Tidak lagi opsional: pengawasan risiko cyber untuk papan

San Francisco -Pengacara untuk US Bank dan Wells Fargo baru-baru ini mengatakan kepada audiensi para ahli keamanan siber bahwa Cyber ​​telah beralih dari fungsi manajemen ke tanggung jawab tata kelola tingkat dewan wajib, dan yang harus dilaksanakan oleh Dewan untuk mengurangi paparan hukum dan keuangan.

Keduanya juga membahas gagasan dewan yang berpartisipasi dalam latihan meja, di mana tim keamanan bank mempraktikkan apa yang akan dilakukannya dalam menanggapi insiden keamanan siber yang realistis namun fiktif. Sementara pengacara menyatakan skeptisisme umum tentang nilai melibatkan anggota dewan dalam latihan di atas meja, mereka memang menawarkan alternatif bagaimana dewan dapat mempersiapkan suatu insiden.

Diskusi datang dalam bentuk panel di RSAC Conference, sebuah konferensi keamanan siber terkemuka yang diadakan setiap tahun di San Francisco. Pengacara adalah Alison Atkins, Kepala Penasihat Keamanan Cybers dan Teknologi di US Bank, dan Matt Greenberg, asisten penasihat umum dan direktur eksekutif cybersecurity dan respons insiden untuk Wells Fargo.

Papan bergeser ke tata kelola aktif di cyber

Anggota dewan tidak lagi hanya mencoba menentukan apakah praktisi “memiliki pegangan” pada hal -hal, menurut Tom Doughty, kepala petugas keamanan informasi di menghasilkan biomedisin, salah satu dari banyak perusahaan publik yang terkena dampak perubahan peraturan dalam beberapa tahun terakhir yang telah mengubah peran dewan dalam tata kelola keamanan siber. Doughty duduk di panel bersama Greenberg dan Atkins.

Sebaliknya, didorong oleh tanggung jawab yang lebih jelas dan pagar pengatur, pertanyaan direktur telah meningkat. Direktur sekarang berada dalam mode “mencoba memahami di mana mereka berdiri dan perusahaan berdiri relatif terhadap tanggung jawab tata kelola tersebut.”

Greenberg menggemakan ini, dengan mengatakan dia telah melihat “peran ciso yang jauh lebih terlibat” dengan anggota dewan “benar -benar menginginkan pemahaman yang jauh lebih bermakna tentang program cybersecurity perusahaan.”

Dewan memang “jauh lebih tertarik untuk mendapatkan pemahaman,” menurut Erez Liebermann, mitra di Debevoise & Plimpton dan moderator diskusi. Namun, ia menyarankan hanya mendapatkan pemahaman tidak cukup dan tidak boleh disalahartikan karena “memberikan pengawasan atau pengawasan yang sebenarnya yang perlu mereka berikan.”

Legal Landscape menuntut pengawasan dewan

Atkins merinci kerangka hukum yang memaksa peningkatan aktivitas dewan.

Di Delaware, para direktur berutang tugas dasar perawatan dan kesetiaan, mengharuskan mereka untuk bertindak secara wajar dan dengan itikad baik. Meskipun tidak diharapkan menjadi ahli keamanan siber atau mengelola risiko sendiri, anggota dewan harus memberikan pengawasan dan mendidik diri mereka sendiri, mengandalkan laporan dan informasi.

Ini termasuk ekspektasi kompetensi, dan ada kemungkinan tanggung jawab direktur di bawah hukum kasus Delaware yang ada (seperti Doktrin Caremark) untuk “pengabaian yang disengaja” atau mengabaikan bendera merah. Pengadilan bahkan mempertimbangkan untuk memperluas tanggung jawab pengawasan kepada dewan dalam kasus SolarWinds baru -baru ini, meskipun hakim menolak pada waktu itu.

Regulator federal juga menekankan tanggung jawab dewan. Peraturan perusahaan publik SEC sekarang mengamanatkan pengungkapan tahunan praktik manajemen risiko dunia maya, termasuk keterlibatan dewan. Ini membutuhkan pelaporan tentang tanggapan Dewan dan Manajemen Senior terhadap ancaman, peran penilaian risiko manajemen dan pengawasan dewan. Konsekuensinya adalah bahwa informasi ini adalah pengacara aksi publik dan kelas adalah “pasca-pelanggaran memanen informasi ini untuk memicu tuntutan hukum ini,” kata Atkins.

FTC secara konsisten menyatakan bahwa keamanan data dimulai dengan Dewan, bukan departemen TI, menurut Atkins. Papan harus menetapkan harapan yang tinggi dan membangun tim, berpotensi melalui sub -komite, untuk melihat risiko dunia maya.

Amandemen baru -baru ini terhadap aturan perlindungan FTC untuk lembaga keuangan tertentu mengharuskan individu yang memenuhi syarat untuk melaporkan informasi tahunan yang spesifik, tertulis, kepada dewan, menguraikan apa yang perlu diketahui oleh dewan yang diyakini oleh FTC.

Tindakan penegakan FTC mendukung hal ini, Greenberg mencatat, menunjukkan kepada regulator akan melihat apakah dewan “memiliki pengawasan yang wajar atas program keamanan siber” setelah sebuah insiden, katanya.

Untuk entitas yang dilindungi, Departemen Layanan Keuangan Negara Bagian New York Bagian 500 Amandemen pada tahun 2023 menekankan bahwa dewan harus memiliki pengetahuan atau keahlian yang cukup untuk mengawasi risiko keamanan siber, menurut Greenberg, dan memerlukan briefing tentang berbagai aspek, termasuk keamanan sistem informasi, kebijakan/prosedur, risiko material, insiden material (dengan jalur laporan khusus).

Doktrin dan peraturan ini menyediakan “peta jalan untuk dewan Anda” untuk “minimum” dari apa yang dicari oleh regulator dan Delaware, kata Atkins.

Briefing yang efektif dan mengajukan pertanyaan yang tepat

Menerjemahkan risiko cyber ke dalam “ketentuan bisnis dan ketentuan operasional dan ketentuan keuangan adalah sesuatu yang benar -benar beresonansi” dengan anggota dewan yang ahli dalam risiko operasional, kata Atkins. Ini membantu mereka memberikan pengawasan yang efektif dengan memanfaatkan pandangan eksternal mereka dan menemukan masalah potensial.

Karena tidak semua anggota dewan memiliki keahlian cyber, panelis menyarankan untuk mengajari mereka pertanyaan apa yang harus diajukan. Greenberg menawarkan tiga pertanyaan kunci yang ingin dia dengar:

Apakah Anda memiliki sumber daya yang cukup untuk membela perusahaan? Apa yang tidak saya ketahui sekarang itu adalah risiko bagi perusahaan ini? Apa risiko cyber saat ini untuk perusahaan ini?

Pertanyaan -pertanyaan ini harus ditanyakan dan dijawab dalam istilah nonteknik, tambah Doughty. Dia juga menyarankan CISO secara proaktif berbagi pertanyaan yang seharusnya diajukan dewan.

Bendera merah yang harus diwaspadai oleh anggota dewan selama briefing termasuk laporan di mana “semuanya hebat, semuanya sempurna, saya memiliki semua yang saya butuhkan, dan jangan khawatir tentang apa pun,” kata Greenberg.

Bendera merah lainnya adalah penilaian diri internal tanpa validasi eksternal, kurangnya data objektif, tidak ada batasan metrik untuk pelaporan berita buruk otomatis, dan tidak meminta atau menerima informasi tentang topik seperti risiko AI.

Bendera hijau termasuk pesan yang konsisten, menggunakan pengujian independen, menerjemahkan risiko cyber ke dalam bahasa Inggris biasa, memiliki pendekatan yang diukur, menggunakan metrik dan mengasumsikan pelanggaran tidak dapat dihindari – berpikir tentang pelanggaran sebagai kapan, bukan jika.

Benchmarking dan validasi eksternal penting untuk menafsirkan skor seperti metrik dari National Institute of Standard and Technology, atau NIST, yang dimaksudkan untuk memberikan ukuran seberapa disiapkan suatu lembaga terhadap serangan cyber, tetapi dapat menjadi tidak berarti tanpa konteks.

Panelis juga mengatakan dewan perlu memahami target kematangan, korelasi dengan pilihan investasi, dan perbedaan antara apa yang bisa dilakukan dan apa yang harus dilakukan. Penilaian risiko yang disajikan dengan ringkasan eksekutif juga dapat membantu. Mendasarkan diskusi tentang ancaman aktual dan dampak potensial mereka pada perusahaan sangat penting untuk membuat informasi dapat ditindaklanjuti.

Peran papan selama insiden dan latihan meja

Panelis mengatakan bahwa sementara tim eksekutif mengelola respons insiden, peran dewan adalah untuk memberikan pengawasan dan wawasan. Mereka membawa perspektif pemegang saham dan pengalaman lintas industri. Mereka harus memahami situasi dan keterbatasan yang berkembang pesat di sekitar komunikasi untuk mengendalikan pesan. Mereka juga harus waspada tentang melindungi informasi insiden sensitif untuk menjaga hak istimewa.

Mengenai latihan meja, panelis sepakat bahwa dewan harus berharap bahwa latihan seperti itu dilakukan di tingkat tata kelola dan teknis. Namun, panelis umumnya sepakat bahwa direktur tidak boleh duduk dan berpartisipasi langsung dalam meja operasional, karena “itu bukan peran mereka,” kata Doughty.

Sebaliknya, keterlibatan mereka mungkin termasuk menerima informasi dan mengajukan pertanyaan seperti yang mereka lakukan selama insiden nyata, atau berpartisipasi dalam latihan yang dirancang khusus untuk dewan untuk mempraktikkan peran pemberitahuan dan pengawasan mereka.

Greenberg menyarankan untuk membingkai ulang sebagai “mendidik dewan kami tentang seperti apa insiden itu.” Ini termasuk perencanaan sebelum suatu insiden terjadi, memiliki kriteria untuk pemberitahuan dewan, mengetahui siapa yang akan memberi pengarahan kepada mereka, dan memahami peran mereka (tidak mengelola atau menyetujui tanggapan).

Masalah -masalah utama untuk memberi pengarahan kepada Dewan selama suatu insiden termasuk materialitas untuk pengungkapan publik, dan keputusan seputar menegosiasikan atau membayar ransomware, di mana dukungan dewan sangat penting bahkan jika mereka tidak menyetujui secara resmi.

Mendokumentasikan keterlibatan dewan dalam latihan meja dan briefing insiden sangat penting untuk menunjukkan pengawasan kepada regulator atau dalam litigasi potensial.

“Dokumentasikan semuanya dan asumsikan bahwa regulator dan pengacara akan membahas semuanya dengan sisir yang disempurnakan,” saran Atkins.