Logo Zephyrnet

Các quy định pháp luật mới là một yếu tố thay đổi trò chơi an ninh mạng đối với ngành công nghiệp FS

Ngày:

Một trong những sự kiện an ninh mạng quan trọng nhất trong lịch sử sắp xảy ra đối với ngành dịch vụ tài chính dưới hình thức các quy định pháp luật mới.

SEC đã đề xuất các quy định an ninh mạng mới sẽ tác động đến các doanh nghiệp FS

Các quy định mới từ Ủy ban Chứng khoán và Giao dịch Hoa Kỳ (SEC) sẽ có tác động đáng kể đến các doanh nghiệp cung cấp dịch vụ tài chính và có thể có ảnh hưởng sâu sắc đến văn hóa an ninh mạng một khi chúng được thông qua.

Đề xuất mới của SEC

Đề xuất mới của SEC sẽ yêu cầu sự minh bạch và trách nhiệm giải trình hoàn toàn về an ninh mạng ở cấp lãnh đạo doanh nghiệp cao nhất — bao gồm cả hội đồng quản trị — đối với tất cả các công ty được tổ chức công khai. Nó sẽ yêu cầu các doanh nghiệp báo cáo các sự kiện an ninh mạng quan trọng trên Biểu mẫu 8-K của họ.

Họ cũng phải tiết lộ các chính sách và thông lệ của công ty để quản lý rủi ro an ninh mạng, cũng như cách ban quản lý tham gia vào việc thực hiện chúng.

Quy trình mà hội đồng quản trị của công ty sử dụng để giám sát rủi ro an ninh mạng, cũng như bất kỳ kiến ​​thức chuyên môn nào về an ninh mạng của thành viên hội đồng quản trị, cũng phải được tiết lộ.

Đề xuất này sẽ đi một chặng đường dài hướng tới việc giúp rủi ro và chiến lược an ninh mạng trở thành một cuộc trò chuyện cấp hội đồng - một sự phát triển cần thiết trong thời gian dài. Nó cũng sẽ giúp tăng chi tiêu của doanh nghiệp cho an ninh mạng và thúc đẩy nhu cầu về kiến ​​thức an ninh mạng ở cấp hội đồng quản trị. Và nó cũng sẽ nhấn mạnh tầm quan trọng của việc đưa CISO vào các cuộc trò chuyện và quyết định cấp hội đồng quản trị này.

Tìm hiểu chi tiết

Vào ngày 23 tháng 2022 năm 1934, SEC đã đưa ra một đề xuất để cải thiện và tiêu chuẩn hóa việc tiết lộ thông tin của các công ty đại chúng được yêu cầu tuân thủ các yêu cầu báo cáo của Đạo luật Giao dịch Chứng khoán năm XNUMX. Các yêu cầu này đề cập đến quản lý rủi ro an ninh mạng, chiến lược, quản trị và báo cáo sự cố. Các sự kiện quan trọng về an ninh mạng cần được báo cáo, các chính sách và thủ tục về an ninh mạng cần được công bố thường xuyên và ban giám đốc sẽ cần giám sát rủi ro an ninh mạng.

Khi một tổ chức tài chính kết luận rằng họ đã gặp phải một sự cố an ninh mạng nghiêm trọng sau khi các yêu cầu này của SEC trở thành luật, họ có bốn ngày làm việc để tiết lộ điều đó. Báo cáo Mẫu 8-K - mà các doanh nghiệp phải nộp cho SEC để thông báo các sự kiện quan trọng mà cổ đông cần biết - sẽ cần được sửa đổi như một phần của quy trình công bố thông tin. Kế hoạch mới cũng yêu cầu tiết lộ một số sự cố an ninh mạng riêng lẻ chưa được báo cáo trước đây mà kết hợp với nhau gây ra những hậu quả nghiêm trọng.

Chính sách của bạn chưa rõ ràng

Kế hoạch mới về quản lý rủi ro, chiến lược và công bố thông tin quản trị thậm chí còn quan trọng hơn phần báo cáo sự cố của đề xuất. Các chính sách và thông lệ quản lý rủi ro an ninh mạng của một công ty đại chúng sẽ được trình bày rõ ràng qua phần này của đề xuất. Các công ty cũng phải tiết lộ cách thức ban giám đốc giám sát rủi ro an ninh mạng.

Ngoài ra, các công ty phải tiết lộ vai trò của ban quản lý điều hành trong việc đánh giá rủi ro an ninh mạng và thực hiện các chính sách và thủ tục của công ty. Quá trình này giống như việc đăng “báo cáo” của một tổ chức lên mạng để công chúng xem xét và bình luận.

Theo quy định mới, các công ty phải tiết lộ các chính sách và quy trình của họ để xác định và quản lý rủi ro từ các cuộc tấn công an ninh mạng. Nếu không có quy định nào được đưa ra, SEC sẽ ghi nhận điều đó và nó có thể dẫn đến những hậu quả lớn, chẳng hạn như tiền phạt và hình phạt do không tuân thủ. Các công ty cũng sẽ cần phải cho biết liệu an ninh mạng có phải là một phần trong chiến lược công ty, kế hoạch tài chính và phân bổ vốn của họ hay không.

Cuối cùng nhưng không kém phần quan trọng, quy định mới bắt buộc bất kỳ thành viên hội đồng quản trị nào có kiến ​​thức chuyên môn về an ninh mạng phải khai báo trong báo cáo thường niên và một số tuyên bố ủy quyền. Hội đồng quản trị nên có cả các chuyên gia về vấn đề an ninh mạng bên trong và bên ngoài (SMEs). Các doanh nghiệp vừa và nhỏ bên ngoài cần cung cấp kiến ​​thức chuyên môn và các doanh nghiệp vừa và nhỏ nội bộ nên cung cấp kiến ​​thức về thể chế.

An ninh mạng: mệnh lệnh lãnh đạo

Các chinks trong áo giáp của an ninh mạng là do con người tạo ra. Đưa nhân viên của bạn trở thành một phần không thể thiếu của giải pháp, chứ không phải là vấn đề, là cách duy nhất để đối phó với thực tế này. Ban giám đốc thường đứng đầu cơ cấu tổ chức; ở đây cần bắt đầu chú ý đến các quy tắc mới. Và họ phải trang bị cho nhân viên chương trình đào tạo liên tục và công nghệ mới.

Một trong những nghĩa vụ ủy thác quan trọng nhất mà các giám đốc và nhân viên có ngày nay là an ninh mạng. Hội đồng quản trị phải chắc chắn rằng các hướng dẫn và thực hành an ninh mạng đang được tuân thủ. Các nhà lãnh đạo phải thiết lập và nuôi dưỡng một nền văn hóa nhận thức rủi ro trong toàn công ty, giúp đưa ra quyết định tốt hơn.

Tuân thủ trên đường chân trời

Cho dù chúng ta có nhận ra điều đó hay không, thì lĩnh vực dịch vụ tài chính là rất cần thiết đối với tất cả chúng ta. Nó phải được củng cố và bảo vệ - và bây giờ, không phải sau này.

Các quy định mới đang phát sinh do thực tế này và việc tuân thủ không phải là tùy chọn. Các công ty phải điều chỉnh các chính sách và thủ tục của họ với SEC và các cơ quan quản lý quốc tế khác để làm cho thế giới kỹ thuật số an toàn hơn cho các nhà đầu tư cũng như người tiêu dùng.


Về tác giả:

Michael Brown là CISO lĩnh vực dịch vụ tài chính tại công ty an ninh mạng Fortinet.

Ông chuyên về các quy định an ninh mạng, tác động của ESG, SD-WAN, SD-Branch, Zero Trust, bảo mật giao dịch điện tử độ trễ thấp, SASE và các giải pháp đa đám mây.

tại chỗ_img

Tin tức mới nhất

tại chỗ_img