Finansal hizmetler sektörü için tarihin en önemli siber güvenlik olaylarından biri yeni yasal düzenlemelerle yaşanmak üzere.
SEC, FS işletmelerini etkileyecek yeni siber güvenlik düzenlemeleri önerdi
ABD Menkul Kıymetler ve Borsa Komisyonu'nun (SEC) yeni kuralları, finansal hizmetler sağlayan işletmeler üzerinde önemli bir etkiye sahip olacak ve benimsendiklerinde siber güvenlik kültürü üzerinde derin bir etkiye sahip olabilecek.
SEC'in yeni teklifi
Yeni SEC teklifi, halka açık tüm şirketler için yönetim kurulları da dahil olmak üzere en üst düzey iş liderliği düzeyinde tam siber güvenlik şeffaflığı ve hesap verebilirliği zorunlu kılacak. İşletmelerin önemli siber güvenlik olaylarını Form 8-K'da raporlamasını zorunlu kılacak.
Ayrıca şirketin siber güvenlik risklerini yönetmeye yönelik politika ve uygulamalarının yanı sıra yönetimin bunların uygulanmasına nasıl katıldığını da açıklamaları gerekir.
Şirketin yönetim kurulunun siber güvenlik riskini denetlemek için kullandığı süreç ve yönetim kurulu üyelerinin siber güvenlik uzmanlığı da açıklanmalıdır.
Bu teklif, siber güvenlik riski ve stratejisinin yönetim kurulu düzeyinde bir tartışma haline gelmesine yardımcı olma yolunda uzun bir yol kat edecek ve bu uzun zamandır ihtiyaç duyulan bir gelişmedir. Ayrıca kurumsal siber güvenlik harcamalarının artırılmasına ve yönetim kurulu düzeyinde siber güvenlik bilgisine yönelik talebin artırılmasına da yardımcı olacak. Ayrıca CISO'ların yönetim kurulu düzeyindeki bu konuşmalara ve kararlara dahil edilmesinin öneminin de altını çizecek.
Ayrıntılara inmek
23 Mart 2022'de SEC, 1934 Menkul Kıymetler Borsası Yasası'nın raporlama gereksinimlerine uyması gereken kamu firmaları tarafından yapılan açıklamaların iyileştirilmesi ve standartlaştırılmasına yönelik bir teklif sundu. Gereksinimler, siber güvenlik risk yönetimi, stratejisi, yönetişimi ve olay raporlama. Önemli siber güvenlik olaylarının raporlanması, siber güvenlik politikaları ve prosedürlerinin düzenli olarak açıklanması ve yönetim kurulunun siber güvenlik riskini denetlemesi gerekecektir.
Bir finans kurumu, bu SEC gereklilikleri yasalaştıktan sonra önemli bir siber güvenlik olayı yaşadığı sonucuna varırsa, bunu açıklamak için dört iş günü vardır. Hissedarların bilmesi gereken önemli olayları duyurmak için işletmelerin SEC'ye sunması gereken Form 8-K raporunun, açıklama sürecinin bir parçası olarak değiştirilmesi gerekecek. Yeni plan aynı zamanda daha önce bildirilmemiş ve bir araya getirildiğinde ciddi sonuçlara yol açan bir dizi bireysel siber güvenlik olayının açıklanmasını da zorunlu kılıyor.
Politikalarınız açıkça ortaya çıktı
Risk yönetimi, strateji ve yönetişimin açıklanmasına yönelik yeni plan, teklifin olay raporlama bölümünden çok daha önemlidir. Teklifin bu bölümü aracılığıyla bir kamu kuruluşunun siber güvenlik risk yönetimi politikaları ve uygulamaları açıklığa kavuşturulacak. Şirketler ayrıca yönetim kurulunun siber güvenlik riskini nasıl denetlediğini de açıklamalıdır.
Ayrıca şirketler, siber güvenlik riskini değerlendirme ve firmanın politika ve prosedürlerini uygulama konusunda üst düzey yönetimin rolünü açıklamalıdır. Bu süreç, bir kuruluşun "karnesini" kamuoyunun incelemesi ve yorumu için çevrimiçi olarak yayınlamaya benzer.
Yeni düzenlemeye göre şirketlerin siber güvenlik saldırılarından kaynaklanan riskleri belirlemeye ve yönetmeye yönelik politikalarını ve süreçlerini açıklamaları gerekiyor. Hiçbiri mevcut değilse, SEC bunu not edecektir ve bu, para cezaları ve uyumsuzluk nedeniyle cezalar gibi önemli sonuçlara yol açabilir. Şirketlerin ayrıca siber güvenliğin kurumsal stratejilerinin, finansal planlamalarının ve sermaye tahsislerinin bir parçası olup olmadığını söylemeleri gerekecek.
Son olarak, yeni düzenleme, siber güvenlik uzmanlığına sahip olan yönetim kurulu üyelerinin bunu yıllık raporda ve bazı vekâletnamelerde beyan etmesini zorunlu kılmaktadır. Kurulda hem iç hem de dış siber güvenlik konu uzmanları (KOBİ'ler) bulunmalıdır. Dış KOBİ'ler uzmanlık bilgisi sağlamalı, iç KOBİ'ler ise kurumsal bilgiyi sağlamalıdır.
Siber güvenlik: liderlik zorunluluğu
Siber güvenliğin zırhındaki çatlaklar insanlar tarafından yaratılıyor. Çalışanlarınızı sorunun değil, çözümün ayrılmaz bir parçası haline getirmek bu gerçekle başa çıkmanın tek yoludur. Yönetim kurulu genellikle organizasyon yapısının en üstünde yer alır; Yeni kuralların dikkate alınmasının başlaması gereken yer burasıdır. Çalışanlarını sürekli eğitim ve yeni teknolojilerle donatmaları gerekiyor.
Bugün yöneticilerin ve memurların sahip olduğu en önemli güvene dayalı yükümlülüklerden biri siber güvenliktir. Yönetim kurulunun siber güvenlik yönergelerinin ve uygulamalarının takip edildiğinden emin olması gerekir. Liderler, şirket genelinde daha iyi karar almayı mümkün kılan risk bilincine sahip bir kültür oluşturmalı ve beslemelidir.
Ufuktaki uyumluluk
Farkında olsak da olmasak da finansal hizmetler sektörü hepimiz için vazgeçilmezdir. Güçlendirilmesi ve korunması gerekiyor; daha sonra değil şimdi.
Bu gerçeğin ışığında yeni düzenlemeler ortaya çıkıyor ve uyumluluk isteğe bağlı değil. Dijital dünyayı hem yatırımcılar hem de tüketiciler için daha güvenli hale getirmek amacıyla şirketlerin politika ve prosedürlerini SEC ve diğer uluslararası düzenleyici kurumlarla uyumlu hale getirmesi gerekiyor.
Yazar Hakkında:
Michael Brown, siber güvenlik firması Fortinet'in finansal hizmetlerden sorumlu saha CISO'sudur.
Siber güvenlik düzenlemeleri, ESG etkisi, SD-WAN, SD-Şube, Sıfır Güven, düşük gecikmeli elektronik ticaret güvenliği, SASE ve çoklu bulut çözümleri konularında uzmandır.
- karınca finansal
- BankacılıkTeknolojisi
- blockchain
- blockchain konferans fintech
- çan fintech
- coinbase
- zeka
- uyma
- kripto konferans fintech
- Siber güvenlik
- Veri Analizi
- dijital
- Finansal Hizmetler / Finserv
- fintech
- fintech yeniliği
- Fortinet
- OpenSea
- PayPal
- Paytech
- ödeme yolu
- Platon
- plato yapay zekası
- Plato Veri Zekası
- PlatoVeri
- plato oyunu
- usturayla ödeme
- Raporlama
- Revolut
- Ripple
- risk yönetimi
- kare fintech
- şerit
- tencent finans teknolojisi
- Xero
- zefirnet
