Введение
Данный документ представляет собой аналитический отчёт, подготовленный AuditBoard в сотрудничестве с Ascend2, посвящённый новому правилу раскрытия информации о кибербезопасности, установленному Комиссией по ценным бумагам и биржам США (SEC) в октябре 2023 года. Отчёт основан на опросе, проведённом в январе 2024 года среди более чем 300 специалистов в области безопасности из крупных американских компаний с годовым доходом свыше 100 миллионов долларов, которые непосредственно занимаются вопросами соответствия новому правилу.
Описание основных разделов
- Исполнительное резюме: Раскрывает, что 68% опрошенных чувствуют себя перегруженными новым правилом SEC, подчёркивая значительное влияние правила на бизнес и важность стратегического подхода к соответствию.
- Обзор правила SEC: Описывает требования к раскрытию информации о значимых инцидентах кибербезопасности для публичных компаний и их вендоров, подчеркивая цель усиления прозрачности и защиты инвесторов.
- Ключевые находки: Включает данные о начале компаниями работы по соответствию правилу, проблемах определения материальности инцидентов и важности технологий для упрощения процесса раскрытия информации.
- Путь к соответствию и Разработка стратегии соответствия: Рассматривает этапы, с которыми сталкиваются организации на пути к соответствию, и подчеркивает критическую важность стратегического планирования и проведения оценки разрывов.
- Определение и количественная оценка воздействия инцидентов кибербезопасности и Разъяснение понятия материальности: Обсуждается сложность определения материальности инцидентов и подходы к их количественной оценке.
- Обновление и интеграция процессов раскрытия информации: Выделяет вызовы, связанные с обновлением процессов раскрытия информации и их интеграцией с существующими процессами.
- Инструменты для трансформации пути к соответствию: Анализирует роль технологических решений в улучшении процессов управления рисками и соответствия требованиям SEC, подчеркивая важность интегрированного подхода.
Выводы
Отчёт подчёркивает сложности, с которыми сталкиваются организации при попытке соответствовать новому правилу SEC о раскрытии информации о кибербезопасности. Основные проблемы включают определение материальности инцидентов, интеграцию новых процессов раскрытия информации, и использование технологии для упрощения соответствия. Несмотря на эти вызовы, правильно разработанные стратегии и инструменты могут значительно облегчить процесс соответствия, укрепить кибербезопасность и обеспечить прозрачность для инвесторов.