AuditBoard’a göre, güvenlik profesyonellerinin ve yöneticilerinin %98’i ABD Menkul Kıymetler ve Borsa Komisyonu’nun (SEC) yeni siber güvenlik ifşa kararına uymak için çalışmaya başlarken, üçte birinden fazlası hâlâ çabalarının erken aşamalarında.
Ankete katılanların %81’i yeni SEC siber güvenlik ifşa kararının işlerini önemli ölçüde etkileyeceğini söylüyor. Ancak bunların %54’ü kuruluşlarının ifşa kararına uyma becerisine oldukça güvendiklerini belirtiyor.
Şirketler SEC siber güvenlik kurallarının uygulanmasına hazırlanıyor
SEC’in Siber Güvenlik Risk Yönetimi, Stratejisi, Yönetişimi ve Olay Açıklamasına ilişkin yeni siber güvenlik kuralları 15 Aralık 2023’te yürürlüğe girdi. Bu yeni kurallar, halka açık şirketlerin önemli siber güvenlik olaylarını zamanında açıklamalarının yanı sıra bu olayları ele almak için alınan önlemleri zorunlu kılıyor. bu tehditler. Nihai kuralların açıklandığı Temmuz 2023’ten bu yana şirketler yeni gereklilikleri karşılamaya hazırlanıyor.
Genel olarak katılımcıların %68’i yeni SEC siber güvenlik açıklamasının kendilerini bunalttığını söylüyor. Bugün ankete katılanların yalnızca %2’si yeni karara uyma sürecini henüz başlatmadı. Ancak yanıt verenlerin üçte biri hâlâ bu sürecin erken aşamalarındadır.
Ankete katılanların %57’sinin belirttiği gibi, siber güvenlik olaylarının etkisinin ölçülmesi, SEC siber güvenlik ifşa kararına uyma konusunda en sık bildirilen zorluktur. Ankete katılanların %47’si açıklama sürecini güncellemenin de en büyük zorluk olduğunu belirtiyor.
Şaşırtıcı görünebilecek bir şekilde, ankete katılanların çoğunluğu şirketlerinin siber risk duruşu ve risk yönetimi programına ilişkin bir tür anlayışa sahip; %54’ü yüksek düzeyde anlayışa sahip olduğunu ve diğer %39’u da kısmen anladığını bildirdi. Yöneticiler en çok kendi risk duruşlarını ve yönetim programlarını anladıklarını söylüyor ve %71’i yüksek düzeyde anlayış bildiriyor.
Etkilenenler yalnızca halka açık şirketler değil. Yeni karar aynı zamanda bu kuruluşların üçüncü taraf satıcılarıyla ilgili üst düzey açıklamaları da içeriyor. Söylemeye gerek yok ki, yeni SEC siber güvenlik ifşa kararına uyma gereklilikleri, bu kuruluşların içine ve dışına onları destekleyen şirketlere kadar uzanan bir dalga etkisi yarattı.
Önemlilik çerçevesi SEC uyumluluğuna olan güveni artırıyor
Yöneticilerin %75’i yönetim kurullarında bir siber güvenlik uzmanının bulunduğunu bildirdi. Ancak bu uzmanlığa rağmen ankete katılan güvenlik profesyonellerinin ve yöneticilerin yalnızca %36’sı, kuruluşlarının, kendilerini siber güvenlik uygulamaları, prosedürleri ve riskleri konusunda eğitmek amacıyla yönetim kurullarına siber güvenlik eğitimi dahil ettiğini söylüyor.
Önemlilik çerçevesini kullananlar SEC’in talimatlarına uyabileceklerinden çok daha emin (%68). Ankete katılanların %49’u bugün bu kriterlere uyacak süreçleri ve metodolojileri zaten oluşturmuş durumda.
Ankette en çok bildirilen zorluk, SEC kararına uymak için hangi eylemlerin gerçekleştirilmesi gerektiğinin belirlenmesi (%57) olup, gelişen siber güvenlik tehditleri için gerekli eylemlerin kesin olarak ayırt edilmesinin zorluğunu ve uyumluluk için gereken karmaşık karar verme süreçlerini vurgulamaktadır. .
AuditBoard Bilgi Güvenliği Başkanı Richard Marcus, “Kuruluşlar bir süredir yeni SEC siber güvenlik açıklama kurallarını planlıyor ancak hala yapılması gereken çok şey var” dedi.
“SEC’in kılavuzundaki çeşitli noktalar, entegre bir görüş ve işbirliği ihtiyacını öne sürüyor; bunlar arasında şunlar yer alıyor: ifşa kontrollerinin ve prosedürlerinin sürdürülmesi, yönetim kurullarının siber güvenlik risk yönetiminin denetlenmesindeki rolünün vurgulanması, sağlam bir olay müdahale programının uygulamaya konması ve diğerleri. ”
İndirmek: Yeni SEC siber güvenlik kurallarına ilişkin eksiksiz kılavuz