνοασφάλειας. Καθώς περισσότερες εταιρείες αναθέτουν σε προμηθευτές για την επίτευξη αποδοτικότητας και ανταγωνιστικών κερδών, οι κίνδυνοι από τα τρωτά σημεία τρίτων και την εφοδιαστική αλυσίδα έχουν κλιμακωθεί. Οι CISOs καλούνται να θεσπίσουν μια ισχυρή στρατηγική για τους κινδύνους στον κυβερνοχώρο τρίτων, η οποία περιλαμβάνει τον εντοπισμό και την ιεράρχηση προτεραιοτήτων σε τρίτους συνεργάτες (συχνά με βάση την κρισιμότητα των δεδομένων που περιέχουν ή έχουν πρόσβαση), τη διενέργεια αξιολογήσεων στον κυβερνοχώρο βάσει κινδύνου και τη συνεχή παρακολούθηση αυτών των οντοτήτων για νέες απειλές. Ένα διεξοδικό πρόγραμμα είναι απαραίτητο για τους CISOs, ώστε να διασφαλίσουν τα ενδιαφερόμενα μέρη για αποτελεσματική διαχείριση κινδύνων και συμμόρφωση με τις απαιτήσεις γνωστοποίησης της SEC.
Αυτές οι εξελίξεις υπογραμμίζουν τη στρατηγική σημασία της κυβερνοασφάλειας στην εταιρική διακυβέρνηση και την ανάγκη η ηγεσία να είναι καλά ενημερωμένη και προνοητική στην εποπτεία της κυβερνοασφάλειας. Υποδεικνύουν επίσης μια τάση προς μεγαλύτερη διαφάνεια στον τρόπο με τον οποίο οι εταιρείες διαχειρίζονται και αναφέρουν την κυβερνοασφάλεια, με έμφαση στη δημιουργία μιας ισχυρής κουλτούρας ασφάλειας που ευθυγραμμίζεται με τα συμφέροντα των επενδυτών και τις ρυθμιστικές προσδοκίες.
Πηγές:
https://www.sec.gov/news/press-release/2023-139
Ανακαλύψτε και μοιραστείτε τις τελευταίες τάσεις, συμβουλές και βέλτιστες πρακτικές στον τομέα της κυβερνοασφάλειας – μαζί με νέες απειλές που πρέπει να προσέξετε.
Μια πρακτική ενημέρωση για vCISOs Η ΠΡΟΕΙΔΟΠΟΙΗΣΗ ΠΟΥ ΑΓΝΟΗΣΑΜΕ Ή ΔΕΝ ΜΠΟΡΟΥΣΑΜΕ ΝΑ ΚΑΤΑΛΑΒΟΥΜΕ Για χρόνια, η πιο αξιόπιστη...
Διαβάστε περισσότερα
Ένας οδηγός για τον εντοπισμό απάτης πλαστοπροσωπίας ανώτερων στελεχών πριν ο ψεύτικος διευθύνων σύμβουλος λάβει ένα πραγματικό τραπεζικό έμβασμα. Αυτό...
Διαβάστε περισσότερα
Η Τεχνητή Νοημοσύνη (ή AI) κάνει τα email ηλεκτρονικού "ψαρέματος" (phishing) πιο έξυπνα, το κακόβουλο λογισμικό πιο ύπουλο και την κλοπή διαπιστευτηρίων ευκολότερη...
Διαβάστε περισσότεραΑποκτήστε πιο οξυδερκή εικόνα των ανθρώπινων κινδύνων, με τη θετική προσέγγιση που υπερτερεί των παραδοσιακών δοκιμών ηλεκτρονικού "ψαρέματος" (phishing).
