SEC yeni siber güvenlik yasası çıkardı açıklama kuralları 15 Aralık 2023'te yürürlüğe girecek olan halka açık şirketler için bu kurallar, şirketlerin Yıllık raporlarında önemli siber güvenlik risklerini nasıl değerlendirdikleri, belirledikleri ve yönettikleri konusunda kapsamlı ayrıntılar sağlayın (Form 10-K). Kuruluşların şunları yapmasını gerektirir: Yönetim kurulunun siber güvenlik risklerini denetlemedeki rolünü ana hatlarıyla açıklayın. Son olarak, SEC, şirketlerin önemli siber güvenlik olaylarını dört gün içinde bildirmek (Form 8-K).
Bu düzenleme hem şirketler hem de Bilgi Güvenliği Yöneticileri (CISO'lar) üzerinde önemli bir etkiye sahiptir. CISO'lar, şirketlerinin siber güvenlik önlemleri ve olayları hakkında açık ve hızlı iletişim sağlamakla görevlendirilerek dikkatleri üzerine çekmektedir. Bu artan görünürlük, CISO'ların üst düzey yöneticiler ve yönetim kurulu üyeleriyle güçlü iletişim kanalları oluşturmasını gerektirmektedir. CISO'lar ayrıca siber güvenlik stratejilerini hem iş hedeflerine hem de yasal gerekliliklere uyumlu hale getirmelidir.
Bu düzenleme, şirket CEO'ları ve Yönetim Kurulu üyeleri için kurumsal yönetim kapsamında siber güvenlik dayanıklılığına odaklanmalarını sağlamlaştırıyor. Siber güvenlik stratejilerine aktif katılım ve denetimle görevlendiriliyorlar. Yönetim Kurulu artık sadece uyumluluğu değil, aynı zamanda şirketlerinin siber güvenlik programının etkinliğini de sağlamakla görevli. Bu değişim, kurumsal yönetimin siber riskleri yönetmedeki gelişen rolünü vurguluyor. Yatırımcıların, şirketlerin siber tehditlerle nasıl başa çıkıp bunları nasıl azaltabileceklerine yönelik artan ilgisini vurguluyor.
Yatırımcılar, siber güvenliğin yatırımları üzerindeki etkileri konusunda giderek daha fazla endişe duyuyor. Bu endişe, fidye yazılımı saldırıları ve veri ihlalleri gibi dikkat çeken siber olayların sayısındaki artışla daha da artıyor. Yatırımcılar, kritik çevresel, sosyal ve yönetişim (ESG) konularının yanı sıra siber güvenliğe de öncelik veriyor. Bu durum, RBC'nin Küresel Varlık Yönetimi Sorumlu Yatırım AnketiYatırımcılar, yatırım kararlarını bilgilendirmek için net, güvenilir ve uygulanabilir siber güvenlik verileri ararlar. Alanda derin teknik bilgiye sahip olmadan, siber güvenlik dayanıklılığının net göstergelerine ihtiyaç duyarlar ve isterler. İyi bir siber güvenlik, yalnızca bir risk azaltma faktörü olarak değil, aynı zamanda güçlü kurumsal yönetişim ve yönetim kalitesinin de bir göstergesi olarak görülür. Bu nitelikler, şirketleri yatırım için daha cazip hale getirir. Siber güvenlik ölçümlerini içeren araçlar, bir şirketin siber güvenlik hazırlığını değerlendirmek için kullanılır. Sonuç olarak, en iyi Bilgi Güvenliği Yöneticileri (CISO'lar) bu yatırımcı değerlendirmelerinin farkındadır. Başarılı CISO'lar, kuruluşlarının siber güvenlik önlemlerinin etkili bir şekilde iletilmesini sağlar. Etkili CISO'lar, siber güvenlik raporlamasında daha fazla şeffaflık ve hesap verebilirlik gibi küresel eğilimleri vurgular. Bu, yatırımcıların ve yatırımcı topluluğunun endişelerini yatıştırmaya yardımcı olur.
SEC'in yeni siber güvenlik düzenlemesi, üst düzey yöneticilerin katılımını gerektiriyor. Şirket yöneticilerinin siber güvenlik açıklamaları konusunda strateji geliştirmeleri gerekiyor. CISO'lar, şirketlerinde siber dayanıklılık veya siber hazırlığı gözden geçirmek için liderleri bir araya getiriyor. Bu toplantılar, bu düzenlemelerin şirketinizi ve paydaşlarınızı nasıl etkilediği konusunda kritik bir anlayış oluşturuyor. Bu toplantılara genellikle CISO, Genel Müşavir, Baş Risk Yöneticisi (varsa), CFO ve Yatırımcı İlişkileri Başkanı katılır. Temel tartışma noktaları, açıklama çalışmalarına kimin liderlik ettiği ve CISO'nun risk ve olay raporlamasındaki rolü etrafında dönmektedir. Görüşmelerde iş birliği stratejileri, yatırımcı iletişimleri ve "malzeme"Şirketin operasyonlarıyla ilgili bir siber olay artık 8-K'da raporlanması gerekiyor.
Bu tartışmalar, şirketiniz içinde siber güvenlik açıklamalarıyla ilgili net bir sorumluluk matrisi oluşturmalıdır. CISO'lar ayrıca, siber güvenliğe yönelik yaklaşımlarının yatırımcılara etkili bir şekilde iletilmesini ve şeffaflık beklentilerinin karşılanmasını sağlamalıdır. ve Anlayış. Liderlik ekibiniz, şirketin siber risklerle ilgili mevcut iletişim stratejilerini de göz önünde bulundurmalıdır. Bağımsız bir siber güvenlik raporu (yıllık üçüncü taraf denetimi) gibi yeni yöntemlerin, bu tür risklerin yönetimini açıkça iletmek için gerekli olup olmadığını belirlemelidirler. Bu sadece uyumlulukla ilgili değildir; aynı zamanda siber güvenlik yönetimi konusunda bilgili, tutarlı bir iç ve dış anlatı oluşturmakla da ilgilidir. CISO bu süreçte hayati bir rol oynar, ancak tek başına değildir. Bu toplantıların sonuçları, şirketin siber güvenlik duruşunu ve yatırımcı ilişkilerini bundan sonra şekillendirecektir.
SEC'in yeni gereklilikleri uyarınca, kuruluşlar yatırımcıların siber güvenlik risk yönetimi süreçlerini anlamalarına yardımcı olacak bir dizi bilgiyi açıklamak zorundadır. Bu bilgiler, kuruluşun siber güvenlik stratejisini ve üçüncü taraf risk yönetimini içerir. Bu tür risk değerlendirmeleri için yaygın olarak kullanılan bir çerçeve şudur: NIST Siber Güvenlik Çerçevesi (NSF). Alternatif olarak, bazı şirketler şunu kullanır: NIST 800-171 Risk Yönetimi Standardı Uyumluluk stratejileri için. Ardından, CIO, CISO, CEO, CFO ve yönetim kurulundan oluşan yönetim ekibi, bu değerlendirme yöntemlerinde belirtilen kontrollere göre şirket için başarıyı ve risk azaltmayı özetleyen bir raporlama programı oluşturmalıdır.
Ayrıca, şirketlerin temel politikalar, teknik kontroller ve bağımsız güvenlik değerlendirmeleri gibi konularda ayrıntıları paylaşmaları bekleniyor. SOC 2 sertifikaları. Program metrikleri, program etkinliğini ve olay yönetimi protokollerini ayrıntılı olarak açıklayarak raporlanır. Siber sigorta kapsamı doğrulanır ve siber olaylardan kaynaklanan finansal riskin azaltılmasına yardımcı olurken, siber güvenlik olaylarının ve sorunlarının öneminin belirlenmesine de yardımcı olur.
CISO'lar, belge incelemeleri ve siber güvenlik ekipleri ve üst düzey yöneticilerle yapılan istişareler yoluyla bu verileri toplamakla görevlidir. Birçok kuruluşun tüm bu bilgilere kolayca erişimi olmayabileceği için, bilgi toplama sürecine yardımcı olmak üzere işlevler arası bir ekip oluşturmak faydalı olabilir. CyberHoot'u benimseyip, yönetişim politikalarını onaylayan, farkındalık eğitimi video ödevlerini tamamlayan ve kimlik avı simülasyonları ve testlerini tamamlayan her çalışan için ölçümler toplayabilirsiniz. Nihai hedef, Yönetim Kurulu'na, Üst Düzey yöneticilere ve "makul yatırımcılar"Herkesin anlayabileceği ve erişebileceği bir anlatı.
Programlarını oluşturan şirketler başkalarının neler yaptığını merak edebilirken, kendi uyumluluk ve raporlama programınızı kendi boyutunuza, kapasitenize ve yatırımcı beklentilerinize göre oluşturmanız önemlidir. Kendi programınızın geliştirilmesi için inceleyebileceğiniz merkezi bilgi kaynakları mevcuttur. Örneğin, 2022'de, EY Yönetim Kurulu Konuları Merkezi Fortune 100 şirketlerinin siber güvenlik risk yönetiminde artan şeffaflık konusunda yaptığı açıklamalar şöyle:
Geçmişteki açıklamalara rağmen, SEC'in yeni siber güvenlik düzenlemeleri, halka açık şirketlerden başlayarak ayrıntılı ve potansiyel olarak dönüştürücü raporlama uygulamalarının benimsenmesini gerektiriyor. Kurallar öncelikle halka açık şirketleri hedef alsa da, diğer özel ve küçük şirketler de bu yeni kurallara aşina olmalı ve kendi siber güvenlik dayanıklılıkları ve hazırlıkları için operasyonlarını hazırlamaya ve izlemeye başlamalıdır.
Şirketler, "bir"in neyi oluşturduğunu belirleme zorluğuyla boğuşmak zorundadır.malzemeSEC tarafından gerekli görüldüğü takdirde, ifşa amacıyla siber güvenlik olayı. Önemli bir olay, SEC tarafından şu şekilde tanımlanmaktadır:makul bir yatırımcının yatırım kararı verirken önemli olarak değerlendireceği bir şey"Bu tespit, finansal eşiklerin ötesine geçer ve hem nicel hem de nitel verileri dikkate alır. Finansal olarak ölçülemese de bireyler veya şirket üzerinde önemli bir etkisi olan, itibar kaybına veya bilgi hırsızlığına yol açan olayları da kapsar.
SEC, finansal etkinin genellikle dikkate alınmasına rağmen, zararın kapsamının ve niteliğinin de değerlendirilmesi gerektiğini öne sürüyor. Potansiyel etkilerin kapsamlı bir şekilde anlaşılması için şirketlerin siber risklerin finansal ölçümünü yapmaları teşvik ediliyor. Bu analiz, program zayıflıklarını, yatırım ihtiyaçlarını ve risk azaltma stratejilerini ortaya çıkarabilir.
CISO'lar, genellikle önemlilik konusunda nihai karar mercii olmasalar da, değerlendirme sürecine ve proaktif risk giderme stratejilerinin geliştirilmesine derinlemesine dahil olmalıdırlar. Olayların önemliliği, hukuk müşaviri, CEO ve Yönetim Kurulu aracılığıyla vaka bazında belirlenmelidir. Önemlilik kararı, şirket ve paydaşları için özel koşulları ve olası etkileri dikkate almalıdır.
SEC, üçüncü taraf siber riskleri için belirli açıklama gerekliliklerini zorunlu kılarak, siber güvenlik olaylarına yol açma potansiyellerinin önemli olduğunu kabul etmektedir. Verimlilik ve rekabet avantajı için tedarikçilere dış kaynak kullanımı yapan şirket sayısı arttıkça, üçüncü taraf ve tedarik zinciri güvenlik açıklarından kaynaklanan riskler de artmıştır. CISO'lara, üçüncü taraf iş ortaklarını belirleme ve önceliklendirme (genellikle içerdikleri veya erişebildikleri verilerin kritikliğine göre), risk tabanlı siber değerlendirmeler yapma ve bu kuruluşların yeni tehditlere karşı sürekli izlenmesini içeren güçlü bir üçüncü taraf siber risk stratejisi oluşturmaları tavsiye edilmektedir. CISO'ların, paydaşlarına etkili risk yönetimi ve SEC açıklama gerekliliklerine uyum konusunda güvence vermeleri için kapsamlı bir program şarttır.
Bu gelişmeler, siber güvenliğin kurumsal yönetişimdeki stratejik önemini ve liderlerin siber güvenlik gözetiminde bilgili ve proaktif olmaları gerektiğini vurgulamaktadır. Ayrıca, şirketlerin siber güvenliği nasıl yönettiği ve raporladığı konusunda daha fazla şeffaflığa doğru bir eğilim olduğunu ve yatırımcı çıkarları ve düzenleyici beklentilerle uyumlu güçlü bir güvenlik kültürü oluşturulmasına vurgu yapıldığını göstermektedir.
kaynaklar:
https://www.sec.gov/news/press-release/2023-139
En son siber güvenlik trendlerini, ipuçlarını ve en iyi uygulamaları keşfedin ve paylaşın; ayrıca dikkat etmeniz gereken yeni tehditleri de öğrenin.
Sanal Bilgi Güvenliği Yöneticileri (vCISO'lar) İçin Pratik Bir Özet: GÖZ ARDI ETTİĞİMİZ VEYA ANLAYAMADIĞIMIZ UYARI Yıllarca en güvenilir...
Daha fazla
Üst düzey yönetici kılığına girme dolandırıcılıklarını, sahte CEO'nun gerçek bir para transferi yapmadan önce nasıl tespit edeceğinize dair bir rehber.
Daha fazla
Yapay Zeka (veya YZ), kimlik avı e-postalarını daha akıllı hale getiriyor, kötü amaçlı yazılımları daha sinsi kılıyor ve kimlik bilgilerinin çalınmasını kolaylaştırıyor...
Daha fazlaGeleneksel kimlik avı testlerini geride bırakan pozitif yaklaşımla, insan risklerine karşı daha keskin bakış açısına sahip olun.
