Yarının Yönetmeliklerine Nasıl Hazırlanılır?
Drawbridge’in Kurucusu ve Başkanı Jason Elmer tarafından
Siber güvenlik düzenlemelerinin yükselişte olduğu bir sır değil: 2022’de ABD Menkul Kıymetler ve Borsa Komisyonu (SEC), alternatif yatırım endüstrisindeki tüm firmaları etkileyecek siber güvenlik kuralları önerdi. SEC, halihazırda incelenen risk değerlendirmeleri ve güvenlik açığı yönetimi gibi süreçlere ek olarak, yönetim kurulu gözetimi, olay müdahalesi ve gelişmiş raporlama gerektiren yıllık incelemeler etrafında uyumluluk kontrolleri yapılmasını da önerdi. Bunlar şimdilik sadece öneriler olmakla birlikte, SEC’in gelecekte durum tespiti nasıl yürüteceği konusunda devrim niteliğinde bir değişimi temsil ediyor.
Pek çok firma için yeni siber güvenlik katmanları ve yeni uyumluluk gereklilikleri bunaltıcı görünebilir. Ancak SEC tarafından önerilen kural değişiklikleri bize bir şey söylüyorsa, o da SEC’in yorum dönemini 60 gün daha yeniden açmasının ardından, 2023’te beklenen yeni kuralların öncesinde şirketlerin siber duruşlarını sağlamak için reaktif yerine proaktif bir yaklaşım benimsemeleri gerektiğidir. Siber güvenlik, bir firma belirli bir AUM veya finansman seviyesine ulaştığında artık dikkate alınması gereken bir kontrol listesi öğesi değildir – siber güvenlik, her büyüklükteki firma için en önemli husustur ve SEC, boyuta göre ayrım yapmayacaktır.
Gerekli bir risk değerlendirmesi yapmadığı ve New York Eyaleti Mali Hizmetler Departmanı siber kurallarını ihlal ettiği için 4,5 milyon dolar para cezası ödemesi gereken Ohio merkezli bir vizyon bakım yardımları şirketi olan EyeMed’de uyarıcı bir hikaye bulunabilir. Devam eden güvenlik açığı değerlendirmeleri yapsalar ve e-posta sistemleri için çok faktörlü bir kimlik doğrulama süreci uygulasalardı, bu maliyetli hatadan kaçınılabilirdi. Para cezasına ek olarak, EyeMed’e bir risk değerlendirmesi yapması ve düzenleyiciye gelecekte ciddi hatalardan kaçınmak için siber güvenlik uygulamalarını iyileştirmeye yönelik net bir plan sunması için üç ay süre verildi.
EyeMed olayı, siber güvenliğin bir gecede çözülemeyecek karmaşık bir sorun olduğunu gösteriyor. Firmaların, yaklaşan tehditlere karşı bir adım önde olabilmeleri için sorumluluk almalarını ve hızlı bir şekilde uygulanabilecek kapsamlı, teknik ve eyleme geçirilebilir planlar oluşturmalarını gerektirir. SEC uyumluluğuna yönelik temel hazırlık, bir firmanın siber güvenliğine “sahip olmaktır”. Teknoloji çözümleri, şirketler için bu süreci kolaylaştırabilir ve derinlemesine güvenlik açığı analizi gerçekleştirmek için veri akışı haritalaması uygulamak gibi siber güvenlik savunmalarına proaktif bir yaklaşım benimsemelerini sağlayabilir. Bu tür çözümler yalnızca mevzuata uygunluk için gerekli değildir, aynı zamanda şirketlerin günlük olarak uğraştığı veri ve bilgilerin bütünlüğünü korumak için de hayati önem taşır.
Politikalar, risk değerlendirmeleri ve siber güvenlik eğitimi gibi belirli teknik kontroller dışarıdan temin edilebilse de, firmaların tamamlaması gereken ek eylemler de vardır, örneğin:
- Önerilen 48 saatlik olay raporlama son tarihine uymak için dahili ekip eğitimi
- Güvenlik açıklarını anlamak ve firmaların gerekli azaltma taktiklerini uygulamasını sağlamak için veri akışı haritalaması
- Fonun mevcut ve gelecekteki siber güvenlik hazırlık sahipliğine ilişkin yönetim kurulu raporu bu durumda özellikle önemli hale geliyor.
Pek çok firma, geçmişte siber güvenliği BT sağlayıcılarının veya MSP’lerin, özellikle de CISO’su olmayan firmaların ellerine bıraktı. Bu artık yeterli değil. Günümüzde siber güvenlik, hassas verileri ve bilgileri korumak ve uygunsuzluktan kaynaklanan önemli maliyetleri önlemek için gözden geçirilmelidir. Yeni SEC düzenlemeleri karşısında çıkarlar daha da yüksek ve siberi stratejik iş operasyonlarına ve bütçelerine dahil edemeyen firmalar, bunun bedelini hem para cezaları hem de tüketici güveni kaybı olarak başka bir yerde ödemek zorunda kalabilir.
Bir firmanın etkili siber duruşunu sağlamak bir gecede gerçekleşecek bir süreç değildir – mevcut güvenlik açıklarını belirlemek ve gelecek için düzeltmek için sürekli risk değerlendirmeleri ve eyleme geçirilebilir bir yol haritası gerektirir. Uygun planlama, teknolojik yatırım ve yönetim kurulu üyelerinin yetkilendirmesi ile firmalar, SEC yönergelerini karşılayabilecek ve aşabilecek ve siber saldırılara karşı koruma mücadelelerinde proaktif hale gelebilecek.
yazar hakkında
Jason Elmer, Drawbridge’deki rolüne 20 yılı aşkın siber güvenlik ve BT altyapısı deneyimini getiriyor. Kurucu ve Başkan olarak, firmanın günlük operasyonlarını yürütmekten, coğrafi ve teknolojik ayak izini genişletmekten ve şirketin küresel büyüme ve ölçeğine liderlik etmekten sorumludur. Yönetim geçmişi, çoklu yönetici liderlik rollerini ve serbest fonların ve özel sermaye yöneticilerinin özel ihtiyaçlarını karşılayan iş açısından kritik FinTech yazılımları ve çözümleri sunan kapsamlı deneyimi içerir.
Jason’ın çalışmaları hakkında daha fazla bilgiyi https://drawbridgeco.com adresinde bulabilirsiniz.