Soru: Siber güvenlik liderleri, ABD Menkul Kıymetler ve Borsa Komisyonu’nun (SEC) önemli siber olaylar ve risklere ilişkin siber güvenlik açıklama yönetmeliklerini nasıl yönetmelidir?
Kovrr CEO’su ve kurucu ortağı Yakir Golan: Maddi bir siber risk veya olayı oluşturan şeyin tanımı gereği bağlamsal olmasına rağmen, SEC tarafından verilen yorumlama alanı, hem Form 8-K hem de 10-K arasında çarpıcı raporlama tutarsızlıklarına yol açmıştır. Bazı durumlarda, hissedarlara bilinçli yatırım kararları almaları için yeterli ayrıntı sağlanırken, diğerlerinde önemli ölçüde eksik bırakılmaktadır.
SEC, daha önce bir kez, önemli bir siber olayı ifşa eden, orijinal gereklilikleri yineleyen ve görünüşte seyrek olan bir 8-K’nın takibini yapmak zorunda kalmıştı. Etkiye ilişkin ek bilgilerin derhal sunulmasını talep ediyor bir değişiklikte. Bu önemsiz ifşalar için henüz daha sert, daha cezalandırıcı sonuçlar olmasa da, hoşgörü süresinin sona ermesi sadece zaman meselesidir.
Kayıp Eşikleri ile Önemlilik Çerçeveleri Oluşturma
SEC’in kayıtlı kişilere önemlilik raporlaması için sunduğu en somut rehberliklerden biri, “mali koşullar ve faaliyet sonuçları (ROO),” ikisi de açıkça niceliksel çıktılardır. Bu nedenle kuruluşlara, maddilik değerlendirme çerçevelerini temellendirecekleri yapı pratik olarak teslim edilmektedir. Bu belirli sonuçları araştırarak ve ortaya çıkan hasarı hesaplayarak, CISO’lar paydaşlara ifşa uygulamalarında önemli ölçüde destek sağlayabilir ve uyumluluğu sağlayabilir.
Bir siber olayın maddiliğini, potansiyelini veya gerçekleşmişliğini kategorik olarak belirlemek için evrensel olarak kabul görmüş bir kayıp marjı yoktur. Ancak, kapsamlı bir araştırma yürütüp, çok sayıda sektördeki küresel organizasyonlardan gelen siber güvenlik olayı kayıp verilerine karşı çeşitli eşikleri inceledikten sonra, bir Şirketin yıllık gelirinin %0,01’i oranında kaybı uygun bir başlangıç noktasıdır.
Başka bir deyişle, bir kuruluşun gelirinin %0,01’ini veya daha fazlasını kaybetmesine neden olan herhangi bir siber olay önemli olabilir ve bu nedenle daha derinlemesine değerlendirilmelidir.
Ana Paydaşlarla Finansal Kayıp Senaryolarını Araştırmak
Mantıklı olmasına rağmen, bu tek gelir baz noktası (%0,01), maddiliği belirlemek için katı bir kural olarak değerlendirilmemelidir. Aksine, aksi takdirde süreç tarafından kafası karışmış veya bunalmış kuruluşlar için bir başlangıç noktası görevi görür. Sonuç olarak, CISO’lar, nihai parametreler üzerinde anlaşmaya varmadan önce en az üç veya dört diğer finansal kayıp eşiğini araştırmak için bir olay meydana gelmeden çok önce kilit paydaşlarla etkileşime girmelidir.
Bir işletmede uygun bir maddi mali kayıp yüzdesi olarak kabul edilebilecek şey, bir diğeri için uygun olmayabilir. Sonuç olarak, yöneticiler bu parasal eşiği organizasyonun risk iştahı ve tolerans seviyeleriyle uyumlu hale getirmeli ve gerektiğinde güncellemelidir.
Diğer Operasyonel Kayıp Ölçütlerinin İncelenmesi
Gelir kaybı yüzdesi, önemlilik belirleme çerçevelerini oluşturmak için benimsenen en yaygın eşik değerlerden biri olsa da, kuruluşlar, tehlikeye atılan veri kayıtlarının sayısı veya toplam kesinti süresi gibi operasyonel kayıp ölçümlerinden de yararlanarak önemli ölçüde etkili bir siber olayın neyi oluşturduğunu önceden tanımlayabilirler.
Örneğin, siber sigorta pazarında, tarihsel talep istihbaratı, bir organizasyonun toplam veri kayıtlarının %1 ila %10’unun tehlikeye atılması durumunda önemli ölçüde zarar gördüğünü göstermektedir. Bu nedenle, yönetici risk yöneticileri, CISO’nun bu yüzdelik sınırlar içindeki çeşitli kayıp senaryolarını araştırmasını ve daha sonra kararlaştırılan eşiği önemlilik karar alma sürecine yardımcı olmak için kullanmasını talep edebilir.
Form 10-K, Satır 1C için Muhtemel Eşik Aşımının Hesaplanması
Bu dahili önemlilik çerçeveleme ölçütleri belirlendikten sonra, CISO’lar siber olay durumunda bu kayıp değerlerinin aşılma olasılığını ölçebilirler; bu bilgi, Form 10-K’daki yeni siber güvenlik kalemine (1C) uyum sağlamak için özellikle değerlidir.
1C, kayıtlı kişilerin “malzemeyi değerlendirme, tanımlama ve yönetme” süreçlerini açıklamalarını gerektirir [cyber] “Riskler” başlığı altında, bu risklerin “operasyon sonuçlarını veya mali koşulları” nasıl etkileyeceğini raporlayın.
Ölçülen eşikler, aşılma olasılıklarıyla birlikte, üst düzey yöneticilerin söz konusu düzenleyici yükümlülükleri kolayca yerine getirmesini sağlıyor ve SEC’e ve yatırımcılara, kuruluşun siber risk ortamı ve bunun sonucunda karşılaştığı somut zararlar hakkında derinlemesine bir anlayış sunuyor.
Form 8-K, Satır 1.05 için Nicel Eşiklerin Kullanılması
SEC’nin siber güvenlik düzenlemeleri yürürlüğe girmeden çok önce, iş liderleri bir siber olayın ardından halletmeleri gereken görev miktarıyla zaten bunalmışlardı. Aralık 2023 itibarıyla, kuruluşlar bir olayın etkisini de değerlendirmelidir.makul olmayan gecikme olmaksızın“ve sonrasında maddi ve operasyonel kayıplar da dahil olmak üzere hasarın kapsamını, önemli olduğu tespit edilirse dört gün içinde bildirin.
Tüm kapsamlı etkileri incelemeye çalışarak kritik zaman harcamak yerine (ki bu hızla bunaltıcı hale gelebilir), risk yöneticileri ve yöneticiler değerlendirmeyi yönlendirmek için maddi niceliksel eşikleri kullanabilir ve önce kendilerine şu soruyu sorabilirler: “Olay, sınırlarımızı aşan kayıplara neden oldu mu?”
Bu parametrelerin hızlı bir şekilde erişilebilir olması çok daha verimli bir sürecin oluşmasını sağlar.
Üstelik, bu net bir şekilde tanımlanmış kayıp ölçütlerine sahip olmak, paydaşların SEC’ye açıklama tercihlerini kolayca gerekçelendirebilmelerini, olayı neden önemli gördüklerini veya görmediklerini ayrıntılı olarak açıklayabilmelerini sağlar.
Karışıma Niteliksel Etkilerin Dahil Edilmesi
Nicel eşiklerin önemlilik tartışmaları için temel sağladığını belirtmek önemlidir, ancak kuruluşlar bir siber olayın veya riskin daha nitel sonuçlarını da dikkate almazlarsa ifşalar uyumlu olmayacaktır. Nitel çıkarımlar, siber olayın önemli müşteriler veya pazarlar üzerindeki etkisini, yeni bir ürün lansmanını önemli ölçüde erteleyip ertelemeyeceğini veya düzenleyici bir para cezası veya soruşturma ile sonuçlanıp sonuçlanmadığını içerebilir.
Bu tür ikili parametreler, bu tür olayların niceliksel etkisinin üstüne değerlendirme ölçütü olarak dahil edilebilir. Genel olarak konuşursak, bir şeyin maddi ifşa için niceliksel eşiklerinizi aşması durumunda, onun niteliksel olarak maddi olmadığını iddia etmek daha zor olacaktır. Tersi daha az doğrudur.
Neyse ki, sayısal kıstaslar yerinde olduğu için, paydaşlar, önemli bir belirlemeye katkıda bulunan ve yatırımcılara uygun kapsamlı bilgi sağlayan bu daha az açık nitel faktörleri değerlendirmeye ayıracak zamana sahipler.
Sonuç olarak, hissedarlara SEC’in istediği şeffaf ve tutarlı bilgileri sunmak için, niceliksel eşiklere dayalı önemli değerlendirmeler için standartlaştırılmış bir metodoloji benimsemek en uygulanabilir yaklaşımdır.