Dalış Özeti:
-
Bulut tabanlı bir risk yönetimi şirketi olan AuditBoard tarafından yakın zamanda yapılan bir ankete göre, kurumsal finans şefleri, Menkul Kıymetler ve Borsa Komisyonu’nun yeni siber güvenlik kurallarına uymanın temel yönleri söz konusu olduğunda bilgi teknolojisi liderleriyle karşılaştırıldığında daha az aktif bir rol oynuyor.
-
Diğer hükümlerin yanı sıra kurallar, halka açık bir şirketin önemli bir siber güvenlik olayını, bunun önemli bir ihlal olduğunun belirlenmesinden sonraki dört gün içinde SEC’ye açıklamasını gerektiriyor. AuditBoard araştırması, CFO’ların %45’ine kıyasla baş bilgi güvenliği görevlilerinin %75’inin SEC’in siber güvenlik ihlali açıklama sürecine dahil olduğunu ortaya çıkardı.
-
AuditBoard’un bilgi güvenliği başkanı Richard Marcus bir röportajda, “Eğer CFO’nun ofisinin bakış açısını veya bakış açısını hesaba katmadan önemlilikle ilgili kararlar alıyorsanız, hata olasılığı artar” dedi.
Dalış Bilgisi:
SEC kurallarına göre şirketler, bir olayın önemliliğini “keşfedildikten sonra makul olmayan bir gecikme olmaksızın belirlemeli ve olayın önemli olduğu tespit edilirse genellikle bu tespitten sonraki dört iş günü içinde Madde 1.05 Form 8-K’yi sunmalıdır.”
Açıklamada, olayın niteliği, kapsamı ve zamanlamasının yanı sıra, mali açıdan da dahil olmak üzere “maddi etkisi veya makul derecede muhtemel maddi etkisi” gibi önemli yönlerin tanımlanması gerekir.
“CISO, bir güvenlik olayına, bunun kuruluşa sunduğu risk perspektifinden bakabilir, ancak genel olarak kar ve zarardan sorumlu olmadıkları için, onlardan bir olayın mali etkisine ilişkin bir karar vermelerini istemek, bir nevi tek taraflı olacak,” dedi Marcus. “Dolayısıyla CFO’nun ofisi bu çağrıyı dengelemeye yardımcı olabilir.”
AuditBoard’un araştırması, birçok kamu şirketinin SEC kurallarına nasıl uyum sağlayacağı konusunda boğuşmaya devam ettiğini ortaya koyuyor; bu arada, kurum gözlemcilerinin agresif yaptırımların ufukta olabileceği yönündeki uyarıları da var.
Rapora göre halka açık şirketlerin üçte biri hâlâ kuralların uygulanmasının ön aşamalarında. Yanıt verenlerin büyük çoğunluğu (5 kişiden 4’ü) kuralların işleri üzerinde önemli bir etki yaratmasını beklerken, yalnızca yarısı uyumluluğa hazır olduklarından oldukça emin olduklarını söyledi.
Hunton Andrews Kurth’un ortaklarından Scott Kimpel bir röportajda, “Büyük olanlar da dahil olmak üzere birçok kuruluş için bu biraz köklü bir değişiklik oldu” dedi. “Bence asıl zor olan, bir organizasyon içindeki birçok farklı alan arasında köprü kurmak zorunda olmanızdır. Siber güvenlik personeli SEC açıklamaları yapmaya alışkın değildir. Öte yandan, finansal raporlama personeli genellikle bilgi güvenliği uzmanları değildir.”
İhlal raporlama zorunluluğunun yanı sıra kurallar, şirketlerin yönetim kurullarının siber güvenlik risklerine ilişkin gözetimini yıllık olarak 10-K formunda açıklamalarını gerektiriyor.
Kurallar Eylül ayında yürürlüğe girmesine rağmen uygulama hemen başlamadı.
18 Aralık itibarıyla, daha küçük raporlama yapan işletmeler dışındaki kapsam dahilindeki tüm kuruluşların, yeni ihlal açıklama talimatlarına uyması gerekiyordu. Daha küçük raporlama şirketleri 5 Haziran’dan itibaren bunlara tabi olacak. Tüm şirketlerin, 15 Aralık’ta veya sonrasında sona eren mali yıllara ilişkin yıllık raporlardan başlayarak bu gereksinimlere uyması gerekiyor.
Microsoft, Hewlett Packard Enterprise, UnitedHealth Group ve Prudential Financial dahil olmak üzere büyük şirketler, kurumun kuralı uygulamaya başlamasından bu yana SEC’e olayla ilgili açıklamalarda bulundu.
Analistler, önceden kurum rehberliğine dayanan kuralların, kamu şirketleri ve CFO’lar da dahil olmak üzere yöneticileri için riskleri önemli ölçüde artırdığını söylüyor.
SEC geçtiğimiz Ekim ayında Austin, Teksas merkezli yazılım sağlayıcısı SolarWinds ve onun bilgi güvenliği sorumlusu Timothy Brown’a, Aralık 2020’de keşfedilen büyük bir ihlale yol açan şirketteki siber güvenlik uygulamalarını yanlış tanımlayarak yatırımcıları dolandırdıkları iddiasıyla dava açtı. şirket suçlamaları reddetti.
Kimpel, “Bu kesinlikle yöneticilerin dikkat etmesi gereken bir alan” dedi. “Bu sadece CISO ile sınırlı değil.”