Le aziende devono avere esperti di sicurezza informatica aziendale, afferma SEC

La US Security and Exchange Commission (SEC) ha puntato la lente d'ingrandimento sull'esperienza di sicurezza informatica di un'azienda.

L'originale proposta della SEC nel marzo 2022 ha affermato di volere che le aziende dichiarassero pubblicamente un esperto di sicurezza informatica nel consiglio di amministrazione e uno all'interno del management. Oggi la SEC ha fatto marcia indietro il requisito per l'esperto del consiglio di amministrazione, sebbene desideri ancora che "i dichiaranti descrivano la supervisione del consiglio di amministrazione dei rischi derivanti dalle minacce alla sicurezza informatica e il ruolo e l'esperienza della direzione nella valutazione e gestione dei rischi materiali derivanti dalle minacce alla sicurezza informatica".

Ciò significa che la SEC non sta attivamente spingendo per le credenziali di un esperto di sicurezza informatica del consiglio, almeno per il momento. Ma insiste ancora affinché vengano segnalate loro le competenze di gestione della sicurezza informatica.

Ma cosa costituisce tale competenza? Gli esperti concordano sul fatto che si tratta di una domanda molto difficile.

La SEC non ha definito esplicitamente le competenze in materia di sicurezza informatica, lasciando tale decisione critica a ciascuna azienda. Ha fornito suggerimenti su alcune possibili aree per determinare tale competenza, menzionando certificazioni, titoli accademici ed esperienze lavorative.

“Sebbene l'intento possa essere implicito, la norma SEC proposta sul cyber non richiede in realtà più competenze in materia di sicurezza informatica nei consigli di amministrazione o nell'alta dirigenza. La … regola potrebbe non delineare chiaramente ciò che costituisce tale competenza, ma questo non è diverso dagli altri requisiti di divulgazione della SEC messi in atto per gli amministratori, come la divulgazione delle competenze finanziarie degli amministratori che fanno parte del comitato di revisione”, afferma Andrew Morrison, un Preside di Deloitte Risk & Financial Advisory.

Il mercato deciderà chi è un esperto

Vari specialisti intervistati affermano che la SEC non approverà né negherà le credenziali di nessuno e determinerà se soddisfano i requisiti non specificati. Lo lascerà al mercato.

Ciò potrebbe svolgersi in due modi. In primo luogo, quando l'impresa subisce una violazione dei dati particolarmente distruttiva, gli azionisti e gli investitori possono punire l'azienda abbassando il prezzo delle sue azioni se le forze di mercato decidono che le credenziali erano insufficienti. Due, un'azienda potrebbe riconsiderare le credenziali inizialmente approvate se tutte le altre società in quel segmento producono esperti con credenziali più impressionanti.

“La SEC probabilmente spera che i nuovi requisiti di divulgazione creino una sana concorrenza sulla sicurezza informatica. Le organizzazioni esamineranno ciò che i loro colleghi hanno rivelato e cercheranno di fare meglio, o almeno non sostanzialmente peggio", afferma Brian Levine, amministratore delegato di EY (ex Ernst & Young).

Alla domanda se pensa che la nuova regola farà in modo che i consigli di amministrazione alla ricerca di nuovi membri diano la priorità all'esperienza di sicurezza informatica, Levine è scettico, ma ammette che "potrebbe almeno essere un punto di svolta".

L'esperienza è la chiave

Quando si discute delle categorie condivise dalla SEC, la maggior parte degli specialisti della sicurezza dà un'enfasi schiacciante all'esperienza, e pochi sono rimasti colpiti dalla maggior parte dei certificati o dalla formazione universitaria. Tuttavia, i certificati più popolari - tra cui Certified Information System Security Professional (CISSP), Certified Information Systems Auditor (CISA), CompTIA Security +, Certified Ethical Hacker (CEH) e Certified Information Security Manager (CISM) - e le lauree in informatica sono generalmente considerato utile per il ruolo dirigenziale, se troppo specifico per il ruolo consiliare.

Andy Ellis, partner operativo di YL Ventures, teme che alcune aziende facciano troppo affidamento su metriche facili da quantificare, come certificati e lauree, perché renderà più facile trovare il talento, supponendo che l'azienda stia cercando questo management esperto esterno.

"I reclutatori possono eseguire una ricerca su Google basata su metriche e trovare il candidato perfetto che controlla tutte le caselle, anche se qualitativamente non sono un buon candidato", afferma Ellis.

Per un ruolo nel consiglio di amministrazione, Ellis afferma che si tratta molto meno di conoscere le risposte di quanto non si tratti conoscere le domande giuste chiedere. Se il CISO comunica al consiglio di amministrazione di aver implementato correttamente l'AMF, il membro del consiglio ne sa abbastanza sull'autenticazione e sull'autenticazione MFA per chiedere: "Quanti fattori stiamo utilizzando e quali stiamo utilizzando? Stiamo usando i metodi accurati più rigorosi o quelli più economici e meno efficaci? E quando arriverà la risposta, quel membro del consiglio saprà se le risposte sono valide?

Anche Brian Walker, CEO della società di consulenza sulla sicurezza The CAP Group, è scettico sul fatto che le certificazioni siano utili a livello di Fortune 500. Il grande valore di un esperto di sicurezza informatica, sia nella direzione che nel consiglio di amministrazione, è prendere decisioni critiche sulla sicurezza in loco, ad esempio se qualcosa è veramente una violazione segnalabile. Dice Walker: “A che punto un incidente è materiale? Determinare semplicemente se è materiale o meno non è un'attività veloce. Quando dichiari?

Reclutare, Addestrare o...?

Per una posizione nel consiglio di amministrazione, le aziende hanno due strade da percorrere: reclutare veri esperti informatici per entrare a far parte del consiglio o trasformare i membri del consiglio esistenti in esperti informatici.

La prima opzione è difficile. Le società Fortune 500 hanno quasi sempre membri del consiglio di uno dei tre posti: amministratori delegati ed ex amministratori delegati di altre società; investitori di ogni genere; e membri del consiglio interno, in genere il CEO e il CFO o il COO. È difficile trovare veri esperti di sicurezza informatica in quei gruppi.

"Se tutto ciò che il consiglio deve fare è dimostrare competenza e la SEC sta lasciando la porta aperta ai direttori che dimostrano competenza attraverso la certificazione del settore, allora ne conseguirebbe che i direttori in carica finirebbero in bootcamp di certificazione o scuole informatiche esecutive", afferma Igor Volovich, il vicepresidente della strategia di conformità di Qmulos. "Avendo osservato in prima persona tali sforzi, posso attestare l'utilità estremamente limitata di tali sforzi".

Il SEC sta cercando di affrontare la mancanza di seria attenzione che la sicurezza informatica riceve tipicamente nelle grandi aziende. I membri del consiglio generalmente diranno cose di supporto sull'avere bassa tolleranza al rischio e l'importanza delle protezioni di sicurezza.

Ma quando il tabellone fa decisioni di bilancio e considera di conferire al CISO molta più autorità, tendono in modo schiacciante a non supportare la sicurezza informatica con le loro azioni.

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
• PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
• PlatoneESG. Automobilistico/VE, Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
• BlockOffset. Modernizzare la proprietà della compensazione ambientale. Accedi qui.
• Fonte: https://www.darkreading.com/edge-articles/companies-must-have-corporate-cybersecurity-experts-sec-says