SEC’in Yeni Yönergeleri Proaktif Siber Risk Yönetimini Hızlandırıyor
RiskOptics Teknik Ürün Yönetimi Direktörü Meghan Maneval tarafından yazılmıştır.
Yakın zamanda Menkul Kıymetler ve Borsa Komisyonu (SEC), siber risklerin ve ihlallerin ele alınması ve raporlanmasına ilişkin kuralları kabul etti. Bu yeni yönerge ve düzenlemelerle birlikte kamu şirketleri ve kuruluşları, yaşadıkları siber güvenlik olaylarını zamanında ve siber güvenlik risk yönetimi, stratejisi ve yönetişimine ilişkin her türlü bilgiyi yıllık olarak açıklamalıdır. Bu yeni kurallar, daha doğru raporlar hedefiyle raporlamaya hem tutarlılık hem de zamanındalık kazandıracak.
SEC daha önce 2011 ve 2018’de siber olayların raporlanmasına ilişkin yönergeleri açıklamış olsa da, sık sık yaşanan gecikmelere ve daha yeterli ayrıntı ihtiyacına yer bırakmıştı. O zamandan beri SEC, önerilen kuralların inceliklerini müzakere etmek ve içeriği iyileştirmek için siber güvenlik profesyonellerinden ve şirketlerden geri bildirim toplamak için bir yıldan fazla zaman harcadı. Bu yeni yönergelerle şirketlerin artık “önemli” siber olayları dört gün içinde raporlaması, her üç ayda bir önceden açıklanan olaylarla ilgili bilgi ve güncellemeler sağlaması, siber güvenlik risk yönetimi stratejisi hakkında yıllık raporlama yapması ve siber riski azaltmak için kontroller benimsemesi gerekiyor.
Bu yeni kurallar ve yönergeler bazılarına aşırı görünse de, siber risk yönetimine daha güçlü ve daha proaktif bir yaklaşıma doğru atılmış önemli bir adımdır. Bu karardan çıkarılacak birkaç önemli sonuca ve bunların kuruluşunuz için ne anlama gelebileceğine bakalım.
1) Kuruluşlar her zaman denetime hazır olmalı ve daha sonra bazı.
Pek çok kuruluşun bu yeni kurallarla ilgili yaşayabileceği temel endişe, maddi bir olayın dört gün içinde rapor edilmesi gerekliliğidir. Verileri paylaşan ve toplayan entegre sistemleriniz yoksa bu zor olabilir. Bu, soruşturmalarda gecikmelere ve potansiyel olarak gerekli açıklama tarihinin kaçırılmasına yol açabilir. Yeni kuralın gerekliliklerini yerine getirmek için kuruluşların veri toplama ve kontrollerini sürekli izleme konusunda proaktif olmaları gerekiyor. Sonuç olarak denetçiler ve bilgisayar korsanları aynı şeyi arıyor: kontrol başarısızlıkları. Kuruluşlar onları sürekli olarak izliyor ve test ediyorsa, bilgisayar korsanlarının bir açıklık bulma olasılığı daha düşüktür; bu, denetime hazır kuruluşların aynı zamanda olaylara da hazır olduğu anlamına gelir!
Denetime hazır olmak, risk değerlendirmesi, gerçek zamanlı sürekli uyumluluk izleme, çalışanlara yönelik eğitim ve etkili iletişimi içeren güvenlik ve uyumluluk konusunda bütünsel bir yaklaşıma sahip olmak anlamına gelir. Bu kritik parçaların yerinde olması ve doğru süreçlerin otomatikleştirilmesi, bu kuralın ardından kuruluşlar için son derece önemlidir çünkü raporlama gereksinimlerini daha hızlı, daha az çabayla ve devam eden faaliyetleri daha az kesintiye uğratarak karşılamalarına olanak tanır.
Riskin işin neresinde olduğunu en iyi şekilde anlamak için kuruluşların bir risk yönetimi ve uyumluluk aracından yararlanması gerekir. Kuruluşlar, uyumluluk standartlarına göre denetim yaparak, kendilerine özgü iş risklerinin nerede olduğunu görebilir ve bunun karşılığında bu riski iyileştirecek ve riske maruz kalmayı azaltacak kararlar alabilir. Ek olarak, güçlü bir risk yönetimi aracı, güvenlik liderlerinin riskin en çok önemsedikleri iş yönleri üzerindeki etkisini hızlı bir şekilde anlamalarına, değerlendirmelerine ve iletmelerine olanak tanıyacaktır.
2) Yönetim kurullarının siber risk ve güvenlik konusunda her zamankinden daha derin bir anlayışa sahip olması gerekiyor.
Kuralın bir kısmı, şirketlerin yönetim kurulunun siber güvenlik hakkında ne kadar bilgi sahibi olduğunu ve kuruluşlarının siber güvenlik taktiklerini ve en iyi uygulamaları nasıl uyguladığını açıklamasını gerektiriyor. Bu, siber güvenlik ve mevcut tehdit ortamı hakkında genel eğitimle başlar. Kuruluşlar bunu eğitimlerle, eğitim materyalleri sağlayarak veya konuşmaları yönlendirmeye yardımcı olması için yönetim kuruluna siber güvenlik alanında bir uzman atayarak başarabilirler. Bu temel adım, amaca yönelik hareket etmek için kritik öneme sahiptir.
Yönetim kurulu üyelerinin organizasyon içerisinde neler olup bittiğine, mevcut durumda hangi girişimlerin mevcut olduğuna ve hangi risklerin başarıyı etkilediğine ilişkin farkındalığını da dikkate almak önemlidir. Bunu etkili bir şekilde yapabilmek için güvenlik liderlerinin siber riski ve etkisini yönetim kurulu üyelerinin anlayacağı bir dile (dolar ve sentler) çevirmesi gerekiyor.
Örneğin, bir güvenlik lideri Kaliforniya Tüketici Gizliliği Yasasına uygun olmayan bir durum tespit ederse yönetim kurulu bunun neden endişe verici olduğunu bilemeyebilir. Bunun yerine, kuruluşun itibar kaybı veya uyumsuzluk nedeniyle para cezası riskiyle karşı karşıya olduğunun bildirilmesi, etkinin iletilmesini ve bu riskleri azaltmak için doğru alanlara yatırım yapabilmelerini sağlar. Güvenlik liderleri, siber risk açığını kapatmak için yatırımların gerekli olduğu yerleri yönetim kuruluna göstererek mevcut siber güvenlik planlarını yeniden gözden geçirmelidir.
3) Yeni kurallar, riskleri hakkında daha fazla konuşan şirketlere önemli ölçüde fayda sağlayacaktır.
En önemlisi, bu karar risk yönetiminde proaktif bir yaklaşım benimsenmesinin gerekliliğini vurgulamaktadır. Kuruluşların siber risk duruşlarını ve risklerinin içeriğini anlamaları, böylece bir riskin gerçekleşmesi durumunda harekete geçmeye hazır olmaları gerekir.
SEC bu emsal teşkil ederken, şirketlerin riski her konuşmanın bir parçası haline getirmeleri fayda sağlıyor. Bunu yaparak, kilit paydaşlar söz konusu girişimlerin iş üzerindeki tam etkisini anlayabilir ve risk bilgisine dayalı kararlara dayanarak ilerleyebilir. Bu, gerekli zaman dilimi içerisinde eyleme geçilebilmesi için siber risk ve onu oluşturan unsurlar (güvenlik açıkları, tehditler ve üçüncü taraflar gibi) hakkında 360 derecelik bir görüşe sahip olmayı gerektirir.
Bu yeni kurallar her ne kadar korkutucu ve korkutucu görünse de işletmeleri alt üst etmeyecek. Sonuçta, eğer şirketler başından beri yapmaları gerekeni yapıyorsa, bu yeni zaman çerçevesi şeffaflığı ve hesap verebilirliği daha da teşvik edecektir. Siber güvenlik ve risk yönetimine proaktif bir yaklaşımla şirketler, tehditleri ve güvenlik açıklarını izlemeye ve ortaya çıktıklarında hızlı bir şekilde raporlamaya daha hazırlıklı olacak.
yazar hakkında
Meghan Maneval, RiskOptics’te Teknik Ürün Yönetimi Direktörüdür. Kendisi, riskOptics’in Teknik Ürün Yönetimi ekibine liderlik ediyor; görev, endüstri sorunlarını çözmek için yenilikçi yollar geliştirmek ve yaygınlaştırmakla görevli.
Meghan hakkında eğlenceli gerçek; kendisi ekibe katılmadan önce RiskOptics müşterisiydi! Meghan, sıkı düzenlemelere tabi sektörlerde güvenlik, uyumluluk, denetim, yönetişim ve risk yönetimi programlarını 15 yılı aşkın bir süre yönettikten sonra, ürün yeniliğini artırmaya yardımcı olmak ve müşterilerimizin hedeflerine ulaşmalarını sağlamak için 2022’de RiskOptics’e katıldı.
Meghan tutkulu bir güvenlik ve risk savunucusu, DIB şampiyonu ve süreç iyileştirme ve program yinelemesinde uzmanlaşmış ev yenileme meraklısıdır. Meghan, bloglar, teknik incelemeler, web seminerleri, konferans sunumları ve podcast’ler aracılığıyla güvenlik ve risk topluluğuna katkı sağlamayı seviyor. Meghan’a çevrimiçi olarak LinkedIn’den ve şirketimizin web sitesi https://riskoptics.com/ adresinden ulaşılabilir.