Uno degli eventi di sicurezza informatica più significativi della storia sta per verificarsi per il settore dei servizi finanziari sotto forma di nuove normative legislative.
La SEC ha proposto nuove normative sulla sicurezza informatica che avranno un impatto sulle attività di FS
Le nuove regole della Securities and Exchange Commission (SEC) degli Stati Uniti avranno un impatto significativo sulle aziende che forniscono servizi finanziari e potrebbero avere un profondo effetto sulla cultura della sicurezza informatica una volta adottate.
La nuova proposta della SEC
La nuova proposta della SEC imporrà la completa trasparenza e responsabilità della sicurezza informatica al più alto livello di leadership aziendale, compresi i consigli di amministrazione, per tutte le società quotate in borsa. Imporrà alle aziende di segnalare eventi significativi di sicurezza informatica sul modulo 8-K.
Devono inoltre rivelare le politiche e le pratiche dell'azienda per la gestione dei rischi per la sicurezza informatica, nonché il modo in cui la direzione partecipa alla loro attuazione.
Devono inoltre essere divulgati il processo utilizzato dal consiglio di amministrazione dell'azienda per supervisionare il rischio di sicurezza informatica, nonché l'esperienza di sicurezza informatica di qualsiasi membro del consiglio.
Questa proposta farà molto per aiutare il rischio e la strategia della sicurezza informatica a diventare una conversazione a livello di consiglio, uno sviluppo a lungo necessario. Aiuterà anche ad aumentare la spesa delle imprese per la sicurezza informatica e a guidare la domanda di conoscenze sulla sicurezza informatica a livello di consiglio. E sottolineerà anche l'importanza di includere i CISO in queste conversazioni e decisioni a livello di consiglio.
Scavando nei dettagli
Il 23 marzo 2022 la SEC ha presentato una proposta per migliorare e standardizzare l'informativa resa dalle imprese pubbliche che sono tenute a rispettare gli obblighi di segnalazione del Securities Exchange Act del 1934. I requisiti si riferiscono alla gestione del rischio di sicurezza informatica, alla strategia, alla governance e segnalazione degli incidenti. Gli eventi materiali di sicurezza informatica dovrebbero essere segnalati, le politiche e le procedure di sicurezza informatica dovrebbero essere divulgate regolarmente e il consiglio di amministrazione dovrebbe supervisionare il rischio di sicurezza informatica.
Quando un istituto finanziario conclude di aver avuto un grave incidente di sicurezza informatica dopo che questi requisiti SEC sono diventati legge, ha quattro giorni lavorativi per divulgarlo. Il rapporto Form 8-K, che le aziende devono presentare alla SEC per annunciare eventi significativi di cui gli azionisti devono essere a conoscenza, dovrà essere modificato nell'ambito del processo di divulgazione. Il nuovo piano impone anche la divulgazione di una serie di singoli incidenti di sicurezza informatica precedentemente non segnalati che, nel loro insieme, hanno gravi conseguenze.
Le tue politiche messe a nudo
Il nuovo piano per la gestione del rischio, la strategia e la divulgazione della governance è ancora più significativo della sezione relativa alla segnalazione degli incidenti della proposta. Le politiche e le pratiche di gestione del rischio di sicurezza informatica di una società pubblica saranno messe a nudo attraverso questa sezione della proposta. Le aziende devono anche rivelare come il consiglio di amministrazione supervisiona il rischio di sicurezza informatica.
Inoltre, le aziende devono rivelare il ruolo della direzione esecutiva nella valutazione del rischio di sicurezza informatica e nell'attuazione delle politiche e delle procedure dell'azienda. Questo processo è simile alla pubblicazione in linea della "scheda rapporto" di un'organizzazione per la revisione e il commento pubblici.
In base al nuovo regolamento, le aziende devono divulgare le proprie politiche e processi per identificare e gestire i rischi derivanti dagli attacchi alla sicurezza informatica. Se non ce ne sono, la SEC ne prenderà atto e ciò potrebbe comportare gravi conseguenze, come multe e sanzioni per la non conformità. Le aziende dovranno anche indicare se la sicurezza informatica fa parte della loro strategia aziendale, pianificazione finanziaria e allocazione del capitale.
Infine, ma non meno importante, il nuovo regolamento prevede che tutti i membri del consiglio in possesso di esperienza in cybersecurity debbano dichiararlo nella relazione annuale e in alcune dichiarazioni di delega. Il consiglio dovrebbe avere esperti in materia di sicurezza informatica (PMI) interni ed esterni. Le PMI esterne dovrebbero fornire conoscenze specialistiche e le PMI interne dovrebbero fornire le conoscenze istituzionali.
Cybersecurity: un imperativo di leadership
Le crepe nell'armatura della sicurezza informatica sono create dalle persone. Rendere il proprio personale parte integrante della soluzione, piuttosto che del problema, è l'unico modo per affrontare questa realtà. Il consiglio di amministrazione è tipicamente al vertice della struttura organizzativa; è qui che deve partire l'attenzione alle nuove regole. E devono fornire ai dipendenti formazione continua e nuove tecnologie.
Uno degli obblighi fiduciari più importanti che i direttori e i funzionari hanno oggi è la sicurezza informatica. Il consiglio deve essere certo che le linee guida e le pratiche sulla sicurezza informatica vengano seguite. I leader devono stabilire e coltivare una cultura consapevole del rischio in tutta l'azienda, che consenta un migliore processo decisionale.
Conformità all'orizzonte
Che ce ne rendiamo conto o meno, il settore dei servizi finanziari è essenziale per tutti noi. Deve essere rafforzato e protetto – e ora, non più tardi.
Alla luce di questo fatto stanno nascendo nuove normative e il rispetto non è facoltativo. Le aziende devono allineare le loro politiche e procedure con la SEC e altri organismi di regolamentazione internazionali al fine di rendere il mondo digitale più sicuro sia per gli investitori che per i consumatori.
Circa l'autore:
Michael Brown è CISO sul campo per i servizi finanziari presso la società di sicurezza informatica Fortinet.
È specializzato in normative sulla sicurezza informatica, impatto ESG, SD-WAN, SD-Branch, Zero Trust, sicurezza del trading elettronico a bassa latenza, SASE e soluzioni multi-cloud.
- formica finanziaria
- Tecnologia bancaria
- blockchain
- conferenza blockchain fintech
- carillon fintech
- coinbase
- geniale
- conformità
- criptoconferenza fintech
- Cybersecurity
- Dati Analytics
- digitale
- Servizi finanziari / Finserv
- Fintech
- innovazione fintech
- Fortinet
- OpenSea
- PayPal
- Paytech
- pagamento
- Platone
- platone ai
- Platone Data Intelligence
- PlatoneDati
- gioco di plato
- rasoio
- Reportistica
- Revolut
- Ripple
- gestione del rischio
- fintech quadrato
- striscia
- Tencent fintech
- Xero
- zefiro
