Nel 2023, le autorità di regolamentazione lanceranno un”guanto di segnalazione”e obbligheranno le società quotate a rivelare gli attacchi informatici in tempi record. Questo cambiamento radicale legislativo non solo intensificherà la necessità di adeguate protezioni contro gli attacchi, ma richiederà alle aziende di identificare e segnalare un incidente ai propri azionisti e alla Cybersecurity Infrastructure Security Agency (CISA) entro 72 ore.
Normative hanno preso atto del fatto che le aziende stanno combattendo una battaglia persa contro la criminalità informatica straniera e nazionale e, introducendo normative più rigorose sulla sicurezza informatica, il loro obiettivo è garantire che le aziende trattino gli attacchi informatici come una minaccia sempre più sistemica.
Con la previsione che la criminalità informatica lo farà. costato al mondo 10,5 trilioni di dollari all’anno entro il 2025, ora si fa luce sull’importanza di proteggere infrastrutture critiche come come energia, trasporti e servizi finanziari, fondamentali per una società funzionante e un’economia forte. Le autorità di regolamentazione cercano anche di ridurre il rischio per le parti interessate di un’azienda. Nelle parole del presidente della SEC Gary Gensler,”gli investitori sono alla ricerca di informazioni coerenti, comparabili e utili alle decisioni in modo da poter investire i loro soldi in società che soddisfano le loro esigenze”.
Un gradito cambiamento legislativo?
Il 9 marzo 2022, la Securities and Exchange Commission (SEC) ha pubblicato una proposta denominata Cybersecurity Risk Management, Strategy, Governance and Incident Disclosure. Questa legislazione imporrebbe alle società quotate di segnalare agli investitori gli incidenti di sicurezza informatica”materiali”su un modulo 8-K entro 72 ore. Ciò avviene dopo una tendenza al ribasso nelle divulgazioni sugli incidenti informatici nei moduli 8-K e 10-K nel 2020 e 2021, nonostante un numero record di attacchi informatici.
La legislazione richiederebbe inoltre alle aziende di comunicare alla CISA se la sicurezza informatica fa parte della strategia aziendale, dell’allocazione del capitale e della pianificazione finanziaria di un’organizzazione. Le misure di governance informatica incluse richiederebbero inoltre rapporti periodici sulla supervisione del rischio di sicurezza informatica da parte del consiglio di amministrazione, nonché eventuali direttori aziendali attivi con precedenti competenze in materia di sicurezza informatica per descrivere la natura di tale esperienza.
Le regole diffuse mirano ad aumentare trasparenza per gli investitori e le parti interessate, consentendo loro di prendere decisioni informate sulla loro equity e dati e migliorare la loro comprensione di come le aziende gestiscono le loro esposizioni al rischio informatico. Le organizzazioni dovranno affrontare multe elevate se non rispettano il regolamento della SEC, il che significa che un’adeguata protezione della sicurezza informatica e la gestione del rischio sono ora più importanti che mai.
Un programma di sicurezza basato su best practice nel 2023 deve avere la capacità di testare, valutare e riferire sull’efficacia delle sue operazioni, nonché adottare miglioramenti continui per sostenere le prestazioni man mano che emergono nuove minacce.
Progresso tecnologico
La sicurezza informatica come le esigenze aziendali non sono nuove né rivoluzionarie, ma con il cambiamento del tipo di minacce che le aziende devono affrontare, devono cambiare anche le loro difese. L’attività dello stato nazione nel 2022 ha visto le infrastrutture nazionali critiche globali essere sotto attacco, mentre la guerra della Russia persisteva.
L’analisi del gigante della sicurezza informatica Mandiant ha rilevato che gli attacchi alla catena di fornitura del software hanno preso di mira le agenzie governative ucraine e gli attacchi di malware hanno colpito le istituzioni polacche in uno sforzo concertato per immobilizzare e indebolire le imprese e le infrastrutture dello stato nazione. Le organizzazioni sono ora in prima linea in una guerra informatica che trascende settori e confini geografici, con Goldman Sachs che prevede che un attacco russo alle infrastrutture statunitensi potrebbe costare all’economia fino a $ 1 trilione.
Per combattere la minaccia accresciuta, le aziende cercano prontezza alla battaglia per i loro sistemi e team informatici. Le protezioni di livello militare come i cyber range forniscono una replica realistica ad alta fedeltà di ambienti virtuali che testano in modo completo team e strumenti fino al fallimento. Simulando diversi scenari di sicurezza, i cyber range hanno il potenziale per comprimere tre anni di attacchi in 24 ore di test.
Andando oltre gli strumenti di monitoraggio degli endpoint e la pianificazione teorica, i team possono formare legami e sviluppare i muscoli memoria necessaria per proteggere con successo le risorse strategiche delle organizzazioni. Fondamentalmente, la derivazione di report basati su metriche può anche essere determinante per soddisfare le richieste degli organi legislativi e rispondere alle domande dei membri del consiglio, come”Quanto è preparata la nostra azienda a divulgare informazioni?”,”Abbiamo eseguito la valutazione del divario?”, e”Quali pratiche di rischio informatico devono cambiare e rimanere le stesse?”
Sebbene le minacce materiali poste dai gruppi sostenuti dagli stati nazionali negli ultimi 12 mesi abbiano risvegliato molte organizzazioni al rischio sistemico che gli attacchi contro infrastruttura, non possiamo essere compiacenti nella nostra guerra contro gli aggressori. Preparare le organizzazioni per la continua guerra informatica, così come il nuovo regolamento della SEC, sarà nella mente di ogni CEO nel prossimo anno e le soluzioni in esso contenute saranno cruciali per alleviare il rischio.
Le aziende devono cambiare il modo in cui inquadrano la loro esposizione informatica a un approccio basato sui risultati. Allontanandosi dalla mentalità della casella di spunta della copertura e dai vari test che hanno superato, verso l’ispirazione della fiducia nella coesione dell’interazione del loro sistema, alla totalità della convinzione in un programma di sicurezza informatica quantificato e confrontato che opera nel suo insieme, sarà una metrica chiave su cui si basa il successo.
Photo Credit: Alexander Supertramp/Shutterstock
James Gerber è Chief Financial Officer della società di sicurezza informatica globale SimSpace. Con esperienza sia nel campo dell’ingegneria che in quello del c-suite, Jamie ha accumulato oltre 30 anni di esperienza nella previsione del rischio e nella definizione della strategia di alcune delle più grandi aziende di costruzioni e trasporti del mondo. Jamie ha precedentemente ricoperto titoli di CFO presso IronNet, Worldstrides e Pension Benefit Guarantee Corporation (PBGC). Durante il suo incarico presso la PBGC, un assicuratore pensionistico multimiliardario, Jamie si è concentrato sulla definizione della politica attraverso l’identificazione dei rischi sistemici, attingendo alle richieste degli assicuratori e dei comitati di controllo mentre dirigeva il portafoglio di investimenti mentre cresceva da $ 32 miliardi a oltre $ 50 miliardi.