Комиссия по ценным бумагам и биржам США (SEC) приняла новые правила кибербезопасности. правила раскрытия информации для публичных компаний, которые вступают в силу 15 декабря 2023 года. Эти правила предписывают, что компании предоставлять в своих годовых отчетах исчерпывающую информацию о том, как они оценивают, выявляют и управляют существенными рисками кибербезопасности (Форма 10-К). Они требуют от организаций Опишите роль совета директоров в контроле рисков кибербезопасности. Наконец, Комиссия по ценным бумагам и биржам (SEC) требует от компаний сообщать о существенных инцидентах кибербезопасности в течение четырех дней (Форма 8-К).
Это положение оказывает существенное влияние как на компании, так и на директоров по информационной безопасности (CISO). Директора по информационной безопасности (CISO) оказываются в центре внимания, поскольку им поручено обеспечивать чёткую и оперативную коммуникацию относительно мер кибербезопасности и инцидентов в своей компании. Эта повышенная заметность требует от руководителей по информационной безопасности налаживания прочных каналов связи с руководителями высшего звена и членами совета директоров. Директора по информационной безопасности (CISO) также должны согласовывать стратегии кибербезопасности как с целями бизнеса, так и с нормативными требованиями.
Для генеральных директоров компаний и членов советов директоров это положение усиливает их внимание к обеспечению кибербезопасности в рамках корпоративного управления. Им поручено активно участвовать в разработке и контроле стратегий кибербезопасности. Совет директоров теперь отвечает не только за соблюдение требований, но и за эффективность программы кибербезопасности компании. Это изменение подчёркивает растущую роль корпоративного управления в управлении киберрисками. Оно также отражает растущий интерес инвесторов к тому, как компании готовы противостоять киберугрозам и минимизировать их.
Инвесторы всё больше обеспокоены влиянием кибербезопасности на свои инвестиции. Этому способствовал рост числа громких киберинцидентов, таких как атаки программ-вымогателей и утечки данных. Инвесторы уделяют первостепенное внимание кибербезопасности наряду с критически важными экологическими, социальными и управленческими вопросами (ESG). Это отражается в Глобальный обзор ответственного инвестирования в сфере управления активами, проведенный RBCИнвесторы ищут чёткие, надёжные и применимые на практике данные о кибербезопасности для принятия обоснованных инвестиционных решений. Им необходимы чёткие индикаторы киберустойчивости, не требующие глубоких технических знаний в этой области. Качественная кибербезопасность рассматривается не только как фактор снижения рисков, но и как показатель надёжного корпоративного управления и качества менеджмента. Эти качества делают компании более привлекательными для инвестиций. Инструменты, включающие показатели кибербезопасности, используются для оценки готовности компании к кибербезопасности. Следовательно, лучшие директора по информационной безопасности (CISO) осведомлены об этих оценках инвесторов. Успешные директора по информационной безопасности (CISO) обеспечивают эффективное информирование о мерах кибербезопасности своих организаций. Эффективные директора по информационной безопасности (CISO) выявляют глобальные тенденции, такие как повышение прозрачности и ответственности в отчётности по кибербезопасности. Это помогает успокоить инвесторов и инвестиционное сообщество.
Новый регламент SEC по кибербезопасности требует участия высшего руководства. Руководство компании должно участвовать в разработке стратегии раскрытия информации о кибербезопасности. Директора по информационной безопасности (CISO) собирают руководство для встреч и анализа киберустойчивости или киберготовности в своих компаниях. Эти встречи способствуют формированию критического понимания того, как эти правила влияют на вашу компанию и ее заинтересованные стороны. В этих встречах чаще всего участвуют директор по информационной безопасности (CISO), генеральный юрисконсульт, директор по управлению рисками (если присутствует), финансовый директор и руководитель отдела по связям с инвесторами. Ключевые темы для обсуждения касаются того, кто руководит процессом раскрытия информации и роли директора по информационной безопасности в отчетности о рисках и инцидентах. В ходе обсуждений необходимо разработать и утвердить стратегии сотрудничества, коммуникации с инвесторами и определить, как определить «…материала» киберинцидент, связанный с деятельностью компании, который теперь требует предоставления отчетности по форме 8-К.
Эти обсуждения должны сформировать чёткую матрицу ответственности в вашей компании в отношении раскрытия информации о кибербезопасности. Директора по информационной безопасности также должны обеспечить эффективное информирование инвесторов о своём подходе к кибербезопасности, отвечая их ожиданиям в отношении прозрачности. и Понимание. Ваша руководящая команда также должна учесть существующие коммуникационные стратегии компании в отношении киберрисков. Необходимо определить, оправданы ли новые методы, такие как отдельный отчёт по кибербезопасности (ежегодный аудит третьей стороной), для чёткого представления принципов управления такими рисками. Речь идёт не только о соблюдении требований; речь идёт о формировании обоснованной и последовательной внешней и внутренней позиции по управлению кибербезопасностью. Директор по информационной безопасности играет важную, но не исключительную роль в этом процессе. Результаты этих встреч будут определять дальнейшую политику компании в области кибербезопасности и отношения с инвесторами.
Согласно новым требованиям Комиссии по ценным бумагам и биржам США (SEC), организации обязаны раскрывать ряд информации, помогающей инвесторам понять процессы управления рисками кибербезопасности. Эта информация включает в себя стратегию кибербезопасности организации и информацию об управлении рисками третьих лиц. Для оценки таких рисков обычно используется методология Структура кибербезопасности NIST (NSF). В качестве альтернативы некоторые компании используют Стандарт управления рисками NIST 800-171 для своей стратегии соответствия. Затем руководство, включая директора по информационным технологиям, директора по информационной безопасности, генерального директора, финансового директора и совет директоров, должно разработать программу отчетности, в которой будут описаны достижения и снижение рисков компании в соответствии с контрольными показателями, изложенными в данных методах оценки.
Кроме того, ожидается, что компании будут делиться информацией о ключевых политиках, технических средствах контроля, независимых оценках безопасности, таких как Сертификации SOC 2. Предоставляются метрики программы, подробно описывающие эффективность программы и протоколы управления инцидентами. Проводится проверка покрытия киберстрахования, что помогает снизить финансовый риск, связанный с киберинцидентами, а также определить существенность событий и проблем кибербезопасности.
Директорам по информационной безопасности поручено собирать эти данные посредством анализа документов и консультаций со своими командами по кибербезопасности и высшим руководством. Поскольку многие организации могут не иметь прямого доступа ко всей этой информации, может быть полезно сформировать кросс-функциональную команду для содействия процессу сбора информации. Вы можете внедрить CyberHoot и собирать метрики по каждому сотруднику, подписывающему свои политики управления, выполняющему обучающие видеообучения, а также моделирующему и тестирующему фишинговые атаки. Конечная цель — предоставить отчёт совету директоров, руководителям высшего звена и…разумные инвесторы» повествование, которое доступно и понятно всем.
Хотя компании, разрабатывающие свои программы, могут задаваться вопросом, что делают другие, важно разработать собственную программу соответствия требованиям и отчётности, исходя из масштаба компании, её возможностей и ожиданий инвесторов. Существуют централизованные источники информации, которые вы можете использовать для разработки своей программы. Например, в 2022 году анализ, проведённый Центр EY по вопросам правления Раскрытие информации компаниями из списка Fortune 100 показало следующее повышение прозрачности в управлении рисками кибербезопасности.
Несмотря на прошлые публикации, новые правила SEC в области кибербезопасности требуют внедрения детальных и потенциально революционных методов отчетности, начиная с публичных компаний. Несмотря на то, что эти правила в первую очередь предназначены для компаний, чьи акции котируются на бирже, другим частным и небольшим компаниям следует ознакомиться с этими новыми правилами и начать подготовку и мониторинг своей деятельности для обеспечения собственной киберустойчивости и готовности к киберугрозам.
Компаниям приходится решать проблему определения того, что представляет собой «материала«Инцидент кибербезопасности для целей раскрытия информации, как того требует Комиссия по ценным бумагам и биржам США (SEC). Существенный инцидент определяется Комиссией по ценным бумагам и биржам (SEC) как «тот, который будет сочтен важным разумным инвестором, принимающим инвестиционное решение Это определение выходит за рамки финансовых пороговых значений и учитывает как количественные, так и качественные данные. Оно включает инциденты, приводящие к репутационному ущербу или краже информации, которые, хотя и не поддаются финансовой оценке, оказывают значительное влияние на отдельных лиц или компанию.
Комиссия по ценным бумагам и биржам США (SEC) рекомендует, чтобы, несмотря на общепринятое рассмотрение финансовых последствий, также оценивались масштаб и характер ущерба. Для полного понимания потенциальных последствий компаниям рекомендуется проводить финансовую количественную оценку киберрисков. Этот анализ может выявить слабые места программ, потребности в инвестициях и стратегии снижения рисков.
Хотя руководители служб информационной безопасности обычно не являются окончательными арбитрами в вопросах существенности, они должны принимать активное участие в процессе оценки и разработке упреждающих стратегий устранения рисков. Существенность инцидентов должна определяться в каждом конкретном случае юристами, генеральным директором и советом директоров. Решение о существенности должно приниматься с учетом конкретных обстоятельств и потенциальных последствий для компании и ее заинтересованных сторон.
Комиссия по ценным бумагам и биржам США (SEC) устанавливает особые требования к раскрытию информации о киберрисках, связанных со сторонними организациями, признавая их значительный потенциал в плане возникновения инцидентов кибербезопасности. В связи с тем, что всё больше компаний передают свои услуги сторонним поставщикам для повышения эффективности и конкурентоспособности, риски, связанные с уязвимостями сторонних организаций и цепочек поставок, возросли. Директорам по информационной безопасности (CISO) рекомендуется разработать надежную стратегию управления киберрисками, связанными со сторонними организациями, которая включает выявление и определение приоритетов сторонних партнеров (часто исходя из критичности данных, которые они содержат или к которым имеют доступ), проведение кибероценок на основе рисков и постоянный мониторинг этих организаций на предмет новых угроз. Для руководителей по информационной безопасности (CISO) крайне важна продуманная программа, гарантирующая заинтересованным сторонам эффективное управление рисками и соблюдение требований SEC к раскрытию информации.
Эти события подчеркивают стратегическую важность кибербезопасности в корпоративном управлении и необходимость того, чтобы руководство было хорошо информировано и проявляло инициативу в вопросах контроля кибербезопасности. Это также указывает на тенденцию к повышению прозрачности в управлении кибербезопасностью и предоставлении отчетности компаниями, с акцентом на создание устойчивой культуры безопасности, отвечающей интересам инвесторов и ожиданиям регулирующих органов.
Источники:
https://www.sec.gov/news/press-release/2023-139
Узнавайте и делитесь последними тенденциями, советами и передовыми методами в области кибербезопасности, а также новыми угрозами, на которые следует обратить внимание.
Практическое руководство для виртуальных специалистов по информационной безопасности (vCISO) ПРЕДУПРЕЖДЕНИЕ, КОТОРОЕ МЫ ПРОИГНОРИРОВАЛИ ИЛИ НЕ ПОНЯЛИ В течение многих лет наиболее авторитетные...
Читать далее
Руководство по выявлению мошеннических схем, когда мошенники выдают себя за высокопоставленных руководителей, прежде чем поддельный генеральный директор получит настоящий банковский перевод. Это...
Читать далее
Искусственный интеллект (ИИ) делает фишинговые письма умнее, вредоносное ПО — хитрее, а кражу учетных данных — проще...
Читать далееБолее пристальное внимание к человеческим рискам с помощью позитивного подхода, который превосходит традиционное тестирование на фишинг.
