Dalış Özeti:
- Menkul Kıymetler ve Borsa Komisyonu’nun yeni açıklama kurallarının Eylül başında yürürlüğe girmesiyle birlikte, EY Yönetim Kurulu Konuları Merkezi Fortune 100 şirketlerindeki siber güvenliğin direktör gözetiminin hızla geliştiğini gösteriyor.
- Araştırmaya göre, SEC dosyalarında 5 şirketten 4’ü yönetimin yönetim kuruluna veya komitelere siber güvenlik konusunda ne sıklıkta rapor verdiğini açıkladı. Şirketlerin neredeyse yarısı en az yıllık olarak yönetim kuruluna siber güvenlik konusunda rapor veriyor.
- 2018’de 5 şirketten 1’i siber güvenliğin yönetim kurulu tarafından aranan bir uzmanlık alanı olduğunu belirtti. Bu oran 5 şirketten 3’üne yükseldi.
Dalış Bilgisi:
EY’nin altıncı yıllık çalışması, 2018 mali yılından 31 Mayıs’a kadar Fortune 100’deki en büyük 75 şirketin vekâlet beyanlarına ve yıllık raporlarına dayanıyor.
Araştırma, siber güvenlik riskinin hissedarlar, müşteriler ve hükümet düzenleyicileri için çok daha yaygın bir endişe haline gelmesi nedeniyle son yıllarda siber güvenliğin yönetim kurulu gözetiminin odak noktası olarak ne kadar geliştiğini gösteriyor.
Rapor, şirketlerin siber risk bilgilerini yönetim kuruluna açıklama sürecini kolaylaştırdığını gösteriyor. Örneğin, Fortune 100 şirketlerinin %57’si bu sorunları yönetim kuruluna raporlayacak en az bir kişiyi atadı; çoğu ya CISO ya da CIO’yu görevlendiriyor. 2018 yılında Fortune 100 şirketlerinin yalnızca %23’ü böyle bir atama yaptı.
Nihai SEC kuralları, şirketlere yönelik siber güvenlik talimatlarını artırdı ve şirketlerin bir olayın önemli olduğunu belirledikten sonraki dört iş günü içinde açıklama yapmalarını zorunlu kıldı. Ancak düzenleyiciler aynı zamanda şirket yönetim kurullarının bu ilk açıklamaları takip eden bilgileri nasıl takip ettiğini de bilmek istiyor.
“Kurallar, Form 8-K doldurulduğunda gerekli herhangi bir bilginin belirlenmemesi veya mevcut olmaması durumunda rehberlik içermektedir ve diğer gerekliliklerin yanı sıra, artık kayıt yaptıranların siber güvenlik riskini denetleyen herhangi bir kurul komitesi veya alt komiteyi tanımlaması gerekmektedir. EY Amerika Denetim Komitesi forum lideri Pat Niemann e-posta yoluyla şunları söyledi.
Niemann, yeni kuralların şirketlerin bu komiteleri bilgilendirmek için kullandıkları süreci açıklamalarını da gerektirdiğini söyledi.