SEC innførte nye cybersikkerhetsregler avsløringsregler for børsnoterte selskaper, som trer i kraft 15. desember 2023. Disse reglene pålegger selskaper å gi omfattende detaljer om hvordan de vurderer, identifiserer og håndterer vesentlige cybersikkerhetsrisikoer i sine årsrapporter (Skjema 10-K). De krever at organisasjoner skissere styrets rolle i å føre tilsyn med cybersikkerhetsrisikoer. Til slutt, SEC krever at selskaper å rapportere betydelige cybersikkerhetshendelser innen fire dager (skjema 8-K).
Denne forskriften har betydelig innvirkning på både selskaper og informasjonssikkerhetssjefer (CISO-er). CISO-er er satt i søkelyset og har ansvar for å sikre tydelig og rask kommunikasjon om selskapets cybersikkerhetstiltak og -hendelser. Denne økte synligheten krever at CISO-er fremmer sterke kommunikasjonskanaler med toppledere og styremedlemmer. CISO-er må også tilpasse cybersikkerhetsstrategier til både forretningsmål og regulatoriske krav.
For både bedriftsledere og styremedlemmer forsterker forskriften deres fokus på robusthet innen cybersikkerhet innenfor bedriftsstyring. De har i oppgave å aktivt delta i og føre tilsyn med cybersikkerhetsstrategier. Styret har nå ansvaret for å sikre ikke bare samsvar, men også effektiviteten av selskapets cybersikkerhetsprogram. Dette skiftet understreker den utviklende rollen til bedriftsstyring i håndteringen av cyberrisikoer. Det fremhever den økende investorinteressen for hvordan selskaper er forberedt på å håndtere og redusere cybertrusler.
Investorer er stadig mer bekymret for konsekvensene av cybersikkerhet for investeringene sine. Dette har blitt drevet frem av det økende antallet høyprofilerte cyberhendelser som ransomware-angrep og datainnbrudd. Investorer prioriterer cybersikkerhet sammen med kritiske miljømessige, sosiale og styringsmessige (ESG) spørsmål. Dette gjenspeiles i RBCs globale undersøkelse om ansvarlig investering i kapitalforvaltningInvestorer søker klare, pålitelige og handlingsrettede data om cybersikkerhet for å informere investeringsbeslutningene sine. De trenger og ønsker tydelige indikatorer på cybersikkerhetsrobusthet uten å måtte ha dyp teknisk kunnskap om feltet. God cybersikkerhet blir ikke bare sett på som en risikoreduserende faktor, men også som en indikator på robust selskapsstyring og ledelseskvalitet. Disse egenskapene gjør selskaper mer attraktive for investeringer. Verktøy som inkluderer cybersikkerhetsmålinger brukes til å evaluere et selskaps cybersikkerhetsberedskap. Følgelig er de beste informasjonssikkerhetssjefene (CISO-ene) klar over disse investorevalueringene. Suksessrike CISO-er sørger for at organisasjonenes cybersikkerhetstiltak kommuniseres effektivt. Effektive CISO-er fremhever globale trender som større åpenhet og ansvarlighet i rapportering av cybersikkerhet. Dette bidrar til å roe ned investorenes bekymringer og investormiljøet.
SECs nye forskrift om nettsikkerhet krever involvering av toppledelsen. Bedriftsledelsen må involveres for å utarbeide strategier for sine rapporter om nettsikkerhet. IT-sjefer samler ledelsen for å møtes og gjennomgå cyberrobusthet eller cyberberedskap i firmaene sine. Disse møtene skaper kritisk forståelse av hvordan disse forskriftene påvirker bedriften din og dens interessenter. Disse møtene inkluderer oftest IT-sjefen, juridisk rådgiver, en risikosjef (hvis til stede), finansdirektøren og lederen for investorrelasjoner. Viktige diskusjonspunkter dreier seg om hvem som leder rapporteringsarbeidet og IT-sjefens rolle i risiko- og hendelsesrapportering. Diskusjonene må legge ut og ratifisere samarbeidsstrategier, investorkommunikasjon og hvordan man definerer en «materiale”cyberhendelse relatert til selskapets drift som nå krever rapportering på 8-K.
Disse diskusjonene må etablere en tydelig ansvarsmatrise i bedriften din knyttet til rapportering av cybersikkerhet. IT-sjefer må også sørge for at deres tilnærming til cybersikkerhet kommuniseres effektivt til investorer, slik at de oppfyller deres forventninger til åpenhet. og forståelse. Ledergruppen din må også vurdere selskapets eksisterende kommunikasjonsstrategier rundt cyberrisiko. De må avgjøre om nye metoder, som en frittstående cybersikkerhetsrapport (årlig tredjepartsrevisjon), er berettiget for å formidle deres styring av slike risikoer tydelig. Dette handler ikke bare om samsvar; det handler om å lage en informert, sammenhengende ekstern og intern fortelling om styring av cybersikkerhet. CISO spiller en viktig, men ikke alene rolle i denne prosessen. Resultatet av disse møtene vil forme selskapets cybersikkerhetsholdning og investorrelasjoner fremover.
I henhold til SECs nye krav må organisasjoner offentliggjøre en rekke opplysninger som hjelper investorer med å forstå sine prosesser for risikostyring innen cybersikkerhet. Denne informasjonen inkluderer organisasjonens strategi for cybersikkerhet og tredjeparts risikostyring. Et rammeverk som ofte brukes for slike risikovurderinger er NISTs rammeverk for nettsikkerhet (NSF). Alternativt bruker noen selskaper NIST 800-171 Risikostyringsstandard for deres compliance-strategi. Deretter må ledergruppen, inkludert IT-sjefen, IT-sjefen, administrerende direktør, finansdirektøren og styret, lage et rapporteringsprogram som skisserer oppnåelse og risikoredusering for selskapet mot kontrollene som er skissert i disse vurderingsmetodene.
I tillegg forventes det at selskaper deler detaljer om viktige retningslinjer, tekniske kontroller, uavhengige sikkerhetsevalueringer som SOC 2-sertifiseringer. Programmålinger rapporteres med detaljer om programeffektivitet og protokoller for hendelseshåndtering. Cyberforsikringsdekningen valideres, noe som bidrar til å redusere økonomisk risiko fra cyberhendelser, samtidig som den bidrar til å bestemme vesentligheten av cybersikkerhetshendelser og -problemer.
IT-sjefer har i oppgave å samle inn disse dataene gjennom dokumentgjennomganger og konsultasjoner med sine nettsikkerhetsteam og toppledere. Siden mange organisasjoner kanskje ikke har lett tilgang til all denne informasjonen, kan det være fordelaktig å danne et tverrfaglig team for å hjelpe til med informasjonsinnsamlingsprosessen. Du kan ta i bruk CyberHoot og registrere målinger for hver ansatt som godkjenner sine styringspolicyer, fullfører videooppgaver om bevisstgjøringstrening og fullfører phishing-simuleringer og -tester. Det endelige målet er å rapportere tilbake til styret, toppledere og «fornuftige investorer«en fortelling som er både tilgjengelig og forståelig for alle.»
Selv om selskaper som bygger sine egne programmer kanskje lurer på hva andre gjør, er det viktig å bygge ditt eget samsvars- og rapporteringsprogram basert på din egen størrelse, kapasitet og investorenes forventninger. Det finnes kilder til sentralisert informasjon samlet inn som du kan gjennomgå for utviklingen av ditt eget program. For eksempel, i 2022, en analyse utført av EY-senteret for styresaker på Fortune 100-selskapers opplysninger avslørte følgende økt åpenhet i risikostyring for cybersikkerhet.
Til tross for tidligere avsløringer krever SECs nye forskrifter for nettsikkerhet at det tas i bruk detaljerte og potensielt transformative rapporteringspraksiser, og starter med børsnoterte selskaper. Selv om reglene primært retter seg mot børsnoterte selskaper, bør andre private og mindre selskaper gjøre seg kjent med disse nye reglene og begynne å forberede og overvåke driften sin for sin egen motstandskraft og beredskap innen nettsikkerhet.
Bedrifter må ta tak i utfordringen med å avgjøre hva som utgjør en «materiale«nettsikkerhetshendelse for offentliggjøringsformål, slik det kreves av SEC. En vesentlig hendelse defineres av SEC som «en som ville blitt ansett som viktig av en rimelig investor som tok en investeringsbeslutning"Denne avgjørelsen går utover økonomiske terskler og vurderer både kvantitative og kvalitative data. Den inkluderer hendelser som resulterer i omdømmeskade eller tyveri av informasjon som, selv om de ikke er økonomisk kvantifiserbare, har en betydelig innvirkning på enkeltpersoner eller selskapet.
SEC foreslår at selv om økonomiske konsekvenser ofte vurderes, bør omfanget og arten av skaden også evalueres. For en grundig forståelse av potensielle konsekvenser oppfordres selskaper til å utføre økonomisk kvantifisering av cyberrisikoer. Denne analysen kan avdekke programsvakheter, investeringsbehov og strategier for risikoredusering.
Selv om CISO-er vanligvis ikke er de endelige dommerne over vesentlighet, bør de være dypt involvert i vurderingsprosessen og i utformingen av proaktive risikohåndteringsstrategier. Vesentligheten av hendelser bør avgjøres fra sak til sak gjennom juridisk rådgiver, administrerende direktør og styret. Avgjørelsen om vesentlighet må ta hensyn til de spesifikke omstendighetene og potensielle implikasjonene for selskapet og dets interessenter.
SEC pålegger spesifikke krav til offentliggjøring av tredjeparts cyberrisikoer, og anerkjenner deres betydelige potensial til å introdusere cybersikkerhetshendelser. Etter hvert som flere selskaper outsourcer til leverandører for effektivitet og konkurransefordeler, har risikoen fra tredjeparts- og forsyningskjedesårbarheter eskalert. IT-sjefer anbefales å etablere en robust strategi for tredjeparts cyberrisiko som inkluderer å identifisere og prioritere tredjepartspartnere (ofte basert på hvor kritiske dataene de inneholder eller har tilgang til), utføre risikobaserte cybervurderinger og kontinuerlig overvåking av disse enhetene for nye trusler. Et grundig program er avgjørende for at IT-sjefer skal forsikre interessenter om effektiv risikostyring og samsvar med SECs offentliggjøringskrav.
Denne utviklingen fremhever den strategiske betydningen av cybersikkerhet i selskapsstyring og behovet for at ledelsen er godt informert og proaktiv i tilsyn med cybersikkerhet. Det indikerer også en trend mot større åpenhet i hvordan selskaper styrer og rapporterer om cybersikkerhet, med vekt på å skape en robust sikkerhetskultur som er i samsvar med investorenes interesser og regulatoriske forventninger.
kilder:
https://www.sec.gov/news/press-release/2023-139
Oppdag og del de nyeste trendene, tipsene og beste praksisene innen cybersikkerhet – i tillegg til nye trusler du bør se opp for.
En praktisk briefing for vCISO-er ADVARSELEN VI IGNORERTE ELLER IKKE KUNNE FORSTÅ I årevis har den mest troverdige...
Les mer
En guide til å oppdage svindel med ledere som etterligner seg før den falske administrerende direktøren får en ekte bankoverføring. Det...
Les mer
Kunstig intelligens (eller KI) gjør phishing-e-poster smartere, skadelig programvare mer snikende og legitimasjonstyveri enklere ...
Les merFå et skarpere blikk på menneskelige risikoer, med den positive tilnærmingen som slår tradisjonell phishing-testing.
