Dalış Özeti:
- Denetim Kalitesi Merkezi ve Deloitte, Menkul Kıymetler ve Borsa Komisyonu'nun siber saldırıların ifşa edilmesine ilişkin katı kurallar koymaya çalıştığı sırada yapılan bir ankette, denetim komitelerinin siber güvenliği en büyük gözetim önceliği olarak sıraladığını ortaya çıkardı.
- Denetim komitesi üyelerinin %69'u siber güvenliği öncelikli konu olarak görüyor ve %30'u bu konuyu kendi endişeleri arasında sıralıyor. 1 numaralı risk önceliğiCAQ ve Deloitte yıllık raporunda bunu söyledi. Komite üyelerinin yüzde kırk sekizi kurumsal risk yönetimini en önemli konu olarak gördü ve %16'sı bunu en önemli öncelik olarak tanımladı.
- Deloitte denetim ve güvence genel müdürü Krista Parsons, sorulara bir e-posta yanıtında, “Görünüşe göre denetim komiteleri, artan tehditler karşısında siber güvenliğin gerektirdiği dikkati anlıyor ve bunun sıkı bir disiplinle denetlenmesi gerektiğini anlıyor” dedi.
Dalış Bilgisi:
TAralık ayında SEC, şirketlerin savunmalar, yönetim kurulunun siber güvenlik gözetimi ve potansiyel ve fiili saldırıların değerlendirilmesi de dahil olmak üzere siber riski nasıl yönettiklerini yıllık 10-K'larda açıklamasını zorunlu kılan bir kuralı yürürlüğe koydu. Şirketler ayrıca maddi kayba yol açacağını tespit ettikten sonraki dört gün içinde bir siber saldırıyı detaylandırmak zorunda.
Yıllardır CFO'lar, sayıları giderek artan fidye yazılımlarına ve diğer siber saldırılara karşı savunma için yeterli bütçeyi ayırmaya çabalamak zorunda kaldı; bu genellikle maliyetli bir arka koruma çabasıydı.
Siber suçları takip eden birçok devlet kurumu arasında FBI'ın İnternet Suçları Şikayet Merkezi de şu bilgileri aldı: 2.800'den fazla fidye yazılımı şikayeti 2023'te zararlar önceki yıla göre %74 artarak 59,6 milyon dolara yükseldi.
CAQ ve Deloitte raporda, “Siber güvenlik, yönetim kurulunun yanı sıra birden fazla yönetim kurulu komitesinde de odak noktasını oluşturmaya devam ediyor” dedi ve ankete katılan 266 denetim komitesi üyesinin %73'ünün, en azından her üç ayda bir siber riski tartıştıklarını söylediğini belirtti. Anket şu tarihten itibaren gerçekleştirilmiştir: 28 Eylül – 12 Kasım 2023.
Microsoft ve Hewlett Packard Enterprise da dahil olmak üzere, daha yüksek uyumluluk standartlarını benimseyen birçok şirket, Siber güvenlik ihlali açıklamaları yapıldı Bu yıl SEC ile
Microsoft Ocak ayında açıkladı Form 8-K'da, “ulus devletle bağlantılı bir tehdit aktörünün”, şirketin üst düzey liderlik ekibinin üyeleri ve siber güvenlik, hukuk alanındaki çalışanlar da dahil olmak üzere çalışanların e-posta hesaplarının “çok küçük bir yüzdesine” erişim sağladığı ve bu hesaplardan bilgi sızdırdığı belirtildi. ve diğer işlevler.
Washington merkezli teknoloji devi Redmond, açıklamasında “Bu başvurunun yapıldığı tarih itibarıyla olayın şirketin operasyonları üzerinde önemli bir etkisi olmadı” dedi.
Parsons'a göre tehditlerdeki sürekli gelişme, siber güvenliğin yakından izlenmesini gerektiriyor: Deloitte'un Yönetim Kurulu Etkinliği Merkezi'nde yönetişim hizmetleri lideri.
“Yapay zekanın yaygınlaşması ve hızlı ilerlemesi, ilave bir karmaşıklık katmanı daha ekliyor; bu da sibere odaklanmaya katkıda bulunan ek bir faktör olabilir” dedi.
Parsons, şirketlerin yeni SEC açıklama gerekliliğine uyum sağlasalar bile gelecekte siber güvenliği büyük olasılıkla en önemli endişe kaynağı olarak değerlendireceklerini söyledi. “Kuruluşlar yeni yürürlüğe giren raporlama gerekliliklerine alışmaya başlasa bile, yakın gelecekte siber güvenliğin önceliklerinin anlamlı şekilde ortadan kaldırılmasını beklemiyoruz.”
CAQ ve Deloitte'a göre denetim komiteleri hızla değişen başka zorluklarla da karşı karşıya.
CAQ mesleki uygulamalardan sorumlu kıdemli direktör Vanessa Teitelbaum, sorulara bir e-posta yanıtında, “Günümüzün sürekli gelişen risk ortamında, belirli riskleri tahmin etmek giderek zorlaşıyor” dedi.
“Kara kuğu olayları (değişen dünyamızda giderek yaygınlaşan salgın hastalıklar ve iklim felaketleri gibi bir zamanlar ihtimal dışı görülen olaylar) yeterince yakalanamayabilir” dedi.
Şirket yöneticilerinin, yönetimi bu tür değerlendirmeleri yıllık bazda yapmak yerine sürekli olarak riskleri ölçmeye teşvik etmesi gerektiğini söyledi.
Teitelbaum, “Güçlü bir ERM süreci, yüksek etkili, yüksek olasılıklı risklerin yanı sıra yüksek etkili, düşük olasılıklı riskleri de dikkate alan bir süreçtir” dedi. “ERM yeni tehditlerle başa çıkabilmeli, hem verimli hem de etkili olmalı ve bunu destekleyecek uygun kaynaklara sahip olmalıdır.”