SEC는 새로운 사이버 보안을 제정했습니다. 공개 규칙 2023년 12월 15일부터 시행되는 공개 상장 기업의 경우 이러한 규칙은 기업이 연례 보고서에서 실질적인 사이버 보안 위험을 평가, 식별 및 관리하는 방법에 대한 포괄적인 세부 정보를 제공합니다. (양식 10-K). 조직에 다음을 요구합니다. 사이버 보안 위험 감독에 있어 이사회의 역할을 간략하게 설명합니다. 마지막으로, SEC는 회사에 다음을 요구합니다. 4일 이내에 중대한 사이버 보안 사고를 보고해야 함(양식 8-K).
이 규정은 기업과 최고정보보안책임자(CISO) 모두에게 상당한 영향을 미칩니다. CISO는 회사의 사이버 보안 조치 및 사고에 대한 명확하고 신속한 소통을 보장해야 하는 중요한 책임을 맡게 되며, 이러한 중요성이 커짐에 따라 CISO는 최고 경영진 및 이사회 구성원들과 강력한 소통 채널을 구축해야 합니다. 또한 CISO는 사이버 보안 전략을 사업 목표와 규제 요건 모두에 맞춰 조정해야 합니다.
기업 CEO와 이사회 구성원 모두에게 이 규정은 기업 거버넌스 내 사이버 보안 복원력 강화에 대한 집중을 강화합니다. 이들은 사이버 보안 전략에 적극적으로 참여하고 감독해야 합니다. 이사회는 이제 단순히 규정 준수를 보장하는 것뿐만 아니라 기업의 사이버 보안 프로그램의 효과성까지 확보해야 할 책임을 맡게 되었습니다. 이러한 변화는 사이버 위험 관리에 있어 기업 거버넌스의 역할이 점차 진화하고 있음을 보여줍니다. 또한, 기업들이 사이버 위협에 어떻게 대처하고 완화할 준비가 되어 있는지에 대한 투자자들의 관심이 높아지고 있음을 보여줍니다.
투자자들은 사이버 보안이 투자에 미치는 영향에 대해 점점 더 우려하고 있습니다. 랜섬웨어 공격이나 데이터 유출과 같은 심각한 사이버 사고가 증가함에 따라 이러한 우려가 더욱 커지고 있습니다. 투자자들은 중요한 환경, 사회, 거버넌스(ESG) 문제와 더불어 사이버 보안을 우선시합니다. 이는 다음에서도 확인할 수 있습니다. RBC 글로벌 자산 관리 책임 투자 설문 조사투자자들은 투자 결정에 도움이 되는 명확하고 신뢰할 수 있으며 실행 가능한 사이버 보안 데이터를 원합니다. 투자자들은 해당 분야에 대한 심층적인 기술 지식 없이도 사이버 보안 복원력을 보여주는 명확한 지표를 필요로 합니다. 우수한 사이버 보안은 위험 완화 요소일 뿐만 아니라 탄탄한 기업 지배구조와 경영 품질을 나타내는 지표로도 여겨집니다. 이러한 자질은 기업을 투자 매력도 향상시킵니다. 사이버 보안 지표를 통합한 도구는 기업의 사이버 보안 준비 상태를 평가하는 데 사용됩니다. 따라서 최고의 최고정보보안책임자(CISO)는 이러한 투자자 평가를 인지하고 있습니다. 성공적인 CISO는 조직의 사이버 보안 조치가 효과적으로 전달되도록 합니다. 유능한 CISO는 사이버 보안 보고의 투명성 및 책임성 강화와 같은 세계적인 추세를 강조합니다. 이는 투자자와 투자 업계의 우려를 해소하는 데 도움이 됩니다.
SEC의 새로운 사이버 보안 규정은 고위 경영진의 참여를 요구합니다. 기업 경영진은 사이버 보안 정보 공개 전략을 수립하는 데 반드시 참여해야 합니다. CISO는 경영진을 소집하여 회사의 사이버 복원력 또는 사이버 준비 상태를 검토합니다. 이러한 회의는 이러한 규정이 기업과 이해관계자에게 미치는 영향에 대한 중요한 이해를 제공합니다. 이러한 회의에는 CISO, 법률 고문, 최고 리스크 책임자(있는 경우), CFO, 그리고 IR(투자 관계) 책임자가 주로 참석합니다. 주요 논의 사항은 정보 공개를 주도하는 사람과 위험 및 사고 보고에 있어 CISO의 역할에 관한 것입니다. 논의에서는 협업 전략, 투자자 커뮤니케이션, 그리고 "자료” 회사 운영과 관련된 사이버 사고가 발생하여 이제 8-K에 보고해야 합니다.
이러한 논의를 통해 사이버 보안 정보 공개와 관련하여 회사 내 명확한 책임 체계를 확립해야 합니다. CISO는 또한 사이버 보안에 대한 접근 방식을 투자자에게 효과적으로 전달하여 투명성에 대한 기대를 충족해야 합니다. 이해. 경영진은 사이버 위험에 대한 회사의 기존 커뮤니케이션 전략도 고려해야 합니다. 또한, 독립형 사이버 보안 보고서(연간 제3자 감사)와 같은 새로운 방식이 해당 위험에 대한 거버넌스를 명확하게 전달하는 데 필요한지 판단해야 합니다. 이는 단순히 규정 준수에만 국한되지 않습니다. 사이버 보안 거버넌스에 대한 정보에 기반하고 일관된 대내외적 관점을 구축하는 것이 중요합니다. CISO는 이 과정에서 중요한 역할을 하지만, 단독으로 수행하는 것은 아닙니다. 이러한 회의의 결과는 향후 회사의 사이버 보안 태세와 투자자 관계에 영향을 미칠 것입니다.
SEC의 새로운 요건에 따라, 기업은 투자자가 사이버 보안 위험 관리 프로세스를 이해하는 데 도움이 되는 다양한 정보를 공개해야 합니다. 이 정보에는 기업의 사이버 보안 전략과 제3자 위험 관리가 포함됩니다. 이러한 위험 평가에 일반적으로 사용되는 프레임워크는 다음과 같습니다. NIST 사이버보안 프레임워크(NSF). 또는 일부 회사에서는 다음을 사용합니다. NIST 800-171 위험 관리 표준 규정 준수 전략을 수립해야 합니다. CIO, CISO, CEO, CFO, 이사회를 포함한 경영진은 이러한 평가 방법에 명시된 통제 수단에 대한 회사의 달성 및 위험 완화 방안을 설명하는 보고 프로그램을 수립해야 합니다.
또한 회사는 주요 정책, 기술적 통제, 독립적인 보안 평가 등에 대한 세부 정보를 공유해야 합니다. SOC 2 인증. 프로그램 지표는 프로그램 효과와 사고 관리 프로토콜을 상세히 기술하여 보고됩니다. 사이버 보험 보장 범위는 검증을 통해 사이버 사고로 인한 재정적 위험을 줄이는 동시에 사이버 보안 사건 및 문제의 중요성을 파악하는 데 도움이 됩니다.
CISO는 문서 검토 및 사이버 보안 팀 및 고위 임원과의 협의를 통해 이러한 데이터를 수집하는 업무를 담당합니다. 많은 조직이 이러한 모든 정보에 쉽게 접근할 수 없기 때문에 정보 수집 프로세스를 지원하기 위해 교차 기능 팀을 구성하는 것이 유용할 수 있습니다. CyberHoot를 도입하여 각 직원이 거버넌스 정책에 서명하고, 인식 교육 비디오 과제를 완료하고, 피싱 시뮬레이션 및 테스트를 완료하는 데 대한 지표를 수집할 수 있습니다. 궁극적인 목표는 이사회, 최고 경영진, 그리고 "합리적인 투자자"모든 사람이 접근하고 이해할 수 있는 이야기입니다.
프로그램을 구축하는 기업들은 다른 기업들이 어떻게 하고 있는지 궁금해할 수 있지만, 자사의 규모, 역량, 그리고 투자자 기대치를 기반으로 자체적인 규정 준수 및 보고 프로그램을 구축하는 것이 중요합니다. 자체 프로그램 개발을 위해 검토할 수 있는 중앙 집중식 정보 출처들이 있습니다. 예를 들어, 2022년에 다음과 같은 분석이 있었습니다. EY 이사회 문제 센터 Fortune 100대 기업 공개에 따르면 사이버 보안 위험 관리의 투명성이 높아졌다는 사실이 밝혀졌습니다.
과거 정보 공개에도 불구하고, SEC의 새로운 사이버 보안 규정은 상장 기업부터 세부적이고 잠재적으로 혁신적인 보고 관행을 채택하도록 요구합니다. 이 규정은 주로 상장 기업을 대상으로 하지만, 다른 비상장 기업과 소규모 기업도 이러한 새로운 규정을 숙지하고 자체적인 사이버 보안 복원력과 대비 태세를 갖추기 위해 운영을 준비하고 모니터링해야 합니다.
회사는 "구성 요소"를 결정하는 과제에 직면해야 합니다.자료”SEC에서 요구하는 대로 공개 목적의 사이버 보안 사고. SEC는 중대한 사고를 “합리적인 투자자가 투자 결정을 내릴 때 중요하다고 생각하는 것"이러한 결정은 재정적 한계를 넘어 양적 및 질적 데이터를 모두 고려합니다. 여기에는 재정적으로 정량화할 수는 없지만 개인이나 회사에 중대한 영향을 미치는 평판 손상이나 정보 유출로 이어지는 사건이 포함됩니다.
SEC는 재정적 영향이 일반적으로 고려되지만, 피해의 범위와 성격 또한 평가되어야 한다고 권고합니다. 잠재적 영향을 면밀히 파악하기 위해 기업은 사이버 위험에 대한 재정적 정량화를 수행하는 것이 좋습니다. 이러한 분석을 통해 프로그램의 취약점, 투자 필요성, 그리고 위험 완화 전략을 파악할 수 있습니다.
CISO는 일반적으로 중요성의 최종 결정권자는 아니지만, 평가 프로세스와 선제적 위험 개선 전략 수립에 깊이 관여해야 합니다. 사고의 중요성은 법률 자문, CEO, 그리고 이사회를 통해 사례별로 결정되어야 합니다. 중요성 결정은 구체적인 상황과 회사 및 이해관계자에게 미칠 수 있는 잠재적 영향을 고려하여야 합니다.
SEC는 제3자 사이버 위험에 대한 구체적인 정보 공개 요건을 의무화하고 있으며, 이러한 위험이 사이버 보안 사고를 유발할 수 있는 상당한 잠재력을 가지고 있음을 인지하고 있습니다. 효율성과 경쟁 우위를 위해 벤더에 아웃소싱하는 기업이 증가함에 따라 제3자 및 공급망 취약점으로 인한 위험이 더욱 커졌습니다. CISO는 제3자 파트너를 파악하고 우선순위를 정하는 것(보통 해당 파트너가 보유하고 있거나 접근할 수 있는 데이터의 중요도에 따라 결정), 위험 기반 사이버 평가 수행, 그리고 새로운 위협에 대한 지속적인 모니터링을 포함하는 강력한 제3자 사이버 위험 전략을 수립해야 합니다. CISO가 이해관계자들에게 효과적인 위험 관리 및 SEC 정보 공개 요건 준수를 보장하기 위해서는 철저한 프로그램이 필수적입니다.
이러한 발전은 기업 지배구조에서 사이버 보안의 전략적 중요성과 사이버 보안 감독에 대한 경영진의 충분한 정보를 바탕으로 선제적으로 대응해야 할 필요성을 강조합니다. 또한, 기업의 사이버 보안 관리 및 보고 방식에 대한 투명성 제고 추세를 시사하며, 투자자의 이익과 규제 당국의 기대에 부합하는 탄탄한 보안 문화 조성에 중점을 두고 있습니다.
출처 :
https://www.sec.gov/news/press-release/2023-139
최신 사이버 보안 동향, 팁, 모범 사례를 알아보고 공유하세요. 또한 주의해야 할 새로운 위협도 알려드립니다.
vCISO를 위한 실무 브리핑: 우리가 무시했거나 이해하지 못했던 경고 수년간 가장 신뢰할 만한...
더보기
인공지능(AI)은 피싱 이메일을 더욱 교묘하게 만들고, 악성 소프트웨어를 더욱 은밀하게 침투시키며, 개인정보 탈취를 더욱 쉽게 만들고 있습니다.
더보기
