[This article includes insights from a panel during a live CFO Dive and CIO Dive event, which took place Oct. 30. Sessions can be watched here.]
Hem başkan adayları Başkan Yardımcısı Kamala Harris hem de eski Başkan Donald Trump, genel düzenleme ve uygulama stratejisi konusunda farklı görüşlere sahip olsa da, uzmanlar CFO Dive’a yakın tarihli bir canlı etkinlik sırasında siber güvenlik düzenlemelerinin iki partili anlaşmanın nadir bir alanı olabileceğini söyledi.
Seçimlerin işleri nasıl etkileyeceğini önceden tahmin etmek zor olsa da, Grant Thornton danışmanlık firmasının siber risk, risk danışmanlığı hizmetleri müdürü John Pearce, “Sanırım genel olarak siberin iki partili bir odak alanı olduğunu düşünüyoruz”. Pearce Çarşamba günü, CFO Dive ve CIO Dive çevrimiçi etkinliğinde KPMG siber müdahale müdürü Jonathan Fairtlough ile birlikte düzenlenen bir panelde konuştu.
Menkul Kıymetler ve Borsa Komisyonu gibi kurumlar yakın zamanda halka açık şirketler için siber güvenliğin uygulanmasını güçlendiren kuralları nihai hale getirdi ancak Fairtlough, bu tür kuralların yatırımcılara şeffaflık getirmeyle ilgili olduğunu ve bunun da iki partili desteği de içerme eğiliminde olduğunu kabul etti.
Dahası, “bunun gerçekten makroekonomik bir etki yaratmaması gerçeği” nedeniyle siber kuralların kendisinin değişmesi pek olası değil; seçim SEC’in uygulanmasını ve liderliğini etkileyebilir, ancak “siber kuralların gerçekten bir yere varacağını düşünmüyorum” dedi Pearce.
Açık siber iletişimi teşvik etmek
CFO Dive’ın daha önce bildirdiğine göre, SEC ve Federal Ticaret Komisyonu gibi kurumlar son yıllarda siber güvenlik uygulama çabalarını artırdılar ve aynı şeyi yapan giderek büyüyen uluslararası yasa koyucular ve düzenleyiciler grubuna katıldılar.
“Şu anda hem Amerika Birleşik Devletleri’nde hem de Avrupa Birliği’nde ve açıkçası tüm dünyada siber güvenliği teşvik eden ve gerektiren, başarısızlıklar için ceza ve potansiyel dava sorunları yaratan bir düzenleyici ortam yaratmaya yönelik ulusal düzenlemeleri görüyoruz.” Fairtlough Çarşamba günü söyledi.
Buna, geçen yıl halka açık şirketlerin herhangi bir “maddi siber güvenlik” ihlalini, böyle bir ihlalin önemli olup olmadığının belirlenmesinden sonraki dört gün içinde 10-K biçiminde açıklamasını gerektiren kuralları kesinleştiren SEC de dahildir. CFO Dive’ın daha önce bildirdiğine göre, yöneticiler her yıl daha karmaşık hale gelen düzenleyici ortama ayak uydurmaya çalışırken, kurallar düzenleyici kurum ile şirket liderleri arasında sürtüşmeye yol açtı.
Sonuçta böyle bir kuralın geleceği ve SEC’in genel uygulama stratejisi, bir sonraki başkanın göreve gelmesinden sonra değişebilecek olan ajansın liderliğinin elinde olacak.
Industry Dive’ın kardeş yayını Cybersecurity Dive, hem Harris hem de Trump’ın daha güçlü siber güvenlik önlemlerini desteklediklerini gösterse de, adayların federal düzenlemelere ilişkin yaklaşımlarının büyük ölçüde farklı olduğunu bildirdi; örneğin Trump, başkanlık koltuğunu yeniden kazanması durumunda çok sayıda federal düzenlemeyi kaldıracağına söz verdi.
Fairtlough Çarşamba günü yaptığı açıklamada, “Hem seçim hem de politika sürecinin sonucunu tahmin etmek her zaman boşuna bir çaba olsa da” SEC ve Yüksek Mahkeme gibi diğer hükümet organlarının siber güvenliğe yaklaşımından bazı çıkarımlar bulunduğunu söyledi.
Kendisi, SEC’in son siber güvenlik kuralını yeni bir gereklilik olarak görmediğini, bunun yerine bunu “şirketlerin her zaman sahip olduğu mevcut sorumlulukların açıklığa kavuşturulması” olarak gördüğünü ve sadece bunu yapmaya çalıştıklarını söyledi. bunu tanımlayın ve kuruluşların riski nasıl açıklamaları gerektiğini anlamalarını daha net hale getirin” dedi.
Fairtlough, “Mercek ve halkla iletişimin iki taraflı bir şey olduğunu, insanların yatırımcıların ve yatırım yapan halkın riskleri ve yatırımlarıyla risklerin nasıl ele alındığını anlamasını istediğini düşünüyorum” dedi. “Bilgilendirilmiş mekanizmaların aynı kalıp kalmayacağı, sanırım SEC’in karakterine ve yapısına bağlı olacak.”
Finans ve BT işbirliği çok önemli
Seçim sonrasında belirli siber güvenlik kurallarının nasıl değişebileceğini belirlemek zor olsa da SEC düzenlemeleri, her yıl giderek daha karmaşık hale gelen düzenleyici ortamın yalnızca bir parçasıdır. ABD’li CFO’ların da öğrenmesi gereken bir süreç var; örneğin konu sağlam siber düzenlemelerin uygulanması olduğunda ABD, Avrupa gibi bazı pazarların gerisinde kaldı.
“Sanırım ilerledikçe şunu anlamamız gerektiğini düşünüyorum, özellikle [in the] Amerika Birleşik Devletleri…bu yaptırım eylemlerinden bazıları ve bunları yapan taraflar oldukça yeni” dedi Pearce.
Bu, yalnızca şirketlerin uyması gereken kuralları değiştirmekle kalmıyor, aynı zamanda yönetim ekibinde bu riskleri ve yaptırım eylemlerini yönetmekten kimin sorumlu olduğunu da değiştiriyor. Örnek olarak, ortaya çıkan kurallar şirketlerin “uzun vadeli harcama yapısını” değiştirecek, Fairtlough söz konusu.
“Geleneksel olarak kimin neyi satın aldığı ve hangi teknolojilerin kullanıldığına ilişkin kurallar, teknoloji uzmanlarının öncelikli olarak benim sistemlerin bakımı dediğim şeye odaklanmalarına yol açmıştır” dedi. “Fakat şimdi bu değerlendirmeye bir mercek daha eklendi. Bu teknolojilerin ileriye dönük yükümlülüklerimizi yerine getirme yeteneğimiz açısından oluşturduğu risk nedir? Hem tedarik zinciri hem de iş riski açısından, aynı zamanda düzenleyici risk açısından da dedi.
Bir BT ekibi bu riskleri ölçmek için gerekli iş öngörüsüne sahip olmayabilir ancak finans liderlerinin devreye girebileceği yer burasıdır. Şirketler karmaşık siber güvenlik düzenleme ortamında yön bulmaya çalışırken bu anlayışa sahip olmak kritik öneme sahiptir.
“Bu büyük değişim, yavaş yavaş içeri sızıyor, ancak yönetim kurullarını ve yöneticileri gördüğümüzde, giderek daha fazla bir gereklilik haline geliyor. [the] Üst düzey yöneticiler, teknolojinin her bir parçasını anlamak zorunda kalmadan siber riski anlamak, ölçebilmek ve ölçebilmek için kullanabilecekleri yöntemlerin neler olduğuyla gerçekten uğraşmaya çalışıyorlar?” Fairtlough dedi.