Yeni ile siber olay açıklama kuralları Menkul Kıymetler ve Borsa Komisyonu’nun yürürlüğe girmesiyle birlikte, yönetilen güvenlik hizmeti sağlayıcılarının (güvenlik gözetimi ve yönetimine odaklanan MSP’ler) müşterilerinin bu gereksinimleri karşılamasında kritik bir rol oynaması bekleniyor.
Yeni kurallara göre, halka açık şirketlerin, bir şirketin bir siber olayın gerçekleşeceğini tespit etmesinden sonraki dört iş günü içinde 8-K formu doldurması gerekiyor. işleri üzerinde maddi bir etkiye sahip olmak. Şirketlerin ayrıca siber güvenlik tehditlerinden kaynaklanan maddi risklerin değerlendirilmesi, tanımlanması ve yönetilmesine yönelik yıllık 10-K rapor süreçlerini yönetim kurulunun risk gözetimine ilişkin ayrıntılarla birlikte açıklaması gerekecek.
Analistler, güvenlik odaklı MSP’lerin, önemlilik tespitleri, ihlal raporlama ve tehdit azaltma stratejileriyle ilgili bilgi ve verileri sağlayarak bu ifşa etme süreçlerinin her ikisini de destekleyebileceğini söylüyor. Yeni gereklilikler aynı zamanda MSP’lere, özellikle olayların maddi niteliğini belirlemeye yönelik yönetişim ve politikalar konusunda danışmanlık uzmanlığı sunma fırsatları da verecek.
“MSP’ler, şirketlerin SEC gerekliliklerine uymalarına yardımcı olma konusunda çok önemli bir role sahip olacak çünkü onlar gerçekten siber güvenlik yönetimi ve izleme konusunda uzmanlar” dedi. Avani Desai, siber güvenlik değerlendirme firmasının CEO’su Schellman. “Şirketlerin sağlam süreçler ve kontroller uygulamalarına yardımcı oluyorlar ve düzenli siber güvenlik değerlendirmeleri yapıyorlar.”
Kendisi, MSP’lerin herhangi bir boşluğu tespit etmek için SEC uyumluluk çerçevesini proaktif bir şekilde gözden geçirmesi ve ilgili tüm güvenlik duvarlarının yerinde olduğundan, yamaların güncel olduğundan ve bir firmanın veri kaybını önleme olanağına sahip olduğundan emin olmak için mevcut ağ altyapısını sistematik olarak incelemesi gerektiğini söyledi. sistem.
Siber bir olayın riskleri arttı ve MSP’ler, müşterilerin devam eden önleyici tedbirler de dahil olmak üzere olay tespit ve müdahalenin ötesinde siber güvenlik yaklaşımlarını güçlendirmelerine yardımcı olabilir. Joe Nocera, PwC ABD’de siber risk ve düzenleyici pazarlamanın ortak lideri.
Önemliliğin belirlenmesi
MSP’ler muhtemelen hangi olayların iş açısından önemli olduğuna karar verecek taraf olmayacak ancak analistler, müşterilere karar almayı desteklemek için veri kaybının boyutu ve tehlikeye atılmış bilgilerin hassasiyeti veya kişisel olarak tanımlanabilir bilgilerin bir saldırıda kaybolması dahil olmak üzere önemli veriler sunabileceklerini söylüyor. saldırı.
Siber bir olayın ardından, “Yönetilen güvenlik hizmeti sağlayıcısı, müşterilerine doğru verileri ve raporlamayı sağlamazsa sorumlu tutulacaktır” dedi. Travis Lee, Gartner’ın kıdemli yönetici analisti.
Ancak cezai soruşturmalarda dışarıdan incelemeciler çağrılabilir.
Örneğin adli soruşturmalarda harici uzmanların genellikle ayrıntılı bir inceleme gerçekleştireceğini belirtti Lisa Sotto, Hunton Andrews Kurth LLP hukuk firmasının ortağı.
MSP’lerin bir siber olay durumunda “bir sistemi kurarken veya yönetirken ilgili sistemleri ve verileri korumak için makul önlemleri almada başarısız olduklarının belirlenmesi durumunda” sorumlulukla karşı karşıya kalabileceğini söyledi.
Siber stratejiye ilişkin yönetim kurulu raporu
MSP’lerin bir ihlal meydana geldiğinde müşterilere rapor vermesi beklenebilirken, bazı MSP’ler, SEC yönergeleriyle ilişkili 10-K gereksiniminin, özellikle de bunu üretmek için sıkı bir son tarih olması durumunda, yeni gereksinimlerle ilişkili en büyük iş hacmini muhtemelen oluşturacağını söylüyor yılın raporu. 10-K açıklamaları, 15 Aralık’ta veya sonrasında sona eren mali yıllara ilişkin yıllık raporlarla başlayacak.
10-K’da şirketlerin, siber güvenlik tehditlerinden kaynaklanan maddi risklerin yanı sıra, siber güvenlik tehditlerinden kaynaklanan risklerin maddi etkileri veya makul derecede muhtemel maddi etkilerinin yanı sıra önceki siber güvenlik olaylarını değerlendirme, tanımlama ve yönetme süreçlerini tanımlamaları gerekecektir. Şirketlerin ayrıca yöneticilerin ve yönetim kurullarının siber güvenlik tehditlerinden kaynaklanan risklere ilişkin gözetim yaklaşımlarını da tanımlamaları gerekir.
MSP’ler bunun, sıkı son tarihler konusunda rapor vermesi gereken firmalar için büyük bir yük olabileceğini söylüyor.
“Bu belgelemek ve yazıya dökmek için çok kısa bir pencere [clients’] Yönetim kurulunun etkili bir şekilde imza atabileceği şekilde risk yönetimi, siber etrafındaki risk tedavi çabaları” dedi. Justin Williams, Denver merkezli yönetilen güvenlik hizmetleri sağlayıcısı Optiv’in yönetici ortağı.
10-K yönetim kurulu raporlama zorunluluğu, bir ihlal sonrasında şirketin daha geniş güvenlik yaklaşımını daha fazla incelemeye tabi tutuyor. Williams, bir siber olayı bildirdikten sonra düzenleyicinin “bu riski nasıl yönettiğiniz açısından 10-K’nızda neler yazdığınıza bir bakalım” diyebileceğini söyledi.
Atlanta merkezli yönetilen güvenlik hizmetleri sağlayıcısı Secureworks’ün kıdemli danışmanı Neal McCarthy, kurulun siber tehdit yönetimi ve tepkisine yönelik yaklaşımını detaylandırmaya yönelik çabanın, özellikle bilgi güvenliği şefinin bu konu üzerinde sınırlı etkisi olduğu durumlarda muhtemelen önemli olacağını söyledi.
Danışmanlık hizmetleri MSP’ler için bir nimet
Yeni açıklama kılavuzlarının MSP’ler için sözleşmelerde açıklanması gerekebilecek ek iş yaratması muhtemeldir.
Lee’ye göre, yönetilen güvenlik hizmeti sağlayıcıları müşterilere ek analiz ve gözetim hizmetleri sunarak şirketlerin siber olayların önemliliğini belirlemesine ve SEC gerekliliklerine uymasına yardımcı olabilir. Kendisi, zengin veri ve uzmanlıklarını kullanarak MSP’lerin aynı zamanda müşteri firmaların siber olayların önemliliğini belirlemek için kılavuzlar ve politikalar geliştirmelerine de yardımcı olabileceğini söyledi.
Bu tür hizmetler çoğunlukla danışmanlık hizmetleri kategorisine girmektedir ve butik MSP’ler sunulmaktadır. Büyümek istiyorum Son yıllarda.
Lee, “Yönetilen güvenlik hizmetleri sağlayıcısı, güvenlik danışmanlığı portföyünde bunu sağlamalıdır… çünkü yalnızca uygulama ve dağıtım aşamasında olan birçok MSP vardır” dedi. Büyük danışmanlık şirketlerinin bunu kendilerini farklılaştırmak ve yeni müşteriler kazanmak için düzenleyici bir fırsat olarak gördüğünü ekledi.
Örneğin EY, CIO Dive’a geniş kapsamlı danışmanlık hizmetleri tekliflerinin, yeni gereklilikleri karşılamak için prosedürler, planlar ve politikalar geliştirmek isteyen müşteriler için büyük olasılıkla bir varlık olacağını söyledi.
Bunun, üst düzey yöneticilerin bilinçli kararlar almalarına yardımcı olmak için teknik bilgilerin erişebileceği bir formata çevrilmesini de içerdiği belirtildi. Dave Burg, EY Amerika siber güvenlik lideri.
“Zor iş sorunlarını çok verimli ve etkili bir şekilde çözmek için EY’nin birçok farklı teknik beceriyi bir araya getirme stratejisiyle mükemmel bir şekilde uyum sağlıyor” dedi.