Gli MSP saranno presto probabilmente chiamati ad aiutare i clienti con un altro problema di sicurezza informatica, ma questo non riguarda l’applicazione di patch o l’installazione di firewall, si tratta di spiegare. La Securities and Exchange Commission (SEC) degli Stati Uniti propone requisiti di revisione per le divulgazioni sulla sicurezza informatica da parte dei consigli di amministrazione delle società.
Ecco come la SEC descrive le modifiche proposte:
“La SEC propone regole per migliorare e standardizzare le informazioni relative alla gestione dei rischi di sicurezza informatica, strategia, governance e segnalazione degli incidenti di sicurezza informatica da parte delle società pubbliche soggette agli obblighi di segnalazione del Securities Exchange Act del 1934. incidenti di sicurezza informatica. Proponiamo inoltre di richiedere divulgazioni periodiche sulle politiche e le procedure di un registrante per identificare e gestire i rischi di sicurezza informatica, il ruolo della direzione nell’attuazione delle politiche e delle procedure di sicurezza informatica e l’eventuale competenza in materia di sicurezza informatica del consiglio di amministrazione e la sua supervisione del rischio di sicurezza informatica.”
Leggi il testo completo della raccomandazione SEC qui.
Gli esperti di sicurezza informatica generalmente applaudono le mosse previste dalla SEC. “La SEC sta essenzialmente dicendo che la sicurezza informatica è importante, quindi codifichiamola”, spiega David Williams, un esperto di sicurezza informatica a Baltimora, Md. E questo conta più che mai con l’aumento delle violazioni dei dati.
L’aumento delle violazioni dei dati spinge alla necessità di maggiore trasparenza
Nel terzo trimestre del 2022, ad esempio, il numero di aziende che hanno subito violazioni dei dati ha continuato a superare tutti gli altri anni. Lo scorso mese, Rivista sulla sicurezza informativa segnalato:
- Un totale di 108,9 milioni di account sono stati violati nel terzo trimestre del 2022, con un aumento del 70% rispetto al trimestre precedente.
- I primi cinque paesi e regioni più colpiti dalle violazioni dei dati nel terzo trimestre del 2022 sono stati Russia, Francia, Indonesia, Stati Uniti e Spagna. Mentre la Russia ha registrato il maggior numero di violazioni complessive (22,3 milioni), la Francia ha registrato la più alta densità di violazioni, con una media di 212 account trapelati ogni 1000 persone.
Il fatto che gli Stati Uniti siano tra i primi cinque paesi presi di mira dagli hacker non fa che aumentare l’urgenza della SEC di implementare nuove regole. Le violazioni sono costose e la SEC ha interesse a proteggere l’intero ecosistema dalle violazioni. Una maggiore trasparenza e rapporti aiuterebbero a raggiungere questo obiettivo, consiglia Williams.
“L’idea è che codificando ciò che le aziende dovrebbero già fare, aggiungono un punto esclamativo”, aggiunge. Le regole della SEC dovrebbero essere finalizzate nella primavera del 2023, ma le aziende devono iniziare a prepararsi ora.
Gli MSP svolgono un ruolo fondamentale nell’aiutare i clienti a prepararsi
“Non vuoi aspettare fino al rilascio del linguaggio delle regole finali per iniziare a prepararti”, avverte Williams. “Le aziende devono fare queste cose ora, eliminando eventuali bug ed essendo preparate per loro. E gli MSP hanno un ruolo fondamentale da svolgere in questo processo nell’aiutare i consigli di amministrazione a creare i protocolli e il linguaggio adeguati”.
Alcune delle modifiche che le aziende dovranno adottare quando le regole SEC saranno finalizzate includono
- Richiedere rapporti aggiornati sugli incidenti di sicurezza informatica rilevanti nel modulo 8-K.
“Questa regola richiederà di segnalare gli incidenti di sicurezza informatica entro quattro giorni, non dall’incidente stesso, ma dalla scoperta. Quindi, se l’azienda scopre una violazione avvenuta sei mesi fa, hai quattro giorni dalla scoperta. Ci saranno alcuni avanti e indietro su ciò che costituisce ‘materiale’”, dice William.
Una segnalazione corretta può portare a sistemi forti e resistenti agli attacchi
Commissione della SEC Hester Pierce ha detto a un’udienza del Congresso: “Un sistema di segnalazione adeguatamente progettato potrebbe servire da base per la Commissione per assistere l’industria nella creazione di sistemi forti e resistenti agli attacchi”. Pierce stava spiegando la logica alla base della regola di segnalazione di 4 giorni.
Altre regole proposte includono la divulgazione di quanto segue:
- Le politiche e le procedure di un dichiarante per identificare e gestire i rischi di sicurezza informatica.
- Ruolo della direzione nell’attuazione delle politiche e delle procedure di sicurezza informatica.
- L’eventuale competenza in materia di sicurezza informatica del consiglio di amministrazione e la sua supervisione del rischio di sicurezza informatica.
“Ciò che la SEC cerca davvero è la trasparenza”, osserva Williams. “Vogliono che un’azienda divulghi pubblicamente le sue politiche e i suoi protocolli di sicurezza informatica in modo che chiunque possa vederli prima di entrare in affari. Le nuove regole SEC richiederanno anche una divulgazione migliorata e standardizzata della politica di gestione del rischio informatico di un’azienda.
Secondo la SEC, le nuove regole richiederebbero alle aziende di:
- Descrivere le sue politiche e procedure, se del caso, per l’identificazione e la gestione dei rischi derivanti dalle minacce alla sicurezza informatica, incluso se il dichiarante considera la sicurezza informatica come parte della sua strategia aziendale, pianificazione finanziaria e allocazione del capitale.
- Richiedere informazioni sulla supervisione del consiglio di amministrazione del rischio di sicurezza informatica e sul ruolo e l’esperienza della direzione nella valutazione e gestione del rischio di sicurezza informatica e nell’attuazione delle politiche, procedure e strategie di sicurezza informatica del dichiarante.
“Queste sono tutte soluzioni valide, quindi vuoi iniziare a lavorarci ora. Alcune aziende sono tristemente scarse sulla loro strategia di gestione del rischio; molti volano per il sedile dei pantaloni, e questo non basta più. La SEC richiederà strategie di rischio informatico codificate e chiare e gli MSP dovranno probabilmente aiutare le aziende a elaborare tali politiche”, consiglia Williams.
Sebbene il mancato rispetto delle nuove politiche SEC non comporterà accuse penali, la SEC può imporre multe.
“Ma non vogliono che queste regole siano punitive, vogliono che sia un vantaggio, che una maggiore trasparenza e segnalazione aiuti tutti”, conclude Williams.