SEC telah Memperkukuh Keperluan Pelaporan Keselamatan Siber – Perkara yang Anda Perlu Tahu

7hb November 2023 | Blog

SEC Memperkukuh Peraturan Pendedahan

Bagaimanakah SEC telah mengukuhkan Keperluan Pelaporan Keselamatan Siber dan mengapa ia penting?

SEC menggubal keselamatan siber baharu peraturan pendedahan untuk syarikat dagangan awam, yang berkuat kuasa pada 15 Disember 2023. Peraturan ini mewajibkan syarikat memberikan butiran komprehensif tentang cara mereka menilai, mengenal pasti dan mengurus risiko keselamatan siber material dalam laporan tahunan mereka (Borang 10-K). Mereka memerlukan organisasi untuk menggariskan peranan lembaga dalam mengawasi risiko keselamatan siber. Akhirnya, SEC memerlukan syarikat untuk untuk melaporkan insiden keselamatan siber yang ketara dalam tempoh empat hari (Borang 8-K).

Peraturan ini mempunyai kesan yang besar terhadap kedua-dua syarikat dan Ketua Pegawai Keselamatan Maklumat (CISO). CISO diberi perhatian, ditugaskan untuk memastikan komunikasi yang jelas dan segera mengenai langkah dan insiden keselamatan siber syarikat mereka. Keterlihatan yang lebih tinggi ini memerlukan CISO untuk memupuk saluran komunikasi yang kukuh dengan eksekutif peringkat atasan dan ahli lembaga. CISO juga mesti menyelaraskan strategi keselamatan siber kepada kedua-dua matlamat perniagaan dan keperluan kawal selia.

Bagi Ketua Pegawai Eksekutif syarikat dan ahli Lembaga Pengarah, peraturan itu mengukuhkan tumpuan mereka pada daya tahan keselamatan siber dalam tadbir urus korporat. Mereka ditugaskan dengan penyertaan aktif dalam dan pengawasan strategi keselamatan siber. Lembaga Pengarah kini bertanggungjawab untuk memastikan bukan sahaja pematuhan tetapi juga keberkesanan program keselamatan siber syarikat mereka. Anjakan ini menekankan peranan tadbir urus korporat yang semakin berkembang dalam mengurus risiko siber. Ia menyerlahkan minat pelabur yang semakin meningkat tentang cara syarikat bersedia untuk mengendalikan dan mengurangkan ancaman siber.

Apa yang Pelabur Mahu dan Perlu Tahu?

Pelabur semakin bimbang tentang implikasi keselamatan siber terhadap pelaburan mereka. Ini telah didorong oleh peningkatan jumlah insiden siber berprofil tinggi seperti serangan ransomware dan pelanggaran data. Pelabur mengutamakan keselamatan siber di samping isu alam sekitar, sosial dan tadbir urus (ESG) yang kritikal. Ini tercermin dalam Tinjauan Pelaburan Bertanggungjawab Pengurusan Aset Global RBC. Pelabur mencari data keselamatan siber yang jelas, boleh dipercayai dan boleh diambil tindakan untuk memaklumkan keputusan pelaburan mereka. Mereka memerlukan dan mahu penunjuk yang jelas tentang daya tahan keselamatan siber tanpa perlu memiliki pengetahuan teknikal yang mendalam tentang bidang tersebut. Keselamatan siber yang baik bukan sahaja dilihat sebagai faktor pengurangan risiko tetapi juga sebagai penunjuk tadbir urus korporat dan kualiti pengurusan yang teguh. Kualiti ini menjadikan syarikat lebih menarik untuk pelaburan. Alat yang menggabungkan metrik keselamatan siber digunakan untuk menilai kesediaan keselamatan siber syarikat. Akibatnya, Ketua Pegawai Keselamatan Maklumat (CISO) terbaik mengetahui penilaian pelabur ini. CISO yang berjaya memastikan langkah keselamatan siber organisasi mereka disampaikan dengan berkesan. CISO yang berkesan menyerlahkan arah aliran global seperti ketelusan dan akauntabiliti yang lebih tinggi dalam pelaporan keselamatan siber. Ini membantu menenangkan kebimbangan pelabur dan komuniti pelaburan.

Cara Menyediakan Syarikat saya untuk Keperluan Baharu ini

Peraturan keselamatan siber baharu SEC memerlukan penglibatan kepimpinan kanan. Kepimpinan syarikat mesti terlibat untuk menyusun strategi mengenai pendedahan keselamatan siber mereka. CISO sedang menyatukan kepimpinan untuk bertemu dan menyemak daya tahan siber atau kesediaan siber di firma mereka. Mesyuarat ini, mewujudkan pemahaman kritikal tentang cara peraturan ini memberi kesan kepada syarikat anda dan pemegang kepentingannya. Mesyuarat ini paling kerap termasuk CISO, Penasihat Am, Ketua Pegawai Risiko (jika ada), CFO dan ketua Perhubungan Pelabur. Perkara perbincangan utama berkisar tentang siapa yang mengetuai usaha pendedahan dan peranan CISO dalam pelaporan risiko dan insiden. Perbincangan mesti menyusun dan mengesahkan strategi kerjasama, komunikasi pelabur, dan cara untuk mentakrifkan "bahan” insiden siber berbanding dengan operasi syarikat yang kini memerlukan pelaporan mengenai 8-K.

Perbincangan ini mesti mewujudkan matriks tanggungjawab yang jelas dalam syarikat anda berkaitan dengan pendedahan keselamatan siber. CISO juga mesti memastikan pendekatan mereka terhadap keselamatan siber disampaikan secara berkesan kepada pelabur, memenuhi jangkaan mereka untuk ketelusan and persefahaman. Pasukan kepimpinan anda juga mesti mempertimbangkan strategi komunikasi sedia ada syarikat mengenai risiko siber. Mereka mesti menentukan sama ada kaedah baharu, seperti laporan keselamatan siber kendiri (audit pihak ke-3 tahunan), adalah wajar untuk menyampaikan tadbir urus risiko sedemikian dengan jelas. Ini bukan hanya mengenai pematuhan; ini tentang mencipta naratif luaran dan dalaman yang bermaklumat, koheren tentang tadbir urus keselamatan siber. CISO memainkan peranan penting tetapi bukan bersendirian dalam proses ini. Hasil daripada mesyuarat ini akan membentuk postur keselamatan siber syarikat dan hubungan pelabur pada masa hadapan.

Apakah maklumat yang perlu didedahkan dan bagaimana ia perlu dikumpul?

Di bawah keperluan baharu SEC, organisasi mesti mendedahkan pelbagai maklumat yang membantu pelabur memahami proses pengurusan risiko keselamatan siber mereka. Maklumat ini termasuk strategi keselamatan siber organisasi dan pengurusan risiko pihak ketiga. Rangka kerja yang biasa digunakan untuk penilaian risiko tersebut ialah Rangka Kerja Keselamatan Siber NIST (NSF). Secara bergantian, beberapa syarikat menggunakan Piawaian Pengurusan Risiko NIST 800-171 untuk strategi pematuhan mereka. Kemudian pasukan pengurusan, termasuk CIO, CISO, CEO, CFO, dan lembaga pengarah mesti membuat program pelaporan yang menggariskan pencapaian dan pengurangan risiko untuk syarikat terhadap kawalan yang digariskan dalam kaedah penilaian ini.

Selain itu, syarikat dijangka berkongsi butiran tentang dasar utama, kawalan teknikal, penilaian keselamatan bebas seperti pensijilan SOC 2. Metrik program dilaporkan memperincikan keberkesanan program dan protokol pengurusan insiden. Perlindungan insurans siber disahkan membantu mengurangkan risiko kewangan daripada insiden siber, sambil membantu menentukan materialiti peristiwa dan isu keselamatan siber.

CISO ditugaskan untuk mengumpulkan data ini melalui semakan dokumen dan perundingan dengan pasukan keselamatan siber dan eksekutif kanan mereka. Memandangkan banyak organisasi mungkin tidak mempunyai akses sedia kepada semua maklumat ini, ia mungkin berfaedah untuk membentuk pasukan merentas fungsi untuk membantu dalam proses pengumpulan maklumat. Anda boleh menggunakan CyberHoot dan menangkap metrik untuk setiap pekerja yang menandatangani dasar tadbir urus mereka, menyelesaikan tugasan video latihan kesedaran dan melengkapkan simulasi dan ujian pancingan data. Matlamat utama adalah untuk melaporkan kembali kepada Lembaga Pengarah, eksekutif C-Level, dan “pelabur yang munasabah” naratif yang boleh diakses dan difahami oleh semua.

Apakah yang telah didedahkan oleh syarikat tentang program keselamatan siber mereka?

Walaupun syarikat yang membina program mereka mungkin tertanya-tanya apa yang orang lain lakukan, adalah penting untuk membina program pematuhan dan pelaporan anda sendiri berdasarkan saiz, kapasiti dan jangkaan pelabur anda sendiri. Terdapat sumber maklumat terpusat yang dikumpul yang mungkin anda semak untuk pembangunan program anda sendiri. Sebagai contoh, pada tahun 2022, analisis oleh Pusat EY untuk Urusan Lembaga pada pendedahan syarikat Fortune 100 mendedahkan peningkatan ketelusan berikut dalam pengurusan risiko keselamatan siber.

9% syarikat menyebut kesediaan melalui simulasi dan latihan.
18% dalam syarikat yang sejajar dengan rangka kerja keselamatan siber luar (NIST CSF)
28% menggunakan penasihat luar (vCISO contohnya), mencerminkan penglibatan yang semakin meningkat dengan kepakaran pihak ketiga.
39% mendedahkan kekerapan mereka melaporkan perkara keselamatan siber
45% menekankan usaha pendidikan untuk mengurangkan risiko
51%, mengekalkan insurans keselamatan siber
61% menyatakan kepakaran keselamatan siber di lembaga mereka.
Kesediaan tindak balas dirujuk oleh 66% syarikat
68% membincangkan kekerapan pengurusan melaporkan kepada lembaga.
Sebanyak 88% menunjukkan sekurang-kurangnya satu jawatankuasa lembaga bertanggungjawab untuk pengawasan keselamatan siber
95% menumpukan pada keselamatan siber dalam pengawasan risiko mereka.
Hampir semua, 99%, menyebut usaha untuk mengurangkan risiko keselamatan siber melalui proses dan sistem yang ditetapkan.

Walaupun pendedahan yang lalu, peraturan keselamatan siber baharu SEC memerlukan amalan pelaporan yang terperinci dan berpotensi transformatif diterima pakai bermula dengan syarikat yang didagangkan secara terbuka. Walaupun peraturan menyasarkan syarikat tersenarai awam, syarikat swasta dan syarikat kecil lain harus membiasakan diri dengan peraturan baharu ini, dan mula menyediakan dan memantau operasi mereka untuk ketahanan dan kesediaan keselamatan siber mereka sendiri.

Pendedahan Insiden dan Persoalan Kebendaan

Syarikat mesti bergelut dengan cabaran untuk menentukan apa yang menjadi "bahan" insiden keselamatan siber untuk tujuan pendedahan, seperti yang dikehendaki oleh SEC. Insiden penting ditakrifkan oleh SEC sebagai "satu yang akan dianggap penting oleh pelabur yang munasabah membuat keputusan pelaburan". Penentuan ini melangkaui ambang kewangan dan mempertimbangkan kedua-dua data kuantitatif dan kualitatif. Ia termasuk insiden yang mengakibatkan kerosakan reputasi atau kecurian maklumat yang, walaupun tidak boleh diukur dari segi kewangan, mempunyai kesan yang besar kepada individu atau syarikat.

SEC mencadangkan bahawa walaupun kesan kewangan biasanya dipertimbangkan, skop dan sifat bahaya juga harus dinilai. Untuk pemahaman menyeluruh tentang potensi impak, syarikat digalakkan untuk melaksanakan pengkuantitian kewangan risiko siber. Analisis ini boleh mendedahkan kelemahan program, keperluan pelaburan, dan strategi pengurangan risiko.

CISO, walaupun biasanya bukan penimbang tara kebendaan, harus terlibat secara mendalam dalam proses penilaian dan dalam merangka strategi pemulihan risiko yang proaktif. Materialiti insiden harus ditentukan kes demi kes melalui penasihat undang-undang, Ketua Pegawai Eksekutif, dan Lembaga Pengarah. Keputusan materialiti perlu mengambil kira keadaan khusus dan potensi implikasi kepada syarikat dan pemegang kepentingannya.

Curveball Lain: Pendedahan Risiko Pihak Ketiga

SEC mewajibkan keperluan pendedahan khusus untuk risiko siber pihak ketiga, mengakui potensi penting mereka untuk memperkenalkan insiden keselamatan siber. Dengan lebih banyak syarikat penyumberan luar kepada vendor untuk kecekapan dan keuntungan kompetitif, risiko daripada kelemahan pihak ketiga dan rantaian bekalan telah meningkat. CISO dinasihatkan untuk mewujudkan strategi risiko siber pihak ketiga yang teguh yang termasuk mengenal pasti dan mengutamakan rakan kongsi pihak ketiga (selalunya berdasarkan kritikal data yang mereka ada atau boleh akses), melaksanakan penilaian siber berasaskan risiko dan pemantauan berterusan entiti ini untuk ancaman baharu. Program menyeluruh adalah penting bagi CISO untuk memastikan pihak berkepentingan pengurusan risiko yang berkesan dan pematuhan kepada keperluan pendedahan SEC.

kesimpulan

Perkembangan ini menyerlahkan kepentingan strategik keselamatan siber dalam tadbir urus korporat dan keperluan untuk kepimpinan bermaklumat dan proaktif dalam pengawasan keselamatan siber. Ia juga menunjukkan arah aliran ke arah ketelusan yang lebih tinggi dalam cara syarikat mengurus dan melaporkan keselamatan siber, dengan penekanan untuk mewujudkan budaya keselamatan yang teguh yang sejajar dengan kepentingan pelabur dan jangkaan kawal selia.