SEC’nin güncellenmiş Siber Güvenlik Açıklama kararları Aralık ayında yürürlüğe girdiğinden beri, şüphelenmeyen CISO’lar, altında bulundukları baskılarda ani bir değişim gördüler. Sadece ek siber güvenlik raporlaması yükü altında değiller, aynı zamanda yanıltıcı veya hatta yanlış olduğu ortaya çıkan raporları paylaşmak yasal işlemle sonuçlanabilir.
Siber güvenliğin – ve dolayısıyla CISO’nun rolünün – nispeten genç bir meslek olduğunu hatırlamamız gerekiyor. 20 yıl geriye gittiğimizde, çoğu kişi için siber güvenlik, tamamen çevre savunmalarına ve teknik kontrollere odaklanan daha geniş BT işlevinin bir parçasıydı. Günümüze geri dönersek, CISO’lar iş yönetiminin ve risklerinin merkezi bir bileşeni haline geldikçe sürekli ve devam eden bir değişim gördük. Bu, yalnızca siber güvenlik uygulamalarını ve duruşunu doğru bir şekilde anlamak değil, aynı zamanda bunu yönetim kuruluna ve Kurumsal Risk Yönetimi (ERM) ekibine doğru ve etkili bir şekilde iletmek anlamına gelir. SEC’nin yeni kurallarını anlamak, bu gerçekçi, veri odaklı yaklaşımı etkinleştirmek için çok önemli olacaktır.
Bir kaya ve sert bir yer arasında?
Özünde, değişiklikler basit görünüyor. Halka açık şirketlerin 8-K dosyaları – hissedarların bilmesi gereken önemli olayları duyuran raporlar – ve 10-K dosyaları – finansal performans dahil olmak üzere kritik bilgilerin kapsamlı yıllık raporları – siber güvenlik duruşunu doğru bir şekilde tasvir etmelidir. Ancak, 8-K dosyasının ne gerektirdiğinin tanımı da genişledi. Artık “önemli siber güvenlik olayları” zamanında, bu durumda bir olayın “önemli” olup olmadığının belirlenmesinden itibaren dört gün içinde bildirilmelidir.
Bu düzenlemelerin açık bir değeri vardır. Şeffaflığı artırırlar ve siber güvenlik duruşunu kapsayarak yatırımcıların yatırımlarının risk seviyesini daha iyi anlamalarını sağlarlar. Ancak aynı zamanda işletmeler üzerindeki artan düzenleyici yükü de temsil ederler: Avrupa GDPR, Kaliforniya Tüketici Gizlilik Yasası ve Avustralya, Brezilya, Çin veya AB’de iş yapmayı amaçlayan kuruluşların karşı karşıya olduğu çok sayıda gizlilik yasasının yanı sıra.
Bu da kuruluşları çapraz ateşe sokar. SEC, yanlış veya daha kötüsü yanıltıcı raporlamayı cezalandırırken, yatırımcılar doğru olsa da artan risk olarak gördükleri bir rapora karşı çıkabilir. CISO’ların, ifşa kararları vermek zorunda olan hukuk danışmanlarına ve diğer kişilere hedef olmamalarını sağlamaları gerekir.
İkiz ikilemler
Özellikle, CISO’ların iki ek yük ile başa çıkması gerekir. Birincisi, yasal işlem tehdididir. Bir CISO’nun raporlarının yatırımcıları riske karşı duyarlılıkları konusunda yanılttığı görülürse, SEC’nin hedefinde olacaklardır. İddiaya göre bilinen siber güvenlik risklerini ve güvenlik açıklarını doğru bir şekilde bildirmedeki başarısızlık, CISO’ların dolandırıcılık suçlamalarıyla karşı karşıya kalmasına neden oldu.
İkinci olarak, 8-K ve 10-K raporlarından kaynaklanan raporlama yükü kaçınılmaz olarak artacaktır. ERM ekibiyle yakın bir şekilde çalışmak, raporların doğru olduğundan emin olmak için çok önemli olacaktır. İyi haber şu ki, düzenleyiciler siber güvenlikte hiçbir şeyin hatasız olmadığını kabul ediyor. CISO’lar doğru kontrolleri yerinde bulundurduklarını ve kritik olarak bu kontrollerin doğru bir şekilde uygulandığından ve gerektiği gibi çalıştığından emin olmak için sürekli olarak izlendiğini kanıtlayabilirlerse, kendilerini riskten koruyabilirler. Kötü haber şu ki, bunu söylemek yapmaktan daha kolay olabilir – özellikle de rapor hacmi arttıkça.
Rakamlara bakıldığında
CISO’ların raporlama yükünün artıp artmadığını ve işletmelerin kendilerini riske atıp atmadıklarını ölçmek için 2023’ün ilk yarısındaki SEC siber açıklamalarını analiz ettik ve bunları yeni rejimin ilk altı ayındaki açıklamalarla karşılaştırdık.
Siber güvenliğin 10-K dosyalamalarının önemli bir unsuru olduğuna şüphe yok. Halka açık şirketler artık dosyalamalarında duruşlarını belirtme zorunluluğu hissettiklerinden, NIST’ten (Ulusal Standartlar ve Teknoloji Enstitüsü) bahsedilmesi 2023’te 221’den 2024’te 3.025’e çıktı. Bu, bir önceki yıla göre yaklaşık 14 katlık bir artışı temsil ediyor ve Aralık ayına kadar ifşa sayısının 4.000’i geçmesi sürpriz olmazdı.
Tersine, 8-K dosyaları farklı bir hikaye anlatıyordu. Bildirilen siber saldırıların sayısı sürekli artıyor ve çoğu işletmenin olası bir ihlale karşı aşırı tetikte olması ve bunu bu şekilde bildirmesi beklenebilir. Yine de 4.000’den fazla halka açık ABD şirketinde yalnızca 17 potansiyel olarak önemli siber güvenlik olayı bulduk.
Tüm şirketlerin yalnızca yüzde birlik bir kısmının “önemli” bir olay bildirmesi olası görünmüyor. Bu 17’sinden hiçbirinin olayın “önemli” olarak sayılacak kadar ciddi olduğunu doğrulamayacağını düşündüğünüzde daha da olası. En endişe verici sonuç, keşfedilmeyi bekleyen çok sayıda önemli olayın olmasıdır.
Zaman bombasını etkisiz hale getirmek
Bu büyüyen yük, duruşlarını anlayıp iletebilirlerse CISO’lar için bir sorun olmamalıdır. Zorluk, İş Zekası ve analitik araçlarının onlarca yıldır finans, satış ve liderlikte yaygın olmasına rağmen, CISO’ların tek bir güvenilir görüş olmadan farklı araçlardan veri toplamaya bırakılmış olmasıdır. Riske dair net bir görüş olmadan, bu resmi net bir eyleme ve stratejiye dönüştürmek, riski iş jargonuna çevirmek ve gerekli kişileri etkilemek neredeyse imkansızdır.
Güvenlik ekiplerinin, tek bir gerçek kaynağına ulaşmak için birden fazla kaynak kullanarak çalıştıkları verileri doğrulamaları gerekir. İşletmeler, kapsam boşluklarına ışık tutarak ve tehditlere bağlam sağlayarak yönetişimi ve risk raporlamasını iyileştirebilir ve siber zararları azaltabilir. Sonuç olarak, ister ERM ekibine, ister yatırımcılara veya SEC’ye rapor versin, CISO hedef kitlesinin anlayacağı bir dil kullanabilir ve herkesin sorumlu tutulmasını sağlayabilir.
Bu sadece raporlama yükünü azaltmakla kalmayacak, yatırımcılara daha fazla güven verecektir. Ayrıca ihlallerin, yanlış bir 8-K veya 10-K raporuyla patlatılmayı bekleyerek organizasyon altında bir saatli bombaya dönüşmesini de önleyecektir.
Reklam