Perusahaan Harus Memiliki Pakar Keamanan Siber Perusahaan, Kata SEC

Komisi Keamanan dan Pertukaran AS (SEC) telah mengangkat kaca pembesar untuk keahlian keamanan siber perusahaan.

Asli proposal dari SEC pada Maret 2022 mengatakan bahwa perusahaan ingin mengumumkan secara terbuka satu pakar keamanan dunia maya di dewan direksi dan satu di dalam manajemen. Hari ini, SEC mundur persyaratan untuk ahli dewan — meskipun masih menginginkan "pendaftar untuk menjelaskan pengawasan dewan direksi terhadap risiko dari ancaman keamanan siber dan peran serta keahlian manajemen dalam menilai dan mengelola risiko material dari ancaman keamanan siber."

Itu berarti SEC tidak secara aktif mendorong kredensial dewan pakar keamanan siber, setidaknya untuk saat ini. Namun masih bersikeras agar keahlian manajemen keamanan siber dilaporkan kepada mereka.

Tapi apa yang dimaksud dengan keahlian seperti itu? Para ahli setuju bahwa itu adalah pertanyaan yang sangat sulit.

SEC secara eksplisit tidak mendefinisikan keahlian cybersecurity, menyerahkan keputusan penting itu kepada masing-masing perusahaan. Itu memberi petunjuk tentang beberapa bidang yang mungkin untuk menentukan keahlian itu, menyebutkan sertifikasi, gelar akademik, dan pengalaman kerja.

“Meskipun maksudnya mungkin tersirat, aturan SEC yang diusulkan tentang dunia maya sebenarnya tidak membutuhkan lebih banyak keahlian keamanan dunia maya di dewan atau manajemen senior. Aturan … mungkin tidak secara jelas menguraikan apa yang dimaksud dengan keahlian itu, tetapi ini tidak berbeda dengan persyaratan pengungkapan SEC lainnya yang diberlakukan untuk direktur, seperti pengungkapan keahlian keuangan direktur yang bertugas di komite audit, ”kata Andrew Morrison, a Prinsipal Deloitte Risk & Financial Advisory.

Pasar Akan Memutuskan Siapa Ahlinya

Berbagai pakar yang diwawancarai mengatakan bahwa SEC tidak akan menyetujui atau menolak kredensial siapa pun dan menentukan apakah mereka memenuhi persyaratan yang tidak ditentukan. Itu akan menyerahkannya ke pasar.

Itu bisa terjadi dalam dua cara. Pertama, ketika perusahaan mengalami pelanggaran data yang sangat merusak, pemegang saham dan investor dapat menghukum perusahaan dengan menurunkan harga sahamnya jika kekuatan pasar tersebut memutuskan bahwa kredensial tidak mencukupi. Dua, perusahaan mungkin mempertimbangkan kembali kredensial yang awalnya disetujui jika semua perusahaan lain di segmen tersebut menghasilkan pakar dengan kredensial yang lebih mengesankan.

“SEC kemungkinan berharap bahwa persyaratan pengungkapan yang baru akan menciptakan persaingan yang sehat seputar keamanan siber. Organisasi akan melihat apa yang diungkapkan oleh rekan-rekan mereka dan mencoba melakukan yang lebih baik, atau setidaknya tidak jauh lebih buruk, ”kata Brian Levine, direktur pelaksana EY (sebelumnya Ernst & Young).

Ditanya apakah menurutnya aturan baru itu akan membuat dewan yang mencari anggota baru memprioritaskan pengalaman keamanan siber, Levine skeptis, tetapi mengizinkan bahwa "setidaknya itu bisa menjadi pemecah ikatan."

Pengalaman Adalah Kunci

Saat membahas kategori yang dibagikan SEC, sebagian besar pakar keamanan sangat menekankan pada pengalaman, dengan hanya sedikit yang terkesan dengan sebagian besar sertifikat atau pelatihan universitas. Namun, sertifikasi paling populer — termasuk Certified Information System Security Professional (CISSP), Certified Information Systems Auditor (CISA), CompTIA Security+, Certified Ethical Hacker (CEH), dan Certified Information Security Manager (CISM) — dan gelar ilmu komputer umumnya dianggap bermanfaat untuk peran manajemen, jika terlalu spesifik untuk peran dewan.

Andy Ellis, mitra operasi di YL Ventures, khawatir bahwa beberapa perusahaan akan terlalu bergantung pada metrik yang mudah diukur — seperti sertifikat dan gelar — karena akan mempermudah menemukan bakat, dengan asumsi perusahaan mencari manajemen ini ahli secara eksternal.

“Perekrut dapat melakukan pencarian Google berdasarkan metrik dan menemukan kandidat sempurna yang mencentang semua kotak, meskipun secara kualitatif mereka bukan kandidat yang baik,” kata Ellis.

Untuk peran dewan, Ellis mengatakan ini bukan tentang mengetahui jawaban daripada tentangnya mengetahui pertanyaan yang tepat untuk bertanya. Jika CISO memberi tahu dewan bahwa mereka telah menerapkan MFA dengan benar, apakah anggota dewan cukup mengetahui tentang MFA dan autentikasi untuk bertanya, “Berapa banyak faktor yang kita gunakan dan faktor mana yang kita gunakan? Apakah kita menggunakan metode akurat yang paling ketat atau biaya terendah dan paling tidak efektif?” Dan ketika jawabannya datang, apakah anggota dewan itu tahu jika jawabannya valid?

Brian Walker, CEO di perusahaan konsultan keamanan The CAP Group, juga skeptis bahwa sertifikasi sangat membantu di level Fortune 500. Nilai besar dari pakar keamanan dunia maya, baik dalam manajemen atau dewan, adalah membuat keputusan keamanan di tempat yang kritis, seperti apakah sesuatu benar-benar merupakan pelanggaran yang dapat dilaporkan. Kata Walker, “Pada titik mana suatu insiden adalah materi? Cukup menentukan apakah itu material atau tidak bukanlah aktivitas yang cepat. Kapan Anda mendeklarasikan?”

Merekrut, Melatih, atau…?

Untuk posisi dewan, perusahaan memiliki dua cara: merekrut pakar dunia maya sejati untuk bergabung dengan dewan, atau mengubah anggota dewan yang ada menjadi pakar dunia maya.

Opsi pertama sulit. Perusahaan Fortune 500 hampir selalu memiliki anggota dewan dari salah satu dari tiga tempat: CEO dan mantan CEO perusahaan lain; semua jenis investor; dan anggota dewan internal, biasanya CEO dan CFO atau COO. Sulit untuk menemukan pakar keamanan siber sejati di grup tersebut.

“Jika semua yang perlu dilakukan dewan adalah menunjukkan keahlian dan SEC membiarkan pintu terbuka bagi direktur yang menunjukkan keahlian melalui sertifikasi industri, maka direktur yang duduk akan berakhir di bootcamp sertifikasi atau sekolah siber eksekutif,” kata Igor Volovich, VP strategi kepatuhan di Qmulos. “Setelah mengamati upaya tersebut secara langsung, saya dapat membuktikan kegunaan yang sangat terbatas dari upaya tersebut.”

Grafik SEC mencoba untuk mengatasi kurangnya perhatian serius keamanan siber biasanya diterima di perusahaan besar. Anggota dewan umumnya akan mengatakan hal-hal yang mendukung tentang memiliki toleransi yang rendah terhadap risiko dan pentingnya perlindungan keamanan.

Tapi ketika dewan membuat keputusan anggaran dan mempertimbangkan untuk memberi CISO otoritas yang jauh lebih besar, mereka cenderung tidak mendukung keamanan dunia maya dengan tindakan mereka.

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Otomotif / EV, Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• BlockOffset. Modernisasi Kepemilikan Offset Lingkungan. Akses Di Sini.
• Sumber: https://www.darkreading.com/edge-articles/companies-must-have-corporate-cybersecurity-experts-sec-says