Finansal hizmet firmaları için uyumluluk raporlaması söz konusu olduğunda çevresel, sosyal ve yönetişim (ESG) konuları pek yeni konular değildir, ancak siber güvenlik ihlallerinin yönetişim bileşeni üzerindeki etkisi yakında hem finansal hem de finansal olmayan kuruluşlar için çok daha yüksek bir profil kazanacaktır. . Gizlilik sorunlarını, fidye yazılımlarının mali kayıplarını veya yönetişim perspektifinden iş sürekliliğini ele alan siber tehditler, dünya çapında ESG tartışmalarını yönetim kurulu toplantılarının ve üst düzey tartışmaların ön saflarına yerleştiriyor.
ABD şirketlerinin karşılaştığı raporlama değişiklikleri, Menkul Kıymetler ve Borsa Komisyonu Başkanı Gary Gensler’in son kural değişiklikleri nedeniyle önemli ölçüde genişleyebilir. 2002 Sarbanes-Oxley Yasası’nda (SOX) bulunan denetim ve finansal raporlamaya benzer siber güvenlik yönetişim raporlama gereksinimleri, yeni düzenlemelerin önemli bir bileşeni olacaktır.
SOX yönetişim gereksinimleri, yatırımcıların şirketler tarafından sahte finansal raporlamadan korunmasına yardımcı olmaya odaklanırken, siber güvenlik yönetişimi yeni ve geçmiş siber ihlaller hakkında raporlamayı iyileştirmek için tasarlanmıştır. Mevcut kurumsal yönetim, risk ve uyum (GRC) politikaları ve prosedürleri bu kuralların ele alınması için yeterli olmayacaktır.
Forrester’da kıdemli bir analist olan Alla Valente, önerilen SEC düzenleme değişikliklerini “Sarbanes-Oxley ışığı” olarak nitelendiriyor. Önerilen kurallar, şirketlerin rapor vermesi gerektiğini belirtir malzeme Siber güvenlik olaylarını, tanımlamadan sonraki dört gün içinde kaydetti. Sorun şu ki, “malzeme” tanımlanmadı ve sektöre göre değişiklik gösterdi, bu nedenle şirketler saatin olayları bildirmeye ne zaman başlayacağını tahmin etmeye bırakıldı. Bu, siber olayların hem fazla hem de eksik bildirilmesine yol açabileceğini söylüyor.
Basınç Siber Güvenlik Önlemlerini Yönlendiriyor
Valente, önerilen kurallara uymanın bir işletmenin siber sigorta alma kabiliyeti üzerinde doğrudan bir etkisi olabileceğini belirtiyor. Siber sigortacılar envanteri azaltırken fiyatları yukarıya ve kapsamı aşağıya çeken siber sigorta pazarındaki mevcut kaosa rağmen, bu kural değişiklikleri potansiyel olarak şirketler üzerindeki, aksi halde o anda tesis etmemiş olabilecekleri siber güvenlik kontrollerini uygulama baskısını daha da artırabilir. Ayrıca, geçmiş ihlaller ve bunların nasıl yönetilip hafifletildikleri hakkında çok daha fazla bilgi gerektirecektir.
Siber güvenlik danışmanlık firması Coalfire’ın saha CISO’su Jason Hicks, “Yönetimin raporlama ve siber yönetişimdeki yeni rolü ve kurulların uzmanlıklarına ve gözetimlerine ışık tutma konusundaki yeni sorumluluğu, kurumsal güvenlik programları üzerinde daha fazla inceleme yapılmasını sağlayacak” diyor.
“Bu, CISO’yu sıcak koltuğa oturtuyor,” diye devam ediyor. “Ayrıca, kurulları, ekiplerine siber güvenlik deneyimi olan yöneticileri denemek ve eklemek için yönlendirmek de muhtemel. Az sayıda kalifiye insan mevcut olduğu göz önüne alındığında, kurulların, siber güvenlik riski ve şirketin güvenliğinin yeterliliği konusunda tavsiyelerde bulunmak için kendi danışmanlarını tuttuğunu da görebiliyordum. programı.
Hicks, “Bu alanların tümünün, ESG yaklaşımınızın yönetişim bölümüne dahil edilmesi gerekecek” diye ekliyor. “Yönetim, siber güvenlik riskini yönetmekten zaten sorumludur, bu nedenle yük ve karmaşıklıkta birkaç değişiklik yapmasına rağmen, bu tamamen yeni bir sorumluluk sınıfı oluşturmuyor.”
Ulusötesi Şirketler İnisiyatif Alır
Hicks, kuruluşların şeffaflığı görme biçimlerinin ve bir şirketin faaliyet ortamlarının kültürel normlarının nasıl tepki verdiklerini etkileyebileceğini belirtiyor. “Çok uluslu şirketlerin, küresel olarak farklı yaklaşımlar göz önüne alındığında yaklaşımlarını dengelemeleri gerekiyor.”
Valente kabul eder. Avrupalılar, veri ihlallerine karşı savunmada Amerikan şirketlerine göre daha proaktif olma eğilimindedir. Kural değişikliği, özellikle önemli bir güvenlik kontrolü olan üçüncü taraf risk yönetimi söz konusu olduğunda, yerel kuruluşları daha proaktif olmaya zorlayabilir.
“Bu nihai hale geldiğinde, proaktif olma çabası göreceğiz. Bazıları [organizations] Valente, kanunun lafzını takip edecek ve kısa vadede ancak marjinal olarak başarılı olabilir,” diyor Valente, “Diğerleri kanunun ruhunu takip edecek ve bunu geliştirmek, çeşitlendirmek ve proaktif hale getirmek için bir araç olarak kullanacak. [third-party] kim olduklarının risk yönetimi parçasıdır. Kurumsal DNA’larına yerleşecek. Bunlar, bundan gerçekten gelişecek olan kuruluşlardır.”
Şirketler Başlayabilir
Yatırım danışmanlığı firması FiSolve’nin CEO’su ve hukuk firması Cramer Rosenthal McGlynn’in eski genel danışmanı Steven Yadegari, yönetim kurulu üyelerinin siber güvenlik konusunda özel raporlar arayacağını söyledi. Bu, siber güvenliğe odaklanan üç aylık raporları ve çabaya öncülük eden CISO gibi alanın gözetiminden sorumlu kişilerle yapılan toplantıları içerecektir.
“Yeni kurallar, resmi risk değerlendirmeleri, özel kontroller, izleme önlemleri ve olayların raporlama sistemini gerektirecektir. Bu alanlardan bazılarının mevcut programlarda ele alınmadığı ölçüde, kurullar yöneticilerin bu potansiyele nasıl uymayı düşündüklerini anlamak isteyecektir. Bu görüşmeler devam etmeli ve yeni kuralların kabul edilmesini beklememeli,” diyor Yadegari.
Bugün birçok şirketin satıcılarını daha dikkatli yönettiğini ve politikalarını ve prosedürlerini denetlediğini belirtiyor. Bu, özellikle bir kuruluşun hassas bilgileriyle iletişim kurabilecek üçüncü taraf hizmet sağlayıcıları ve tedarikçileri için geçerlidir.
Yadegari, “Şirketlerin, hizmetlerine güvenen şirketlere rahatlık sağlayacak sağlam bir siber güvenlik programına ve üçüncü taraf risk yönetimi (TPRM) programına sahip olmalarını sağlamaları gerekiyor” diyor.
Önerilen SEC kuralı değişikliklerinin son dili henüz kamuya açıklanmasa da, önerilen dil bulunabilir burada.