Le regole della SEC sulla sicurezza informatica per le aziende pubbliche

Le nuove regole della SEC richiederanno la tempestiva divulgazione degli incidenti, una chiara rendicontazione delle policy e delle procedure di gestione del rischio informatico e un coinvolgimento più profondo a livello di consiglio di amministrazione.

Dettagli

A luglio del 2023, la Securities and Exchange Commission (SEC) degli Stati Uniti ha emesso una nuova serie di norme sulla divulgazione nell'ambito della sicurezza informatica, relative alle società pubbliche del Paese. Queste regole hanno lo scopo di aiutare gli investitori a prendere decisioni su dove investire, in quanto forniscono maggiori informazioni sulla serietà con cui un’organizzazione affronta i rischi legati alla sicurezza informatica.

Le aziende che sono in grado di condividere dettagli sul loro processo di monitoraggio del rischio informatico, ad esempio il modo in cui creano e tengono traccia dei punteggi del rischio informatico nel corso del tempo, implementando al contempo un processo semplice e ripetibile per segnalare e coinvolgere il consiglio di amministrazione sensibilizzandolo sul tema del rischio legato alla sicurezza informatica, si contraddistinguono agli occhi degli investitori.

La SEC si propone di riuscire a bilanciare un delicato equilibrio chiedendo da un lato alle organizzazioni di fornire dati sufficienti per informare gli investitori, senza però "accrescere la vulnerabilità dell'azienda agli attacchi informatici [...], evitando quindi di richiedere la divulgazione di quei dati operativi che potrebbero essere utilizzati come armi dagli aggressori". 

Il Registro federale mostra che le regole sono entrate in vigore il 5 settembre 2023.

Contenuti
Le nuove regole chiave della SEC sulla sicurezza informatica
Nuovo modulo 8-K articolo 1.05
Nuovo modulo 8-K articolo 1.05
Divulgazione dei dettagli sugli incidenti rilevanti di sicurezza informatica entro quattro giorni lavorativi dalla relativa determinazione.
new-regulation-s-k-item-106
Nuovo regolamento S-K articolo 106(b)
Fornire una descrizione dei "processi, se presenti, per valutare, identificare e gestire i rischi materiali derivanti dalle minacce alla sicurezza informatica [...]"
cybersecurity-disclosures
Divulgazioni nell'ambito della sicurezza informatica
Da presentare in linguaggio Inline XBRL (Inline eXtensible Business Reporting Language).
new-regulation-s-k-item
Nuovo regolamento S-K articolo 106(c)
Fornire una descrizione della supervisione, da parte del consiglio di amministrazione, sui rischi legati alla sicurezza informatica e sul relativo ruolo e livello di competenza nella valutazione e nella gestione dei rischi materiali derivanti dalle minacce informatiche.
Come prepararsi
Raduna il team per adempiere alle pratiche informatiche

Riesamina le nuove regole con i responsabili della sicurezza, nonché con i team responsabili degli audit e delle risorse finanziarie che si occupano della gestione dei documenti, per creare un processo che consenta di rispettare la scadenza di quattro giorni qualora su verifichi un evento materiale.


Identifica quali eventi sono "materiali".

Assicurati che l'azienda disponga di una conoscenza approfondita che gli consenta di determinare quando un evento di sicurezza informatica può essere considerato "materiale".


Descrivi il processo correlato al rischio informatico

I responsabili della sicurezza devono redigere una descrizione del processo di analisi e valutazione del rischio informatico. Ciò può includere strumenti per valutare il rischio informatico, i rischi che tali strumenti affrontano (ad esempio, la superficie di attacco esterna o il rischio di perdita di dati) e i processi seguiti dai team per mitigare i rischi identificati.


Discuti con il CdA

I responsabili della sicurezza e degli audit devono collaborare con il consiglio di amministrazione per creare un processo, se non ne esiste già uno, che delinei come il consiglio agirà per supervisionare il rischio informatico, ad esempio facendo sì che la sicurezza informatica diventi un argomento permanente nelle revisioni aziendali trimestrali, per rivedere i punteggi di rischio, i principali fattori che vi contribuiscono, le azioni di mitigazione e gli investimenti necessari.


Sfrutta le competenze informatiche del CdA

I responsabili della sicurezza devono identificare e interfacciarsi con i membri del consiglio con competenze in materia di sicurezza informatica, per acquisire e condividere i dati raccolti nei documenti annuali e ufficiali.


Zscaler Risk 360
Risk360: la risposta di Zscaler al rischio informatico
Zscaler Risk360™ è un framework completo e attuabile per rispondere al rischio informatico, che offre una potente quantificazione dei rischi acquisendo dati reali dall'ambiente di Zscaler di un'organizzazione. Risk360 offre visualizzazioni intuitive, dati sull'esposizione finanziaria e report pronti da presentare al CdA, oltre a informazioni dettagliate e fruibili sui rischi per la sicurezza da utilizzare da subito per la relativa mitigazione.
Risk360 misura il rischio informatico nelle aree chiave di una catena di attacco:
external-attck-surface
Superficie di attacco esterna
Scopri qual è il rischio concreto che gli aggressori trovino e sfruttino i punti deboli della superficie di attacco, esaminando le variabili rilevabili.
compromissioni
compromissioni
Analizza e mitiga i rischi, esaminando un'ampia gamma di eventi, configurazioni di sicurezza e attributi nel flusso di traffico, per calcolare la probabilità che si verifichi una compromissione.
lateral-movement
Movimento laterale
Scopri qual è rischio per l'azienda di incorrere alla propagazione laterale delle minacce, esaminando una serie di impostazioni e metriche correlate all'accesso privato.
data-loss-exfiltration-risk
Rischio di perdita/esfiltrazione dei dati
Analizza e limita il rischio di subire l'esfiltrazione dei dati da parte degli aggressori.

Risk360

Fai il prossimo passo

Lascia che i nostri esperti ti mostrino come Zscaler Risk360 è in grado di ridurre al minimo la superficie di attacco della tua organizzazione, prevenire il movimento laterale e annullare il rischio di subire perdite di dati.