Ce que les conseils d’administration de fonds doivent savoir sur la cybersécurité

Ce que les conseils d’administration de fonds doivent savoir sur la cybersécurité

Horodatage: 18 mars 2024 5h34
Ce que les conseils de gestion de fonds doivent savoir sur la cybersécurité PlatoBlockchain Data Intelligence. Recherche verticale. Aï.

Les dirigeants de fonds et les administrateurs jouent un rôle crucial en aidant les sociétés de gestion d’actifs à naviguer dans la cybersécurité. Alors que les coûts financiers, opérationnels et de réputation liés au cyber-risque continuent d’augmenter, une collaboration fructueuse entre les gestionnaires de fonds
les dirigeants, les responsables de la cybersécurité et le conseil d’administration sont essentiels à une surveillance efficace de la cybersécurité.

Création de règles accélérée

La Securities and Exchange Commission (SEC) a proposé des règles exigeant que les conseillers en investissement enregistrés et les sociétés d'investissement adoptent et mettent en œuvre des politiques et procédures écrites en matière de cybersécurité.

En outre, ils devraient signaler à la SEC les incidents de cybersécurité importants affectant le conseiller en investissement ou les fonds qu'il conseille dans les 48 heures suivant la détermination d'un incident important.

Les entreprises devraient également divulguer les risques et incidents de cybersécurité dans leurs documents d’information et mettre en œuvre une nouvelle politique rigoureuse de tenue de registres en matière de cybersécurité.

Les conseils d’administration peuvent également être tenus d’approuver les politiques et procédures de cybersécurité de certains prestataires de services de fonds enregistrés, tels que leur conseiller en investissement, leur souscripteur principal, leur administrateur ou leur agent de transfert.

L’objectif principal de ces règles est de garantir que les conseils d’administration supervisent activement le programme de cybersécurité et soient tenus responsables de son administration. Une autre intention est de protéger le marché en évitant un scénario dans lequel plusieurs fonds seraient incapables de
effectuer des opérations clés en même temps.

Les propositions n’innovent pas et n’imposent pas d’exigences onéreuses par rapport aux approches utilisées dans d’autres secteurs ou codifiées dans la plupart des normes de cybersécurité.

Cependant, il pourrait s’avérer nécessaire de rattraper les petits conseillers et les familles de fonds, les fonds actuellement sous-investis dans la cybersécurité ou les fonds qui n’exercent pas une surveillance régulière de la cybersécurité par leur conseil d’administration.

Se préparer

Le programme de cybersécurité doit être adapté à l'entreprise, mais les sociétés de fonds doivent toujours inclure dans leurs politiques l'évaluation des risques, la gestion des menaces et des accès, la gestion des vulnérabilités ainsi que la réponse aux incidents de cybersécurité et la récupération.
et procédures.

Les propositions de la SEC exigent que les administrateurs du conseil d'administration du fonds approuvent initialement ces politiques et procédures, puis examinent le rapport écrit sur les incidents de cybersécurité et tout changement important.

Dans l’exercice de leurs fonctions de surveillance, les administrateurs du conseil d’administration doivent rechercher des informations pour comprendre les risques potentiels en matière de cybersécurité ainsi que les principales caractéristiques et opérations du programme. Ils doivent évaluer l'efficacité du programme de cybersécurité et ses
mise en œuvre et si le fonds dispose de ressources adéquates pour la cybersécurité.

Les évaluations des risques requises par les propositions aideraient le conseil d'administration à déterminer la portée, la complexité et la nature des défis de cybersécurité auxquels le fonds est confronté ainsi que l'efficacité de son cyberprogramme.

Selon les propositions, la responsabilité conjointe du reporting au conseil d'administration pourrait être confiée à un professionnel de la cybersécurité et à un représentant des entreprises de fonds. Travaillant en tandem, ces dirigeants devraient collaborer pour garantir que le conseil d'administration reçoive des rapports.
et des conseils qui lui permettent de remplir sa fonction de surveillance.

Le conseil d'administration doit être convaincu que le programme de cybersécurité comprend parfaitement les priorités de l'organisation, s'engage régulièrement avec les parties prenantes appropriées de l'entreprise et traite avec succès le risque commercial lié à la cybersécurité.

La fonction cyber doit communiquer les risques commerciaux potentiels aux personnes les mieux informées sur l’entreprise. Les informations doivent être transmises aux parties prenantes dans un langage qu’elles comprennent et en gardant à l’esprit leur point de vue et leurs priorités.

Comment travailler avec des responsables de la cybersécurité

Les conseils d’administration doivent veiller à ce que l’expertise technique de la fonction cyber se traduise en informations significatives et pertinentes pour le conseil d’administration. Cela pourrait les obliger à s'attaquer à la tendance des professionnels de la cybersécurité à tomber dans le « piège de l'expertise ».
où la fonction cyber attend du conseil d’administration qu’il comprenne les aspects techniques de la cybersécurité.

Si les entreprises déterminent que leurs responsables en cybersécurité ne sont pas encore prêts à siéger au conseil d’administration, elles peuvent engager un conseiller possédant une expertise en cybersécurité pour soutenir le processus. Par exemple, un expert extérieur peut aider à développer le sens des affaires du cyberprofessionnel, lui proposer
leur poser des questions pertinentes, clarifier leurs commentaires et leurs réponses au conseil d'administration et recommander un coaching de direction.

Le Buck s'arrête ici

La fonction de cybersécurité peut fournir une orientation, favoriser la sensibilisation et développer des outils pour soutenir la cybersécurité, ainsi que mettre en évidence les processus et les décisions qui conduisent à une sécurité médiocre. Mais elle ne peut pas être seule responsable de la cybersécurité.

Les conseils d'administration devraient reconnaître que la cybersécurité n'est pas seulement l'apanage des professionnels de la technologie, mais un impératif stratégique, et enfin abandonner l'idée selon laquelle « nous faisons des affaires, vous faites de la sécurité ».

Le cyberprogramme a besoin du soutien du conseil d’administration et du PDG pour être véritablement efficace. Les administrateurs doivent noter que les dirigeants qui rendent compte au conseil d’administration en matière de cybersécurité peuvent guider et conseiller, mais que la responsabilité de la cybersécurité doit incomber au PDG. Planches
doit être conscient du rôle clé du PDG dans la conduite de la culture de cybersécurité d'une organisation, en l'intégrant à tous les niveaux de l'entreprise et en promouvant la collaboration entre les dirigeants.

En évaluant l'efficacité du programme de cybersécurité, les conseils d'administration évaluent essentiellement la performance du PDG, ainsi que celle du responsable de la sécurité de l'information (RSSI), et d'autres responsables de la cybersécurité ou représentants d'entreprises de fonds déclarant
au conseil d'administration sur les questions de cybersécurité.

Dans un écosystème de gestion de fonds interconnecté et en constante expansion, les conseils d'administration doivent garantir une compréhension commune entre les administrateurs, la haute direction et les responsables technologiques sur la manière dont les cyber-risques sont traités et atténués tout au long de la chaîne de valeur des conseillers.
des complexes de fonds et des prestataires de services tiers.

Il est crucial pour les sociétés de fonds de garantir la confiance des investisseurs et des clients, de protéger leur marque et leur réputation et d’améliorer leur avantage concurrentiel dans un monde de plus en plus numérique.

Horodatage:

Plus de Fintextra