Kuruluşların SEC’e rapor ettiği yıllık 10-K dosyalarına ilişkin Panaseer araştırması, Ocak-Mayıs 2024 arasında en az 1.327 başvuruda NIST’ten bahsedildiğini gösteriyor; bu, bir dosyalamada siber güvenlik duruşunun mevcut olduğunun önemli bir göstergesidir.
Bu, 2023’ün aynı döneminde (12 kat artışla) yalnızca 110 ve tüm yıl boyunca 128 ile karşılaştırılıyor. Mevcut tahminlere göre araştırmacılar, 2024 yılı boyunca bu tür başvuruların 2.600’e kadar çıkacağını tahmin ediyor; bu 20 kattan fazla bir artış.
Ek siber güvenlik raporlamasının yükü
Aralık 2023’te siber güvenlik riskini yatırımcı raporlamasına dahil eden yeni SEC kararları, siber güvenlik duruşunun ve süreçlerinin yıllık raporlara dahil edilmesini zorunlu kıldı. CISO’lar raporların derlenmesinden doğrudan sorumlu olmasa da raporların doğru olduğundan emin olmak için Kurumsal Risk Yönetimi (ERM) ekibiyle yakın işbirliği içinde çalışmaları gerekecektir.
Doğru raporlar, siber güvenlik duruşunun ve riske maruz kalmanın derinlemesine anlaşılmasını gerektirir. Raporlarla gerçekler arasındaki herhangi bir tutarsızlık, yatırımcılara yalan söylemekle eşdeğer olacak ve CISO’ların potansiyel olarak suçlamalarla karşı karşıya kalmasına neden olacak. SolarWinds’in CISO’su Timothy G. Brown, halihazırda SEC tarafından bilinen siber güvenlik riskleri ve güvenlik açıklarıyla ilgili dolandırıcılık ve iç kontrol başarısızlıkları nedeniyle suçlanmıştı.
Panaseer Güvenlik Evangelisti Nick Lines, “SEC’in düzenlemeleri daha fazla şeffaflık sağlayacak ve bu da yatırımcılara bir kuruluşun siber risk duruşunun tam resmini verme yönünde olumlu bir adım” diyor. “Ancak kuruluşların bu raporların doğruluğunun kritik önem taşıdığını unutmaması gerekiyor. Siber saldırılar borsada işlem gören işletmeler için hayatın bir gerçeği, ancak şirketler daha önce tüm yıl boyunca sıfır önemli siber güvenlik tehdidi bildirmişti ve yıl içinde yalnızca 24 başvuru yapılmıştı ve bu da inanışı zorluyor. CISO’lar hassas bir durumda: Yatırımcılar zayıf siber risk duruşu nedeniyle ertelenirken, SEC yanlış raporlar nedeniyle sert bir tavır alacak. Her iki durumda da CISO’lar ateş hattında olacak.”
Yeni düzenleme, siber güvenlik için geçerli olan iki ayrı SEC raporuyla birlikte listelenen şirketler için geçerlidir:
- 10-K dosyalama – finansal performans da dahil olmak üzere kritik bilgilerin yer aldığı kapsamlı bir yıllık rapor. Artık kuruluşların siber güvenlik stratejisi, yönetim kurulu gözetimi ve yönetimin siber yönetişimdeki rolü dahil olmak üzere siber risk yönetimine yönelik yaklaşımlarını detaylandırması gerekiyor.
- 8-K dosyalama – hissedarların bilmesi gereken önemli olayları açıklayan bir rapor. Bu artık işletmelerin yatırımcıları etkilemesi muhtemel “önemli siber güvenlik olaylarını” zamanında açıklamasını gerektiriyor. Bunlar önemliliğin tespitinden sonraki dört gün içinde rapor edilmelidir.
CISO’ların güvenebilecekleri bir kayıt sistemine ihtiyacı var
Bu başvuruların SEC’i tatmin edecek bir siber güvenlik duruşu sergilemesi gerekiyor. Yeni kararlar aynı zamanda CISO’nun rolünde devam eden bir değişikliği de yansıtıyor. Kuruluşların risk duruşundan tek başına sorumlu olmamakla birlikte, CISO’lar risk duruşunu ve güvenlik süreçlerini ERM ekibine ve yönetim kuruluna doğru bir şekilde tasvir etmelidir. CISO’ların, şirketlerinin siber güvenlik uygulamalarını, gerçeklere dayanan kayıtlara olanak tanıyan veri odaklı bir yaklaşımla net bir şekilde anlaması ve iletmesi gerekiyor.
Bu nedenle araştırmacılar, CISO’ların odak noktalarını, sahip oldukları güvenlik aracı üzerinde gözetim ve güvence sağlanmasına ve bunların her varlıkta doğru şekilde çalıştıklarını doğrulamaya yönlendirmelerini tavsiye ediyor.
“Düzenleyici ortam giderek daha karmaşık hale geldikçe, CISO’lar çapraz ateşin ortasında kalıyor. İş Zekası ve analiz araçları onlarca yıldır finans, satış ve liderlik alanlarında yaygın olarak kullanılırken, CISO’lar tek ve güvenilir bir görünüm olmadan farklı araçlardan gelen verilere güvenmeye mecbur bırakılıyor. Panaseer CEO’su Jonathan Gill, bir elleri arkadan bağlı ve başlarının üzerinde Demokles’in Kılıcı sallanarak çalışmaya zorlanıyorlar” diyor.
“Riskler arttıkça CISO’ların doğru ve iyi niyetli raporlama yaptıklarından emin olmak için güvenebilecekleri bir kayıt sistemine ihtiyaçları var. CISO’lar, bir işletmedeki her varlığın (nerede bulunduğu, kimin sahibi olduğu ve güvenliğinden kimin sorumlu olduğu) birleşik bir görünümüne sahip olarak ışıkları açabilir. Bu bağlamsal veriler CISO’lara riski ölçme, boşlukları doldurma ve yönetim kuruluna ve ERM ekibine anlayacakları dilde bir hikaye anlatma gücü verir. CISO’lar daha sonra, güvenliği teknik olmayan ve teknik paydaşların diline çeviren ve her biri aynı altın gerçek veri kaynağına ilişkin kendi ilgili görüşüne sahip olan bir platform aracılığıyla meslektaşlarını sorumlu tutarak bir hesap verebilirlik kültürünü etkinleştirebilir. Bu, CISO’ların kendilerini her iki tarafta da korumalarını sağlayacak: SEC’e en doğru resmi sunarken yatırımcılara daha iyi bir risk duruşu gösterecek,” diye bitirdi Gill.
Kopyanızı almak için formu doldurun: