La SEC ha emanato nuove misure di sicurezza informatica regole di divulgazione per le società quotate in borsa, che entrerà in vigore il 15 dicembre 2023. Queste regole impongono alle società fornire dettagli completi su come valutano, identificano e gestiscono i rischi materiali per la sicurezza informatica nei loro rapporti annuali (Modulo 10-K). Richiedono alle organizzazioni di delineare il ruolo del consiglio nella supervisione dei rischi per la sicurezza informatica. Infine, la SEC richiede alle aziende di segnalare incidenti significativi di sicurezza informatica entro quattro giorni (Modulo 8-K).
Questa normativa ha un impatto significativo sia sulle aziende che sui Chief Information Security Officer (CISO). I CISO sono al centro dell'attenzione, con il compito di garantire una comunicazione chiara e tempestiva in merito alle misure e agli incidenti di sicurezza informatica della propria azienda. Questa maggiore visibilità richiede ai CISO di promuovere solidi canali di comunicazione con i dirigenti di alto livello e i membri del consiglio di amministrazione. I CISO devono inoltre allineare le strategie di sicurezza informatica sia agli obiettivi aziendali che ai requisiti normativi.
Sia per gli amministratori delegati che per i membri del consiglio di amministrazione, il regolamento consolida l'attenzione alla resilienza della sicurezza informatica nell'ambito della governance aziendale. A loro è affidato il compito di partecipare attivamente e supervisionare le strategie di sicurezza informatica. Il consiglio di amministrazione ha ora il compito di garantire non solo la conformità, ma anche l'efficacia del programma di sicurezza informatica aziendale. Questo cambiamento sottolinea il ruolo in evoluzione della governance aziendale nella gestione dei rischi informatici e il crescente interesse degli investitori per il modo in cui le aziende sono preparate a gestire e mitigare le minacce informatiche.
Gli investitori sono sempre più preoccupati per le implicazioni della sicurezza informatica sui loro investimenti. Questa preoccupazione è stata alimentata dal crescente numero di incidenti informatici di alto profilo, come attacchi ransomware e violazioni dei dati. Gli investitori danno priorità alla sicurezza informatica, accanto a questioni ambientali, sociali e di governance (ESG). Questo si riflette in Sondaggio sugli investimenti responsabili di RBC Global Asset ManagementGli investitori cercano dati sulla sicurezza informatica chiari, affidabili e fruibili per orientare le proprie decisioni di investimento. Hanno bisogno e desiderano indicatori chiari di resilienza della sicurezza informatica senza dover possedere una profonda conoscenza tecnica del settore. Una buona sicurezza informatica non è vista solo come un fattore di mitigazione del rischio, ma anche come indicatore di una solida governance aziendale e di una buona qualità gestionale. Queste qualità rendono le aziende più attraenti per gli investimenti. Strumenti che incorporano metriche di sicurezza informatica vengono utilizzati per valutare la preparazione di un'azienda in materia di sicurezza informatica. Di conseguenza, i migliori Chief Information Security Officer (CISO) sono a conoscenza di queste valutazioni degli investitori. I CISO di successo garantiscono che le misure di sicurezza informatica delle proprie organizzazioni siano comunicate in modo efficace. I CISO efficaci evidenziano tendenze globali come una maggiore trasparenza e responsabilità nel reporting sulla sicurezza informatica. Questo contribuisce a calmare le preoccupazioni degli investitori e della comunità degli investitori.
La nuova normativa sulla sicurezza informatica della SEC richiede il coinvolgimento dei vertici aziendali. I vertici aziendali devono essere coinvolti nella definizione delle strategie relative alle informative sulla sicurezza informatica. I CISO stanno riunendo i vertici per incontrarsi e valutare la resilienza informatica o la preparazione informatica delle proprie aziende. Questi incontri creano una comprensione critica dell'impatto di queste normative sulla vostra azienda e sui suoi stakeholder. Questi incontri spesso coinvolgono il CISO, il General Counsel, un Chief Risk Officer (se presente), il CFO e il responsabile delle Relazioni con gli Investitori. I punti chiave della discussione ruotano attorno a chi guida le attività di informativa e al ruolo del CISO nella segnalazione di rischi e incidenti. Le discussioni devono definire e ratificare le strategie di collaborazione, le comunicazioni con gli investitori e come definire un "materiale"incidente informatico relativo alle operazioni aziendali che ora richiede la segnalazione nell'8-K.
Queste discussioni devono stabilire una chiara matrice di responsabilità all'interno dell'azienda in merito alle informative sulla sicurezza informatica. I CISO devono inoltre garantire che il loro approccio alla sicurezza informatica venga comunicato in modo efficace agli investitori, soddisfacendo le loro aspettative di trasparenza. e Comprensione. Il team dirigenziale deve anche considerare le strategie di comunicazione aziendali esistenti in materia di rischio informatico. Deve valutare se siano necessari nuovi metodi, come un report sulla sicurezza informatica indipendente (audit annuale di terze parti), per comunicare in modo chiaro la governance di tali rischi. Non si tratta solo di conformità; si tratta di elaborare una narrazione esterna e interna informata e coerente sulla governance della sicurezza informatica. Il CISO svolge un ruolo fondamentale, ma non isolato, in questo processo. L'esito di questi incontri definirà la strategia di sicurezza informatica dell'azienda e le relazioni con gli investitori in futuro.
In base ai nuovi requisiti della SEC, le organizzazioni devono divulgare una serie di informazioni che aiutino gli investitori a comprendere i propri processi di gestione del rischio informatico. Queste informazioni includono la strategia di sicurezza informatica dell'organizzazione e la gestione del rischio di terze parti. Un framework comunemente utilizzato per tali valutazioni del rischio è il Quadro normativo sulla sicurezza informatica del NIST (NSF). In alternativa, alcune aziende utilizzano il Standard di gestione del rischio NIST 800-171 per la loro strategia di conformità. Successivamente, il team di gestione, inclusi CIO, CISO, CEO, CFO e consiglio di amministrazione, deve creare un programma di reporting che delinei il raggiungimento e la mitigazione del rischio per l'azienda rispetto ai controlli delineati in questi metodi di valutazione.
Inoltre, ci si aspetta che le aziende condividano dettagli sulle politiche chiave, sui controlli tecnici e sulle valutazioni di sicurezza indipendenti come Certificazioni SOC 2. Vengono riportate metriche del programma che ne descrivono l'efficacia e i protocolli di gestione degli incidenti. La copertura assicurativa contro i rischi informatici viene convalidata, contribuendo a ridurre il rischio finanziario derivante da incidenti informatici e a determinare la rilevanza di eventi e problemi di sicurezza informatica.
I CISO hanno il compito di raccogliere questi dati attraverso la revisione dei documenti e le consultazioni con i team di sicurezza informatica e i dirigenti senior. Poiché molte organizzazioni potrebbero non avere accesso immediato a tutte queste informazioni, potrebbe essere utile formare un team interfunzionale per facilitare il processo di raccolta delle informazioni. Potresti adottare CyberHoot e acquisire metriche per ogni dipendente che approva le proprie policy di governance, completa i video di formazione sulla consapevolezza e completa simulazioni e test di phishing. L'obiettivo finale è quello di riferire al Consiglio di Amministrazione, ai dirigenti di alto livello e a "investitori ragionevoli" una narrazione accessibile e comprensibile a tutti.
Sebbene le aziende che sviluppano i propri programmi possano chiedersi cosa stiano facendo gli altri, è importante sviluppare un proprio programma di conformità e reporting basato sulle proprie dimensioni, capacità e aspettative degli investitori. Esistono fonti di informazioni centralizzate che è possibile consultare per lo sviluppo del proprio programma. Ad esempio, nel 2022, un'analisi condotta da Centro EY per le questioni relative ai consigli di amministrazione dalle informative delle aziende Fortune 100 è emerso quanto segue: maggiore trasparenza nella gestione dei rischi per la sicurezza informatica.
Nonostante le precedenti divulgazioni, le nuove normative sulla sicurezza informatica della SEC richiedono l'adozione di pratiche di reporting dettagliate e potenzialmente trasformative a partire dalle società quotate in borsa. Nonostante le norme siano rivolte principalmente alle società quotate in borsa, anche altre società private e di piccole dimensioni dovrebbero familiarizzare con queste nuove norme e iniziare a preparare e monitorare le proprie operazioni per garantire la propria resilienza e preparazione in materia di sicurezza informatica.
Le aziende devono confrontarsi con la sfida di determinare cosa costituisce un “materiale"incidente di sicurezza informatica ai fini della divulgazione, come richiesto dalla SEC. Un incidente rilevante è definito dalla SEC come "uno che sarebbe considerato importante da un investitore ragionevole che prende una decisione di investimento"Questa determinazione va oltre le soglie finanziarie e considera dati sia quantitativi che qualitativi. Include incidenti che comportano danni alla reputazione o furto di informazioni che, sebbene non quantificabili finanziariamente, hanno un impatto significativo sulle persone o sull'azienda.
La SEC suggerisce che, sebbene l'impatto finanziario sia comunemente considerato, anche la portata e la natura del danno dovrebbero essere valutate. Per una comprensione approfondita dei potenziali impatti, le aziende sono incoraggiate a effettuare una quantificazione finanziaria dei rischi informatici. Questa analisi può rivelare debolezze dei programmi, esigenze di investimento e strategie di mitigazione del rischio.
I CISO, pur non essendo tipicamente gli arbitri finali della materialità, dovrebbero essere profondamente coinvolti nel processo di valutazione e nell'elaborazione di strategie proattive di rimedio al rischio. La materialità degli incidenti dovrebbe essere valutata caso per caso, avvalendosi di consulenti legali, dell'Amministratore Delegato e del Consiglio di Amministrazione. La decisione sulla materialità deve tenere conto delle circostanze specifiche e delle potenziali implicazioni per l'azienda e i suoi stakeholder.
La SEC impone obblighi di informativa specifici per i rischi informatici di terze parti, riconoscendone il significativo potenziale di causare incidenti di sicurezza informatica. Con un numero sempre maggiore di aziende che esternalizzano ai fornitori per migliorare l'efficienza e la competitività, i rischi derivanti dalle vulnerabilità di terze parti e della catena di fornitura sono aumentati. Si consiglia ai CISO di definire una solida strategia per i rischi informatici di terze parti che includa l'identificazione e la definizione delle priorità dei partner terzi (spesso in base alla criticità dei dati che contengono o a cui possono accedere), l'esecuzione di valutazioni informatiche basate sul rischio e il monitoraggio continuo di queste entità per individuare nuove minacce. Un programma completo è essenziale per i CISO per garantire agli stakeholder un'efficace gestione del rischio e la conformità ai requisiti di informativa della SEC.
Questi sviluppi evidenziano l'importanza strategica della sicurezza informatica nella governance aziendale e la necessità che la leadership sia ben informata e proattiva nella supervisione della sicurezza informatica. Indicano inoltre una tendenza verso una maggiore trasparenza nelle modalità di gestione e rendicontazione della sicurezza informatica da parte delle aziende, con particolare attenzione alla creazione di una solida cultura della sicurezza in linea con gli interessi degli investitori e le aspettative normative.
Fonti:
https://www.sec.gov/news/press-release/2023-139
Scopri e condividi le ultime tendenze, i suggerimenti e le best practice in materia di sicurezza informatica, oltre alle nuove minacce a cui prestare attenzione.
Un breve riepilogo pratico per i vCISO L'AVVERTIMENTO CHE ABBIAMO IGNORATO O NON RIUSCITO A COMPRENDERE Per anni, le fonti più autorevoli...
Leggi di più
Una guida per individuare le truffe di impersonificazione di dirigenti di alto livello prima che il finto CEO riceva un vero bonifico.
Leggi di più
L'intelligenza artificiale (o IA) sta rendendo le email di phishing più sofisticate, i malware più insidiosi e il furto di credenziali più facile...
Leggi di piùOttieni una visione più attenta dei rischi per l'uomo, con un approccio positivo che supera i tradizionali test di phishing.
