Отчет о раскрытии информации о кибербезопасности DragonGC
КибербезопасностьМировые

Отчет о раскрытии информации о кибербезопасности DragonGC

DragonGC – платформа правовой разведки, использующая всестороннюю “авторитетную разведку” для предоставления тщательно отобранных, проверенных и оригинальных источников. Наша миссия – упростить соблюдение требований для юридических групп публичных компаний.

Мы решаем проблему информационной перегрузки, точно определяя исходный материал, необходимый для решения важных запросов о раскрытии финансовой информации. Кроме того, мы предоставляем тематические резюме, прецеденты и примеры раскрытия информации публичными компаниями. Наша цель – дать командам возможность без особых усилий создавать соответствующие сообщения для акционеров.

Многие известные компании уже подали свои 10K за 2023 год. Эти ранние 10k-заявки дают представление о раскрытии информации о кибербезопасности, требуемой новым пунктом 106 S-K.

Компания DragonGC dragonFind идентифицировала первых подавших документы, перечисленных ниже, и связала их с конкретными сведениями о кибербезопасности, включенными в их недавно поданные 10-Ks:

Усовершенствованные микроустройстваGeneral Electric
АлфавитHalliburton
Amazon.comМетаплатформы
Baker HughesMondelez
BoeingNetflix
Carrier GlobalNorfolk Southern
Уставные сообщенияOmnicom
CNA FinancialOtis по всему миру
ComcastRTX
CVS HealthSirius XM
DowSouthwest Airlines
Крепежные деталиTesla
Ford MotorT-Mobile США
GE HealthcareUnited States Steel

DragonGC проанализировал раскрытия этих первых заявителей и выявил несколько тенденций в подаче заявок. Пожалуйста, прочитайте наше краткое изложение раскрытий по кибербезопасности 10-k.

Управление рисками и стратегия

Сравнение политик управления рисками и стратегии из документов компаний, на которые даны ссылки, выявляет разнообразие подходов, структур и приоритетных областей в разных компаниях:

Согласование рамок и стандартов:

  • Advanced Micro Devices, CNA Financial, General Electric, Mondelez, Netflix, Norfolk Southern, Omnicom, Sirius XM, US Steel и Tesla прямо упоминают использование Системы кибербезопасности Национального института стандартов и технологий (NIST CSF), а некоторые также интегрируют ISO 27001, стандарт информационной безопасности, созданный Международной организацией по стандартизации (ISO). Это подчеркивает общую тенденцию к внедрению отраслевых стандартов для структурирования своих программ кибербезопасности.
  • Otis и RTX описывают управление существенными рисками и реализацию политик кибербезопасности без указания соответствия требованиям NIST CSF или ISO 27001, предлагая индивидуальный подход к кибербезопасности, основанный на операционных рисках, краже интеллектуальной собственности и соблюдении законов о конфиденциальности.

Комплексное управление кибербезопасностью:

  • Baker Hughes и Halliburton делают упор на комплексную программу управления кибербезопасностью: Baker Hughes управляет Центром Cyber Fusion Center для непрерывного мониторинга угроз, а Halliburton интегрирует анализ рисков в свою программу управления корпоративными рисками.
  • Amazon и Fastainal уделяют особое внимание защите данных с помощью процессов, снижающих воздействие инцидентов безопасности, включая оценку безопасности, управление уязвимостями и тестирование на проникновение.

Инвестиции в программы кибербезопасности:

  • Charter Communication и Southwest Airlines упоминают инвестиции в разработку и внедрение программ кибербезопасности, при этом Charter Communication уделяет особое внимание расширенным возможностям обнаружения, предотвращения и защиты, а Southwest интегрирует риски кибербезопасности в свою программу управления корпоративными рисками (ERM).

Исполнительное руководство и надзор:

  • Carrier Global Corporation и Ford Motor упоминают, что их программами кибербезопасности управляют руководители высшего звена, что указывает на нисходящий подход к управлению рисками кибербезопасности.
  • Dow и T-Mobile интегрируют управление рисками кибербезопасности в общий процесс управления корпоративными рисками компании, уделяя особое внимание интеграции кибербезопасности в более широкое организационное управление рисками.

Уникальные подходы и приоритетные области:

  • Meta признает конкретные проблемы, с которыми они сталкиваются из-за их масштаба и характера своей отрасли, подчеркивая регулярный опыт инцидентов в области кибербезопасности и необходимость надежных усилий по управлению рисками.
  • Otis описывает многогранный подход к управлению угрозами кибербезопасности, включая учебные программы, моделирование фишинга и страхование кибербезопасности, предлагая многоуровневую стратегию управления рисками.

Реагирование на инциденты и постоянный мониторинг:

  • GE Healthcare и RTX сосредоточены на выявлении и снижении рисков кибербезопасности с особым упоминанием процессов реагирования на инциденты, что указывает на акцент на готовность и быстрое реагирование на инциденты.

Интеграция с корпоративным управлением рисками:

  • Comcast, Southwest Airlines и US Steel подчеркивают интеграцию рисков кибербезопасности в свои более широкие программы управления корпоративными рисками (ERM), демонстрируя подход, который согласовывает управление рисками кибербезопасности с общими бизнес-целями.

Выводы:

  • Большинство компаний придерживаются устоявшихся структур, таких как NIST CSF, что указывает на предпочтение использования лучших отраслевых практик в области управления рисками кибербезопасности.
  • Такие компании, как Baker Hughes и Halliburton, демонстрируют передовой подход, располагая специализированными центрами и комплексными программами для непрерывного мониторинга и анализа угроз.
  • Инвестиции в возможности кибербезопасности и интеграция с корпоративным управлением рисками являются общими темами, предполагающими, что компании признают важность кибербезопасности для их общей оценки рисков.
  • Уникальные проблемы и стратегии, выделенные Meta и Otis, отражают разнообразный характер рисков кибербезопасности в различных отраслях и индивидуальные подходы, применяемые компаниями для устранения этих рисков.

Подводя итог, можно сказать, что, несмотря на сильную тенденцию к внедрению стандартизированных структур, таких как NIST CSF, компании также демонстрируют уникальные стратегии и приоритетные области в своих стратегиях управления рисками в области кибербезопасности. Это отражает разнообразие условий кибербезопасности, в которых они работают, и их конкретные бизнес-потребности.

Управление

Политика управления, связанная с кибербезопасностью, в этих компаниях имеет как сходство в структуре, так и явные различия в подходах к надзору и делегировании обязанностей. Вот анализ этих раскрытий.:

Структура надзора:

  • Участие Комитета по аудиту: Многие компании, такие как Advanced Micro Devices, Baker Hughes, CNA Financial, Comcast, GE Healthcare, GE, Halliburton, Meta, Mondelez, Norfolk Southern, Omnicom, Otis, RTX, Sirius, Southwest Airlines, Tesla, T-Mobile и US Steel, делегируют надзор за кибербезопасностью Комитету по аудиту, что отражает общую практику управления, обеспечивающую регулярный анализ рисков кибербезопасности и управление ими.
  • Специальные комитеты по кибербезопасности: RTX упоминает Специальный комитет по надзору за кибербезопасностью секретного бизнеса, указывая на специализированную структуру надзора за конкретными областями кибербезопасности.

Исполнительное руководство и отчетность:

  • Роль директора по информационной безопасности (CISO): Такие компании, как Amazon, Baker Hughes, Charter Communication, CNA, Ford Motor, GE, Netflix, Norfolk Southern, Sirius и Southwest Airlines, подчеркивают роль CISO в разработке стратегий кибербезопасности и отчетности перед вышестоящими органами управления, подчеркивая важность опыта в области кибербезопасности на уровне руководителей.
  • Централизованный против Совместное лидерство: Amazon описывает единый командный подход, возглавляемый директором по безопасности, в отличие от Carrier Global Corporation, где программами кибербезопасности владеет директор по информационным технологиям (CIO) под надзором нескольких должностных лиц (CISO и главного сотрудника по безопасности продуктов), что предполагает разные модели лидерства и подотчетности.

Взаимодействие с Советом директоров и управление рисками:

  • Надзор на уровне совета директоров: Почти все компании признают надзор за рисками кибербезопасности на уровне совета директоров, при этом Boeing, Carrier Global Corporation, Fastenal, Ford Motor и Tesla особо отмечают общую ответственность совета директоров за надзор за рисками, включая кибербезопасность.
  • Конкретные комитеты по надзору: Meta использует двухкомитетский подход с Комитетом по аудиту и надзору за рисками и Комитетом по конфиденциальности, подчеркивая структурированную модель управления, которая четко учитывает как риски кибербезопасности, так и конфиденциальности.

Отчетность и оценка:

  • Регулярная отчетность перед органами управления: Fastainal, Ford Motor, GE Healthcare, GE, Meta, Mondelez, Norfolk Southern, Otis, Sirius, Tesla и US Steel упоминают механизмы регулярной отчетности перед Комитетом по аудиту или правлением, обеспечивающие постоянную осведомленность о рисках кибербезопасности и управление ими.
  • Ежегодные обзоры и стратегическое планирование: Sirius и Southwest Airlines обсуждают ежегодные обзоры политики информационной безопасности и стратегических технологических планов, указывая на стратегический подход к управлению кибербезопасностью.

Отличительные подходы:

  • Центр кибер-слияния: Baker Hughes управляет Центром кибер-слияния для мониторинга угроз, уникальным оперативным компонентом в структуре управления для сбора информации об угрозах в режиме реального времени и реагирования на них.
  • Сертификаты и обучение: Otis особо упоминает членов правления, имеющих сертификаты по надзору за кибербезопасностью, и ключевых сотрудников, имеющих соответствующие степени и сертификаты, подчеркивая важность опыта и непрерывного обучения в своей политике управления.

Сравнительная информация:

  • Большинство компаний полагаются на свои комитеты по аудиту в вопросах надзора за кибербезопасностью, что указывает на тенденцию к интеграции кибербезопасности в более широкие системы корпоративного управления и управления рисками.
  • Роль CISO является центральной во многих стратегиях, при этом различия в структурах отчетности и участии руководителей отражают различные организационные приоритеты и культуры управления рисками.
  • Уникальные структуры управления, такие как Комитет по специальной деятельности RTX и двухкомитетский подход Meta, демонстрируют индивидуальные модели управления, разработанные для решения конкретных проблем кибербезопасности и конфиденциальности.
  • Регулярная и стратегическая отчетность перед руководящими органами является общей темой, подчеркивающей важность постоянного надзора, стратегического согласования и адаптивности при управлении рисками кибербезопасности.

Подводя итог, можно сказать, что, хотя основа управления кибербезопасностью в этих компаниях имеет общие элементы, такие как надзор за Комитетом по аудиту и исполнительное руководство через CISO, конкретные структуры, механизмы отчетности и подходы к управлению рисками демонстрируют ряд практик, адаптированных к операционным потребностям и стратегическим целям каждой компании.

Управление инцидентами

Политика управления инцидентами этих компаний раскрывает ряд стратегий подготовки к инцидентам кибербезопасности, реагирования на них и восстановления после них. Вот более подробный обзор раскрытия информации этими компаниями в рамках реализации Плана реагирования на инциденты (IRP):

Реализация Плана реагирования на инциденты (IRP):

  • Общность: Все компании разработали План реагирования на инциденты кибербезопасности (IRP) или аналогичные структуры для руководства своим реагированием на инциденты кибербезопасности. Это универсальная практика по всем направлениям, подчеркивающая важность готовности в управлении кибербезопасностью.
  • Специфика выполнения: Boeing проводит ‘настольные’ учения для имитации инцидентов, Dow и Southwest Airlines проводят симуляции реагирования на киберкризисы, а Otis регулярно проводит настольные учения, имитацию фишинга электронной почты и внутренние аудиты, что свидетельствует о проактивном подходе к выявлению потенциальных областей для улучшения.

Процессы отчетности и эскалации:

  • Ежеквартальная и регулярная отчетность: Advanced Micro Devices, Amazon, Baker Hughes, Carrier Global, Fastenal, Ford Motor, Halliburton, Meta, Mondelez, Netflix, Norfolk Southern, Omnicom, RTX, Sirius и Tesla упоминают регулярную или ежеквартальную отчетность перед Правлением или конкретными комитетами, подчеркивая важность постоянного надзора и осведомленности руководства.
  • Эскалация критических инцидентов: Carrier Global сообщает об эскалации в Комитет по критическим угрозам, в то время как Charter Communication, CNA Financial и US Steel описывают конкретные внутренние процессы уведомления и эскалации для управления инцидентами кибербезопасности, демонстрируя важность быстрых действий и принятия решений в ответ на критические угрозы.

Взаимодействие с третьими сторонами:

  • Консультации и оценка: GE Healthcare привлекает оценщиков, консультантов и аудиторов для проверки своей программы кибербезопасности, а Halliburton также привлекает сторонние фирмы для оценки рисков, что свидетельствует об открытости для внешнего опыта в укреплении возможностей реагирования на инциденты.
  • Отношения с поставщиками для реагирования на инциденты: Fastenal поддерживает отношения с квалифицированными сторонними поставщиками для реагирования на инциденты по требованию, демонстрируя механизм внешней поддержки для расширения своих возможностей управления инцидентами.

Надзор и руководство:

  • Участие руководства: CISO Meta, Гай Розен, возглавляет программу кибербезопасности и контролирует функции безопасности по всей компании, что указывает на централизованную модель руководства. В отличие от этого, Ford Motor и GE задействуют несколько руководящих должностей (директор по корпоративным технологиям, главный юрисконсульт, Глобальный CISO) в управлении инцидентами, что отражает более распределенную структуру руководства.
  • Надзор за правлением и комитетами: T-Mobile и US Steel подчеркивают роль своего Совета директоров и Комитета по аудиту в надзоре за управлением инцидентами в области кибербезопасности, подчеркивая стратегическую важность кибербезопасности на уровне руководства.

Постоянное совершенствование и обучение:

  • Симуляции и тренировки: Norfolk Southern и Sirius регулярно проводят настольные упражнения и симуляции для обеспечения соблюдения своих IRP и повышения готовности. Tesla описывает комплексный процесс реагирования на инциденты, который включает анализ после инцидента для постоянного совершенствования.
  • Программы повышения осведомленности и обучения: Sirius упоминает программу повышения осведомленности о безопасности, которая включает обязательное обучение всех сотрудников, указывая на инвестиции в человеческий капитал как важнейший компонент их политики управления инцидентами.

Уникальные подходы:

  • Правовые аспекты и соблюдение требований: Carrier Global тщательно рассматривает обязательства по раскрытию информации в соответствии с применимым законодательством о ценных бумагах в отношении существенных инцидентов кибербезопасности, подчеркивая взаимосвязь управления инцидентами кибербезопасности с соблюдением законодательства и нормативных требований.
  • Уведомление общественности и клиентов: Charter Communication устанавливает стандарты внешнего уведомления, подчеркивая важность прозрачности и коммуникации с заинтересованными сторонами в случае инцидента в области кибербезопасности.

Выводы:

  • Хотя все компании уделяют особое внимание разработке и внедрению IRP, степень детализации, механизмы отчетности и взаимодействие с третьими сторонами различаются, что отражает различия в организационной структуре, склонности к риску и нормативно-правовой среде.
  • Регулярное моделирование, упражнения и взаимодействие с внешними экспертами или консультантами являются распространенными стратегиями для проверки эффективности планов реагирования на инциденты и определения областей для улучшения.
  • Участие руководства в управлении инцидентами различно: некоторые компании централизуют эту роль в руках CISO или эквивалента, в то время как другие распределяют обязанности между несколькими руководителями, что указывает на разные подходы к управлению рисками кибербезопасности.
  • Отчетность перед Советом директоров или конкретными комитетами и надзор со стороны них – это универсальная тема, подчеркивающая признание кибербезопасности в качестве важнейшего вопроса управления.

Эти компании демонстрируют приверженность обеспечению готовности, постоянному совершенствованию и надзору со стороны руководства в своих политиках управления инцидентами. Различные подходы к вовлечению руководства, сторонних организаций и моделированию отражают индивидуальные стратегии для удовлетворения уникальных потребностей организации и задач кибербезопасности.

Оценка воздействия

Политика компаний по управлению рисками кибербезопасности подчеркивает различные подходы к идентификации рисков, практике управления и потенциальному влиянию инцидентов кибербезопасности на их деятельность. Вот сравнительный анализ.:

Идентификация и оценка рисков:

  • Общий подход: Большинство компаний, включая Amazon, Baker Hughes, Boeing, Carrier Global Corporation и Netflix, интегрируют управление рисками кибербезопасности в свой общий процесс корпоративного управления рисками (ERM), уделяя особое внимание постоянному мониторингу и регулярной оценке рисков.
  • Уникальные стратегии: Boeing уделяет особое внимание уязвимостям и потенциальным векторам атак, характерным для систем компании и аэрокосмической продукции, в то время как Norfolk Southern описывает конкретные последствия угроз кибербезопасности, такие как перебои в обслуживании и сбои в обеспечении безопасности, указывая на более детальный подход к выявлению рисков, связанных с их отраслью.

Реагирование на инциденты и смягчение их последствий:

  • Планы реагирования на инциденты: Все компании упоминают о наличии плана реагирования на инциденты кибербезопасности или аналогичных структур. Otis и RTX, например, подробно описывают используемые процессы, технологии и средства контроля, включая операционные центры безопасности и управление уязвимостями.
  • Привлечение сторонних организаций и аудиты: Comcast, CVS и Mondelez привлекают оценщиков, консультантов и третьи стороны для регулярных аудитов безопасности и оценки рисков, в то время как T-Mobile специально упоминает о привлечении внешних компаний по кибербезопасности высшего уровня для улучшения своей программы.

Отчетность и коммуникация:

  • Отчетность правления и комитетов: Advanced Micro Devices, Baker Hughes и Halliburton регулярно или ежеквартально предоставляют своему Совету директоров обновленную информацию о показателях кибербезопасности и инцидентах, уделяя особое внимание надзору со стороны руководства.
  • Соображения по внешнему раскрытию информации: Carrier Global Corporation обсуждает рассмотрение обязательств по раскрытию информации в соответствии с применимым законодательством о ценных бумагах в отношении существенных инцидентов в области кибербезопасности, уделяя особое внимание правовым и нормативным аспектам управления инцидентами.

Обучение и осведомленность:

  • Программы обучения сотрудников: Comcast и T-Mobile упоминают обучение сотрудников и поставщиков кибербезопасности как часть своей программы, указывая на акцент на человеческий фактор при управлении рисками кибербезопасности.
  • Комплексное обучение и симуляции: Baker Hughes включает обучение кибербезопасности в свою ежегодную программу обучения сотрудников, а Otis регулярно проводит симуляции фишинговых электронных писем и настольные упражнения, демонстрируя многогранный подход к повышению осведомленности и готовности к кибербезопасности.

Потенциальное воздействие и существенность:

  • Признание текущих рисков: Advanced Micro Devices, Dow и Fastainal признают текущие риски, связанные с угрозами кибербезопасности, и потенциал существенного воздействия на их деятельность и финансовое состояние, что отражает осторожный взгляд на эволюционирующий характер киберугроз.
  • Конкретные инциденты и меры по смягчению последствий: Southwest Airlines упоминает, что в прошлом подвергалась кибератакам, но смягчала их с помощью превентивных мер, в то время как T-Mobile ссылается на конкретные инциденты в области кибербезопасности, которые привели к судебным искам, что свидетельствует о прозрачности прошлых проблем и ответных мер.

Выводы:

  • Хотя все компании признают важность управления рисками кибербезопасности в рамках своих общих структур управления рисками, степень детализации их политики, привлечение третьих сторон и механизмы отчетности и надзора со стороны руководства различаются.
  • Интеграция программ обучения и повышения осведомленности по кибербезопасности в большинстве компаний подчеркивает всеобщее признание важнейшей роли, которую сотрудники и поставщики играют в поддержании кибербезопасности.
  • Конкретное упоминание некоторыми компаниями прошлых инцидентов, потенциальных последствий и существенности угроз кибербезопасности позволяет понять, как эти организации воспринимают риски, связанные с кибербезопасностью, и доводят их до сведения заинтересованных сторон.

Таким образом, эти компании демонстрируют приверженность выявлению, оценке и управлению рисками кибербезопасности с помощью комплексных процессов управления рисками, планов реагирования на инциденты, обучения сотрудников и надзора со стороны руководства. Подробные подходы к оценке рисков, привлечению сторонних организаций и механизмам отчетности отражают их уникальные операционные потребности и стратегические приоритеты в контексте кибербезопасности.

По мере поступления все большего количества раскрытий информации о кибербезопасности DragonGC ожидает, что раскрытие информации будет становиться все более схожим, включая передовой опыт в целом с выделением конкретных областей, отражающих нюансы в разных отраслях.

admin
Author: admin