Le regole della SEC sulla sicurezza informatica per le aziende pubbliche
Le nuove regole della SEC richiederanno la tempestiva divulgazione degli incidenti, una chiara rendicontazione delle policy e delle procedure di gestione del rischio informatico e un coinvolgimento più profondo a livello di consiglio di amministrazione.
A luglio del 2023, la Securities and Exchange Commission (SEC) degli Stati Uniti ha emesso una nuova serie di norme sulla divulgazione nell'ambito della sicurezza informatica, relative alle società pubbliche del Paese. Queste regole hanno lo scopo di aiutare gli investitori a prendere decisioni su dove investire, in quanto forniscono maggiori informazioni sulla serietà con cui un’organizzazione affronta i rischi legati alla sicurezza informatica.
Le aziende che sono in grado di condividere dettagli sul loro processo di monitoraggio del rischio informatico, ad esempio il modo in cui creano e tengono traccia dei punteggi del rischio informatico nel corso del tempo, implementando al contempo un processo semplice e ripetibile per segnalare e coinvolgere il consiglio di amministrazione sensibilizzandolo sul tema del rischio legato alla sicurezza informatica, si contraddistinguono agli occhi degli investitori.
La SEC si propone di riuscire a bilanciare un delicato equilibrio chiedendo da un lato alle organizzazioni di fornire dati sufficienti per informare gli investitori, senza però "accrescere la vulnerabilità dell'azienda agli attacchi informatici [...], evitando quindi di richiedere la divulgazione di quei dati operativi che potrebbero essere utilizzati come armi dagli aggressori".
Il Registro federale mostra che le regole sono entrate in vigore il 5 settembre 2023.
Riesamina le nuove regole con i responsabili della sicurezza, nonché con i team responsabili degli audit e delle risorse finanziarie che si occupano della gestione dei documenti, per creare un processo che consenta di rispettare la scadenza di quattro giorni qualora su verifichi un evento materiale.
Assicurati che l'azienda disponga di una conoscenza approfondita che gli consenta di determinare quando un evento di sicurezza informatica può essere considerato "materiale".
I responsabili della sicurezza devono redigere una descrizione del processo di analisi e valutazione del rischio informatico. Ciò può includere strumenti per valutare il rischio informatico, i rischi che tali strumenti affrontano (ad esempio, la superficie di attacco esterna o il rischio di perdita di dati) e i processi seguiti dai team per mitigare i rischi identificati.
I responsabili della sicurezza e degli audit devono collaborare con il consiglio di amministrazione per creare un processo, se non ne esiste già uno, che delinei come il consiglio agirà per supervisionare il rischio informatico, ad esempio facendo sì che la sicurezza informatica diventi un argomento permanente nelle revisioni aziendali trimestrali, per rivedere i punteggi di rischio, i principali fattori che vi contribuiscono, le azioni di mitigazione e gli investimenti necessari.
I responsabili della sicurezza devono identificare e interfacciarsi con i membri del consiglio con competenze in materia di sicurezza informatica, per acquisire e condividere i dati raccolti nei documenti annuali e ufficiali.
Risk360 misura il rischio informatico nelle aree chiave di una catena di attacco:
Risk360
Fai il prossimo passo
Lascia che i nostri esperti ti mostrino come Zscaler Risk360 è in grado di ridurre al minimo la superficie di attacco della tua organizzazione, prevenire il movimento laterale e annullare il rischio di subire perdite di dati.