Komisia pre cenné papiere a burzy (SEC) schválila nový systém kybernetickej bezpečnosti pravidlá zverejňovania pre verejne obchodované spoločnosti, ktorá nadobúda účinnosť 15. decembra 2023. Tieto pravidlá nariaďujú, aby spoločnosti poskytovať komplexné informácie o tom, ako posudzujú, identifikujú a riadia významné riziká kybernetickej bezpečnosti vo svojich výročných správach (Formulár 10-K). Vyžadujú od organizácií, aby načrtnúť úlohu predstavenstva pri dohľade nad rizikami kybernetickej bezpečnosti. Nakoniec, Komisia pre cenné papiere a burzy (SEC) vyžaduje, aby spoločnosti nahlásiť významné kybernetické bezpečnostné incidenty do štyroch dní (Formulár 8-K).
Toto nariadenie má významný vplyv na spoločnosti aj na riaditeľov pre informačnú bezpečnosť (CISO). Riaditelia informačnej bezpečnosti (CISO) sú v centre pozornosti a majú za úlohu zabezpečiť jasnú a rýchlu komunikáciu o opatreniach a incidentoch v oblasti kybernetickej bezpečnosti ich spoločnosti. Táto zvýšená viditeľnosť si vyžaduje, aby CISO podporovali silné komunikačné kanály s vrcholovými manažérmi a členmi predstavenstva. Riaditelia informačnej bezpečnosti musia tiež zosúladiť stratégie kybernetickej bezpečnosti s obchodnými cieľmi aj regulačnými požiadavkami.
Pre generálnych riaditeľov spoločností aj členov predstavenstva toto nariadenie upevňuje ich zameranie na odolnosť kybernetickej bezpečnosti v rámci správy a riadenia spoločností. Ich úlohou je aktívne sa podieľať na stratégiách kybernetickej bezpečnosti a dohliadať na ne. Predstavenstvo je teraz poverené nielen zabezpečením súladu s predpismi, ale aj efektívnosti programu kybernetickej bezpečnosti svojej spoločnosti. Tento posun podčiarkuje vyvíjajúcu sa úlohu správy a riadenia spoločností pri riadení kybernetických rizík. Zdôrazňuje rastúci záujem investorov o to, ako sú spoločnosti pripravené zvládať a zmierňovať kybernetické hrozby.
Investori sa čoraz viac obávajú dôsledkov kybernetickej bezpečnosti na svoje investície. Toto je spôsobené rastúcim počtom významných kybernetických incidentov, ako sú útoky ransomvéru a úniky údajov. Investori uprednostňujú kybernetickú bezpečnosť popri kritických environmentálnych, sociálnych a správnych (ESG) otázkach. To sa odráža v Prieskum RBC o zodpovednom investovaní do globálnej správy aktívInvestori hľadajú jasné, spoľahlivé a praktické údaje o kybernetickej bezpečnosti, ktoré by im pomohli pri investičných rozhodnutiach. Potrebujú a chcú jasné ukazovatele odolnosti kybernetickej bezpečnosti bez toho, aby museli mať hlboké technické znalosti v danej oblasti. Dobrá kybernetická bezpečnosť sa nepovažuje len za faktor zmierňovania rizík, ale aj za ukazovateľ robustného riadenia a kvality riadenia spoločností. Vďaka týmto vlastnostiam sú spoločnosti atraktívnejšie pre investície. Na hodnotenie pripravenosti spoločnosti na kybernetickú bezpečnosť sa používajú nástroje, ktoré zahŕňajú metriky kybernetickej bezpečnosti. V dôsledku toho sú si najlepší riaditelia informačnej bezpečnosti (CISO) vedomí týchto hodnotení investorov. Úspešní riaditelia informačnej bezpečnosti zabezpečujú, aby boli opatrenia ich organizácií v oblasti kybernetickej bezpečnosti efektívne komunikované. Efektívni riaditelia informačnej bezpečnosti zdôrazňujú globálne trendy, ako je väčšia transparentnosť a zodpovednosť pri podávaní správ o kybernetickej bezpečnosti. To pomáha upokojiť obavy investorov a investičnej komunity.
Nové nariadenie SEC o kybernetickej bezpečnosti si vyžaduje zapojenie vrcholového vedenia. Vedenie spoločnosti musí byť zapojené do strategického plánovania zverejňovania informácií o kybernetickej bezpečnosti. Riaditelia bezpečnostnej bezpečnosti (CISO) spájajú vedenie, aby sa stretli a preskúmali kybernetickú odolnosť alebo kybernetickú pripravenosť vo svojich firmách. Tieto stretnutia vytvárajú kritické pochopenie toho, ako tieto nariadenia ovplyvňujú vašu spoločnosť a jej zainteresované strany. Na týchto stretnutiach sa najčastejšie zúčastňujú CISO, generálny právny zástupca, riaditeľ pre riadenie rizík (ak je prítomný), finančný riaditeľ a vedúci oddelenia vzťahov s investormi. Kľúčové body diskusie sa točia okolo toho, kto vedie úsilie o zverejňovanie informácií a úloha CISO pri hlásení rizík a incidentov. Diskusie musia stanoviť a ratifikovať stratégie spolupráce, komunikáciu s investormi a ako definovať „…materiál„kybernetický incident týkajúci sa prevádzky spoločnosti, ktorý teraz vyžaduje hlásenie v systéme 8-K.“
Tieto diskusie musia v rámci vašej spoločnosti stanoviť jasnú maticu zodpovednosti týkajúcu sa zverejňovania informácií o kybernetickej bezpečnosti. Riaditelia CISO musia tiež zabezpečiť, aby bol ich prístup ku kybernetickej bezpečnosti efektívne komunikovaný investorom a aby spĺňal ich očakávania týkajúce sa transparentnosti. a porozumenie. Váš tím vedenia musí tiež zvážiť existujúce komunikačné stratégie spoločnosti týkajúce sa kybernetických rizík. Musí určiť, či sú nové metódy, ako napríklad samostatná správa o kybernetickej bezpečnosti (ročný audit tretej strany), opodstatnené na jasné vyjadrenie ich riadenia takýchto rizík. Nejde len o dodržiavanie predpisov; ide o vytvorenie informovaného a uceleného externého a interného naratívu o riadení kybernetickej bezpečnosti. CISO zohráva v tomto procese kľúčovú, ale nie osamelú úlohu. Výsledok týchto stretnutí bude formovať postoj spoločnosti k kybernetickej bezpečnosti a vzťahy s investormi do budúcnosti.
Podľa nových požiadaviek SEC musia organizácie zverejniť celý rad informácií, ktoré investorom pomôžu pochopiť ich procesy riadenia kybernetických bezpečnostných rizík. Tieto informácie zahŕňajú stratégiu kybernetickej bezpečnosti organizácie a riadenie rizík tretích strán. Rámec bežne používaný na takéto hodnotenia rizík je Rámec kybernetickej bezpečnosti NIST (NSF). Prípadne niektoré spoločnosti používajú Norma riadenia rizík NIST 800-171 pre ich stratégiu dodržiavania predpisov. Manažérsky tím vrátane riaditeľa pre informačné technológie (CIO), riaditeľa pre bezpečnostnú bezpečnosť (CISO), generálneho riaditeľa, finančného riaditeľa a predstavenstva musí vytvoriť program podávania správ, ktorý načrtáva dosiahnutie cieľov a zmierňovanie rizík pre spoločnosť v porovnaní s kontrolnými mechanizmami uvedenými v týchto metódach hodnotenia.
Okrem toho sa od spoločností očakáva, že budú zdieľať podrobnosti o kľúčových politikách, technických kontrolách a nezávislých bezpečnostných hodnoteniach, ako napríklad Certifikácie SOC 2. V správach sa uvádzajú metriky programu s podrobnosťami o jeho účinnosti a protokoloch riadenia incidentov. Poistenie kybernetickej bezpečnosti je overené, čo pomáha znižovať finančné riziko spojené s kybernetickými incidentmi a zároveň pomáha určiť závažnosť udalostí a problémov v oblasti kybernetickej bezpečnosti.
Riaditelia CISO majú za úlohu zhromažďovať tieto údaje prostredníctvom kontroly dokumentov a konzultácií so svojimi tímami kybernetickej bezpečnosti a vrcholovými manažérmi. Keďže mnohé organizácie nemusia mať priamy prístup ku všetkým týmto informáciám, môže byť prospešné vytvoriť medzifunkčný tím, ktorý by pomohol v procese zhromažďovania informácií. Mohli by ste prijať CyberHoot a zaznamenávať metriky pre každého zamestnanca, ktorý podpíše svoje zásady riadenia, dokončí videozáznamy o školeniach zameraných na zvyšovanie povedomia a dokončí simulácie a testy phishingu. Konečným cieľom je podať správu predstavenstvu, vrcholovým manažérom a „…rozumní investori„rozprávanie, ktoré je prístupné a zrozumiteľné pre všetkých.“
Zatiaľ čo spoločnosti, ktoré vytvárajú svoje programy, sa môžu čudovať, čo robia ostatní, je dôležité vytvoriť si vlastný program dodržiavania predpisov a podávania správ na základe vašej vlastnej veľkosti, kapacít a očakávaní investorov. Existujú zdroje centralizovaných zhromaždených informácií, ktoré môžete preskúmať pri vývoji vlastného programu. Napríklad v roku 2022 analýza od Centrum EY pre záležitosti predstavenstva Zverejnenia spoločností z rebríčka Fortune 100 odhalili nasledujúcu zvýšenú transparentnosť v riadení kybernetických bezpečnostných rizík.
Napriek predchádzajúcim zverejneniam nové nariadenia SEC týkajúce sa kybernetickej bezpečnosti vyžadujú prijatie podrobných a potenciálne transformačných postupov podávania správ, počnúc verejne obchodovanými spoločnosťami. Napriek tomu, že pravidlá sú primárne zamerané na verejne obchodované spoločnosti, aj iné súkromné a menšie spoločnosti by sa mali s týmito novými pravidlami oboznámiť a začať s prípravou a monitorovaním svojich operácií z hľadiska vlastnej odolnosti a pripravenosti v oblasti kybernetickej bezpečnosti.
Spoločnosti sa musia vysporiadať s výzvou určiť, čo predstavuje „materiál„kybernetický bezpečnostný incident na účely zverejnenia, ako to vyžaduje SEC. Podstatný incident je definovaný SEC ako „taký, ktorý by rozumný investor pri investičnom rozhodovaní považoval za dôležitý"Toto určenie presahuje finančné prahy a zohľadňuje kvantitatívne aj kvalitatívne údaje. Zahŕňa incidenty, ktoré viedli k poškodeniu reputácie alebo krádeži informácií, ktoré síce nie sú finančne kvantifikovateľné, ale majú významný vplyv na jednotlivcov alebo spoločnosť.
Komisia pre cenné papiere a burzy (SEC) navrhuje, aby sa hoci sa bežne zohľadňuje finančný dopad, hodnotil aj rozsah a povaha škody. Pre dôkladné pochopenie potenciálnych dopadov sa spoločnostiam odporúča vykonať finančnú kvantifikáciu kybernetických rizík. Táto analýza môže odhaliť slabé stránky programu, investičné potreby a stratégie na zmiernenie rizík.
Riaditelia bezpečnosti informačných technológií (CISO), hoci zvyčajne nie sú konečnými arbitrážnymi orgánmi pri rozhodovaní o závažnosti, by mali byť hlboko zapojení do procesu hodnotenia a navrhovania proaktívnych stratégií na nápravu rizík. Závažnosť incidentov by sa mala určovať individuálne prostredníctvom právneho poradcu, generálneho riaditeľa a predstavenstva. Rozhodnutie o závažnosti musí zohľadniť špecifické okolnosti a potenciálne dôsledky pre spoločnosť a jej zainteresované strany.
Komisia pre cenné papiere a burzy (SEC) stanovuje špecifické požiadavky na zverejňovanie informácií o kybernetických rizikách tretích strán a uznáva ich významný potenciál spôsobiť kybernetické incidenty. Vzhľadom na to, že čoraz viac spoločností zadáva svoje služby dodávateľom za účelom zefektívnenia a konkurenčných výhod, riziká vyplývajúce z tretích strán a zraniteľností dodávateľského reťazca sa stupňovali. Riaditelia bezpečnostných informácií (CISO) by mali zaviesť robustnú stratégiu pre kybernetické riziká tretích strán, ktorá zahŕňa identifikáciu a stanovenie priorít partnerských tretích strán (často na základe dôležitosti údajov, ktoré obsahujú alebo ku ktorým majú prístup), vykonávanie kybernetických hodnotení založených na rizikách a neustále monitorovanie týchto subjektov z hľadiska nových hrozieb. Pre riaditeľov bezpečnostných informácií je nevyhnutný dôkladný program, aby sa zainteresovaným stranám zabezpečilo efektívne riadenie rizík a dodržiavanie požiadaviek SEC na zverejňovanie informácií.
Tento vývoj zdôrazňuje strategický význam kybernetickej bezpečnosti v riadení spoločností a potrebu, aby bolo vedenie dobre informované a proaktívne v oblasti dohľadu nad kybernetickou bezpečnosťou. Naznačuje to tiež trend smerom k väčšej transparentnosti v tom, ako spoločnosti riadia a podávajú správy o kybernetickej bezpečnosti, s dôrazom na vytváranie silnej kultúry bezpečnosti, ktorá je v súlade so záujmami investorov a očakávaniami regulačných orgánov.
Zdroje:
https://www.sec.gov/news/press-release/2023-139
Objavte a zdieľajte najnovšie trendy, tipy a osvedčené postupy v oblasti kybernetickej bezpečnosti – spolu s novými hrozbami, na ktoré si treba dať pozor.
Praktický prehľad pre vCISO VAROVANIE, KTORÉ SME IGNOROVALI ALEBO NEDOKÁZALI POCHOPIŤ Roky najdôveryhodnejšie...
Čítaj viac
Sprievodca odhalením podvodov s vydávaním sa za vrcholového manažéra skôr, ako falošný generálny riaditeľ získa skutočný bankový prevod. Je to...
Čítaj viac
Umelá inteligencia (alebo AI) robí phishingové e-maily inteligentnejšími, malvér zákernejším a krádež prihlasovacích údajov jednoduchšou...
Čítaj viacZískajte bystrejší pohľad na ľudské riziká s pozitívnym prístupom, ktorý prekonáva tradičné phishingové testovanie.
