Ang SEC ay nagpatupad ng bagong cybersecurity mga tuntunin sa pagsisiwalat para sa mga pampublikong kinakalakal na kumpanya, na magkakabisa sa Disyembre 15, 2023. Ang mga panuntunang ito ay nag-uutos na ang mga kumpanya magbigay ng mga komprehensibong detalye sa kung paano nila tinatasa, tinutukoy, at pinamamahalaan ang mga materyal na panganib sa cybersecurity sa loob ng kanilang taunang mga ulat (Form 10-K). Nangangailangan sila ng mga organisasyon balangkasin ang tungkulin ng lupon sa pangangasiwa sa mga panganib sa cybersecurity. Sa wakas, ang SEC ay nangangailangan ng mga kumpanya na upang mag-ulat ng mga makabuluhang insidente sa cybersecurity sa loob ng apat na araw (Form 8-K).
Ang regulasyong ito ay may malaking epekto sa parehong mga kumpanya at Chief Information Security Officers (CISOs). Ang mga CISO ay itinutulak sa isang spotlight, sinisingil sa pagtiyak ng malinaw at mabilis na komunikasyon tungkol sa mga hakbang at insidente sa cybersecurity ng kanilang kumpanya. Ang mas mataas na visibility na ito ay nangangailangan ng mga CISO na magsulong ng mga malalakas na channel ng komunikasyon sa mga nangungunang executive at miyembro ng board. Dapat ding iayon ng mga CISO ang mga diskarte sa cybersecurity sa parehong mga layunin sa negosyo at mga kinakailangan sa regulasyon.
Para sa mga CEO ng kumpanya at miyembro ng Board, pinatitibay ng regulasyon ang kanilang pagtuon sa katatagan ng cybersecurity sa loob ng corporate governance. Sila ay inatasan ng aktibong pakikilahok sa at pangangasiwa ng mga diskarte sa cybersecurity. Ang Lupon ay sinisingil na ngayon sa pagtiyak hindi lamang sa pagsunod kundi pati na rin sa bisa ng cybersecurity program ng kanilang kumpanya. Binibigyang-diin ng pagbabagong ito ang umuusbong na papel ng pamamahala ng korporasyon sa pamamahala ng mga panganib sa cyber. Itinatampok nito ang lumalaking interes ng mamumuhunan sa kung paano handa ang mga kumpanya na pangasiwaan at pagaanin ang mga banta sa cyber.
Ang mga mamumuhunan ay lalong nag-aalala tungkol sa mga implikasyon ng cybersecurity sa kanilang mga pamumuhunan. Ito ay itinulak ng tumataas na bilang ng mga high-profile na insidente sa cyber tulad ng mga pag-atake ng ransomware at mga paglabag sa data. Inuuna ng mga mamumuhunan ang cybersecurity kasama ng mga kritikal na isyu sa kapaligiran, panlipunan, at pamamahala (ESG). Ito ay makikita sa Ang Global Asset Management Responsible Investment Survey ng RBC. Ang mga mamumuhunan ay naghahanap ng malinaw, maaasahan, at naaaksyunan na data ng cybersecurity upang ipaalam ang kanilang mga desisyon sa pamumuhunan. Kailangan at gusto nila ng malinaw na mga indicator ng cybersecurity resiliency nang hindi kinakailangang magkaroon ng malalim na teknikal na kaalaman sa larangan. Ang mabuting cybersecurity ay hindi lamang nakikita bilang isang kadahilanan sa pagpapagaan ng panganib kundi bilang isang tagapagpahiwatig din ng matatag na pamamahala ng korporasyon at kalidad ng pamamahala. Ang mga katangiang ito ay ginagawang mas kaakit-akit ang kumpanya para sa pamumuhunan. Ang mga tool na nagsasama ng mga sukatan ng cybersecurity ay ginagamit upang suriin ang pagiging handa sa cybersecurity ng kumpanya. Dahil dito, alam ng pinakamahusay na Chief Information Security Officers (CISOs) ang mga pagsusuring ito ng mamumuhunan. Tinitiyak ng mga matagumpay na CISO na ang mga hakbang sa cybersecurity ng kanilang mga organisasyon ay epektibong ipinapaalam. Itinatampok ng mga epektibong CISO ang mga pandaigdigang uso gaya ng higit na transparency at pananagutan sa pag-uulat ng cybersecurity. Nakakatulong ito sa pagpapatahimik ng mga alalahanin ng mga mamumuhunan at sa komunidad ng pamumuhunan.
Ang bagong regulasyon sa cybersecurity ng SEC ay nangangailangan ng pakikilahok ng senior leadership. Dapat na kasangkot ang pamunuan ng kumpanya sa pag-istratehiya sa kanilang mga pagsisiwalat sa cybersecurity. Pinagsasama-sama ng mga CISO ang pamumuno upang matugunan at suriin ang cyber resiliency o paghahanda sa cyber sa kanilang mga kumpanya. Ang mga pagpupulong na ito, ay lumikha ng kritikal na pag-unawa sa kung paano nakakaapekto ang mga regulasyong ito sa iyong kumpanya at sa mga stakeholder nito. Ang mga pulong na ito ay kadalasang kinabibilangan ng CISO, General Counsel, isang Chief Risk Officer (kung naroroon), ang CFO, at ang pinuno ng Investor Relations. Ang mga pangunahing punto ng talakayan ay umiikot sa kung sino ang namumuno sa mga pagsisikap sa pagsisiwalat at ang papel ng CISO sa pag-uulat ng panganib at insidente. Ang mga talakayan ay dapat maglatag at magpatibay ng mga estratehiya sa pakikipagtulungan, mga komunikasyon sa mamumuhunan, at kung paano tukuyin ang isang "materyal” cyber incident na nauugnay sa mga operasyon ng kumpanya na nangangailangan ngayon ng pag-uulat sa 8-K.
Ang mga talakayang ito ay dapat magtatag ng isang malinaw na responsibilidad na matrix sa loob ng iyong kumpanya na may kaugnayan sa mga pagsisiwalat ng cybersecurity. Dapat ding tiyakin ng mga CISO na ang kanilang diskarte sa cybersecurity ay epektibong ipinapaalam sa mga mamumuhunan, na nakakatugon sa kanilang mga inaasahan para sa transparency at pagkakaunawaan. Dapat ding isaalang-alang ng iyong pangkat ng pamumuno ang mga umiiral nang diskarte sa komunikasyon ng kumpanya sa panganib sa cyber. Dapat nilang tukuyin kung ang mga bagong pamamaraan, tulad ng isang standalone na ulat sa cybersecurity (taunang pag-audit ng 3rd party), ay may katiyakan na malinaw na maihatid ang kanilang pamamahala sa mga naturang panganib. Ito ay hindi lamang tungkol sa pagsunod; ito ay tungkol sa pagbuo ng matalino, magkakaugnay na panlabas at panloob na salaysay sa pamamahala sa cybersecurity. Ang CISO ay gumaganap ng isang mahalagang papel ngunit hindi nag-iisa sa prosesong ito. Ang resulta ng mga pagpupulong na ito ay huhubog sa cybersecurity posture ng kumpanya at mga relasyon sa mamumuhunan sa pasulong.
Sa ilalim ng mga bagong kinakailangan ng SEC, dapat ibunyag ng mga organisasyon ang isang hanay ng impormasyon na tumutulong sa mga mamumuhunan na maunawaan ang kanilang mga proseso sa pamamahala sa peligro sa cybersecurity. Kasama sa impormasyong ito ang diskarte sa cybersecurity ng organisasyon at pamamahala sa peligro ng third-party. Ang isang balangkas na karaniwang ginagamit para sa naturang mga pagtatasa ng panganib ay ang NIST Cybersecurity Framework (NSF). Bilang kahalili, ginagamit ng ilang kumpanya ang NIST 800-171 Pamantayan sa Pamamahala ng Panganib para sa kanilang diskarte sa pagsunod. Pagkatapos, ang management team, kabilang ang CIO, CISO, CEO, CFO, at board ay dapat gumawa ng isang programa sa pag-uulat na nagbabalangkas sa pagkamit at pagbabawas ng panganib para sa kumpanya laban sa mga kontrol na nakabalangkas sa mga pamamaraan ng pagtatasa na ito.
Bilang karagdagan, ang mga kumpanya ay inaasahang magbahagi ng mga detalye tungkol sa mga pangunahing patakaran, teknikal na kontrol, mga independiyenteng pagsusuri sa seguridad tulad ng Mga sertipikasyon ng SOC 2. Ang mga sukatan ng programa ay iniulat na nagdedetalye ng pagiging epektibo ng programa at mga protocol sa pamamahala ng insidente. Ang saklaw ng cyber insurance ay napatunayan na tumutulong sa pagbabawas ng panganib sa pananalapi mula sa mga insidente sa cyber, habang tumutulong sa pagtukoy ng materyalidad ng mga kaganapan at isyu sa cybersecurity.
Ang mga CISO ay may tungkuling mangalap ng data na ito sa pamamagitan ng mga pagsusuri sa dokumento at mga konsultasyon sa kanilang mga cybersecurity team at senior executive. Dahil maraming organisasyon ang maaaring walang handang access sa lahat ng impormasyong ito, maaaring kapaki-pakinabang na bumuo ng cross-functional na koponan upang tumulong sa proseso ng pangongolekta ng impormasyon. Maaari mong gamitin ang CyberHoot at makuha ang mga sukatan para sa bawat empleyadong nagsa-sign off sa kanilang mga patakaran sa pamamahala, pagkumpleto ng mga takdang-aralin sa video ng pagsasanay sa kaalaman, at pagkumpleto ng mga simulation at pagsubok sa phishing. Ang pinakalayunin ay ang mag-ulat pabalik sa Lupon, C-Level executive, at “makatwirang mamumuhunan” isang salaysay na parehong naa-access at naiintindihan ng lahat.
Habang ang mga kumpanyang gumagawa ng kanilang mga programa ay maaaring magtaka kung ano ang ginagawa ng iba, mahalagang bumuo ng sarili mong programa sa pagsunod at pag-uulat batay sa iyong sariling laki, kapasidad, at inaasahan ng mamumuhunan. May mga pinagmumulan ng sentralisadong impormasyon na nakolekta na maaari mong suriin para sa iyong sariling pag-unlad ng programa. Halimbawa, sa 2022, isang pagsusuri ng EY Center for Board Matters sa mga pagsisiwalat ng kumpanya ng Fortune 100 ay nagsiwalat ng mga sumusunod na tumaas na transparency sa pamamahala ng panganib sa cybersecurity.
Sa kabila ng mga nakaraang pagsisiwalat, ang mga bagong regulasyon sa cybersecurity ng SEC ay nangangailangan ng mga detalyado at potensyal na pagbabago sa mga gawi sa pag-uulat na pinagtibay simula sa mga pampublikong kinakalakal na kumpanya. Sa kabila ng mga panuntunan na pangunahing nagta-target sa mga kumpanyang nakalista sa publiko, dapat na maging pamilyar ang ibang pribado at mas maliliit na kumpanya sa mga bagong panuntunang ito, at simulan ang paghahanda at pagsubaybay sa kanilang mga operasyon para sa kanilang sariling katatagan at paghahanda sa cybersecurity.
Dapat harapin ng mga kumpanya ang hamon ng pagtukoy kung ano ang bumubuo sa isang "materyal" insidente sa cybersecurity para sa mga layunin ng pagsisiwalat, gaya ng iniaatas ng SEC. Ang isang materyal na insidente ay tinukoy ng SEC bilang "isa na maituturing na mahalaga ng isang makatwirang mamumuhunan na gumagawa ng desisyon sa pamumuhunan". Ang pagpapasiya na ito ay lampas sa mga limitasyon sa pananalapi at isinasaalang-alang ang parehong dami at husay na data. Kabilang dito ang mga insidente na nagreresulta sa pinsala sa reputasyon o pagnanakaw ng impormasyon na, bagama't hindi nasusukat sa pananalapi, ay may malaking epekto sa mga indibidwal o sa kumpanya.
Iminumungkahi ng SEC na habang ang epekto sa pananalapi ay karaniwang isinasaalang-alang, ang saklaw at katangian ng pinsala ay dapat ding suriin. Para sa isang masusing pag-unawa sa mga potensyal na epekto, hinihikayat ang mga kumpanya na magsagawa ng financial quantification ng mga panganib sa cyber. Maaaring ipakita ng pagsusuring ito ang mga kahinaan ng programa, mga pangangailangan sa pamumuhunan, at mga diskarte sa pagpapagaan ng panganib.
Ang mga CISO, bagama't hindi karaniwang ang panghuling tagapamagitan ng materyalidad, ay dapat na malalim na kasangkot sa proseso ng pagtatasa at sa pagbuo ng mga proactive na diskarte sa remediation sa panganib. Ang materyalidad ng mga insidente ay dapat matukoy case-by-case sa pamamagitan ng legal na tagapayo, ang CEO, at ang Lupon ng mga Direktor. Ang desisyon ng materyalidad ay kailangang isaalang-alang ang mga partikular na pangyayari at potensyal na implikasyon para sa kumpanya at sa mga stakeholder nito.
Ang SEC ay nag-uutos ng mga partikular na kinakailangan sa pagsisiwalat para sa mga third-party na panganib sa cyber, na kinikilala ang kanilang malaking potensyal na magpakilala ng mga insidente sa cybersecurity. Sa mas maraming kumpanyang nag-outsourcing sa mga vendor para sa kahusayan at mapagkumpitensyang mga tagumpay, ang mga panganib mula sa mga kahinaan ng third-party at supply chain ay tumaas. Pinapayuhan ang mga CISO na magtatag ng matatag na diskarte sa cyber risk ng third-party na kinabibilangan ng pagtukoy at pagbibigay-priyoridad sa mga third-party na kasosyo (kadalasang nakabatay sa pagiging kritikal ng data na nilalaman nito o maaaring ma-access), pagsasagawa ng mga pagtatasa sa cyber na nakabatay sa panganib, at patuloy na pagsubaybay sa mga entity na ito para sa mga bagong banta. Ang isang masusing programa ay mahalaga para sa mga CISO upang tiyakin sa mga stakeholder ang epektibong pamamahala sa peligro at pagsunod sa mga kinakailangan sa pagsisiwalat ng SEC.
Itinatampok ng mga pag-unlad na ito ang estratehikong kahalagahan ng cybersecurity sa corporate governance at ang pangangailangan para sa pamumuno na maging mahusay ang kaalaman at proactive sa cybersecurity oversight. Ipinapahiwatig din nito ang isang trend patungo sa higit na transparency sa kung paano namamahala at nag-uulat ang mga kumpanya sa cybersecurity, na may diin sa paglikha ng isang matatag na kultura ng seguridad na naaayon sa mga interes ng mamumuhunan at mga inaasahan sa regulasyon.
Pinagmumulan:
https://www.sec.gov/news/press-release/2023-139
Tuklasin at ibahagi ang pinakabagong mga uso sa cybersecurity, mga tip at pinakamahusay na kagawian – kasama ng mga bagong banta na dapat abangan.
Isang Praktikal na Maikling Balita para sa mga vCISO ANG BABALA NA HINDI NATIN BINALEWALA O HINDI NATIN MAINTINDIHAN Sa loob ng maraming taon, ang pinaka-kapani-paniwala...
Magbasa nang higit pa
Isang gabay sa pagtuklas ng mga panloloko sa pagpapanggap bilang senior executive bago pa man makatanggap ng totoong wire transfer ang pekeng CEO. Ito...
Magbasa nang higit pa
Ginagawang mas matalino ng Artificial Intelligence (o AI) ang mga phishing email, mas palihim na ginagawa ang malware na mas maginhawa, at mas madali ang pagnanakaw ng kredensyal...
Magbasa nang higit paMas matalas ang mata sa mga panganib ng tao, gamit ang positibong diskarte na nakakatalo sa tradisyonal na pagsubok sa phish.
