Hva betyr den britiske regjeringens anbefaling for cyberstyring for virksomheten din?
Innholdsfortegnelse:
Det var en tid da cybersikkerhet i høy grad ble sett på som en teknologifunksjon. Ikke lenger. Regjeringer og regulatorer over hele verden krever i økende grad at styrene tar på seg mer ansvar for å håndtere cyberrisiko. Den er ny SECs regler introdusert i fjor og i det kommende NIS2-direktivet, som vil gjøre toppledelsen personlig ansvarlig for alvorlige brudd. For ikke å overgås følger den britiske regjeringen etter med et foreslått nytt Anbefalingskode for cyberstyring.
Selv om det er frivillig, har regjeringen uttalt sin intensjon om å bygge koden inn i det "eksisterende regulatoriske landskapet". Styrene gjør klokt i å ta det til etterretning.
Hva står i veiledningen?
Koden ble publisert i januar i utkast, og kommer midt i et nedslående bakteppe av brudd. Ifølge regjering, over halvparten mellomstore (59 %) og store (69 %) britiske virksomheter led av et alvorlig cyberangrep eller brudd i løpet av 12 måneder frem til april 2023. Den samme studien viser at selv om nesten tre fjerdedeler (71 %) av toppledere sier de ser på cybersikkerhet som en "høy prioritet", bare 30 % av virksomhetene har styremedlemmer eller tillitsvalgte eksplisitt ansvarlige for cyber som en del av rollen deres.
Med det er anbefalingen delt inn i fem pilarer:
Risikostyring: Sikre at selskapets mest kritiske digitale prosesser, data og tjenester er identifisert, prioritert og avtalt. Dette inkluderer regelmessige risikovurderinger og avbøtende tiltak, beslutninger angående risikonivåer og leverandørrisikostyring.
Cyberstrategi: Overvåking og gjennomgang av cyberresiliensstrategi i tråd med risikovilje, forretningsstrategi og juridiske og regulatoriske forpliktelser. Dette inkluderer å sikre at de riktige ressursene allokeres i tråd med stadig skiftende forretningsrisiko.
personer: Sponse kommunikasjon om viktigheten av cyberresiliens for virksomheten, levere klare cybersikkerhetspolicyer som støtter en positiv sikkerhetskultur, og drive og ta del i sikkerhetsopplæringsprogrammer.
Hendelsesplanlegging og respons: Sikre at organisasjonen har en plan for å svare på og komme seg etter cyberhendelser som påvirker forretningskritiske prosesser og tjenester. Dette inkluderer regelmessig testing av planen, gjennomganger etter hendelsen og å ta ansvar for regulatoriske forpliktelser.
Trygghet og tilsyn: Etablere en styringsstruktur som er på linje med organisasjonen, inkludert klar definisjon av roller og ansvar, og eierskap til cyberresiliens på direktørnivå. Regulatorovervåking av cyberresiliens, etablering av en toveis dialog med sentrale ledere og formell kvartalsrapportering, og sikring av cyberresiliensstrategi er integrert på tvers av eksisterende forsikringsmekanismer.
Hvordan bør organisasjoner reagere?
Darren Anstee, CTO i Netscout, argumenterer for at styrene tradisjonelt har slitt med hendelsesplanlegging.
– Veiledningen er at testing av en organisasjons hendelsesplan og tilhørende opplæring bør skje minst årlig. De fleste organisasjoner gjør dette nå, og det er mye bedre enn for et tiår siden, men å bare gjøre dette årlig er ikke hyppig nok, sier han til ISMS.online.
"Vi vil ha testing for å drive prosesskjennskap og optimalisering – det bør ikke bare handle om å finne ut hvor planen må oppdateres fordi den ikke lenger samsvarer med organisasjonens prosesser og teknologi. Det er risikoen med årlig testing.
Anstee legger til at styrene også kan forbedre sin sikkerhet og tilsyn.
"Utfordringen her er ikke ny, ved at det kan være vanskelig å oversette det som skjer når det gjelder trusselforsvar og cyberrisiko til noe meningsfullt på forretningsrisikonivå," hevder han.
"Dette betyr vanligvis å korrelere flere datasett sammen for å generere forståelige beregninger og visualiseringer. Dette er mulig, og veldig viktig hvis vi vil at cyberrisiko skal administreres godt, men mange organisasjoner har ikke ressurser til å gjøre dette godt.»
Kevin Curran, seniormedlem i IEEE og professor i cybersikkerhet ved Ulster-universitetet, argumenterer for at styrene ofte ikke klarer å håndtere cyberrisiko på en adekvat måte fordi de mangler engasjement, ekspertise og fokus.
«Noen områder der organisasjoner svikter inkluderer å unnlate å gjennomføre grundige risikovurderinger eller etablere klare cybersikkerhetsstrategier, noe som gjør dem sårbare for trusler. Andre områder er utilstrekkelige investeringer, utdaterte retningslinjer, dårlig kommunikasjon mellom avdelinger og en compliance-sentrisk tilnærming kan også undergrave cybersikkerhetsstyring, sier han til ISMS.online.
"Til syvende og sist skal koden hjelpe organisasjoner med å etablere robuste styringsrammer, involvere lederskap i cybersikkerhetsbeslutninger, gjennomføre regelmessige risikovurderinger, allokere tilstrekkelige ressurser, fremme en cybersikkerhetsbevisst kultur og kontinuerlig forbedre deres cybersikkerhetsstyringspraksis for å tilpasse seg nye trusler."
Neste trinn med ISO 27001
Overholdelse av beste praksis-standarder og rammeverk som ISO 27001, NIST Cybersecurity Framework, CIS Controls og COBIT kan hjelpe styrene til å nå langt for å nå sine mål under de fem pilarene, hevder Curran.
"ISO 27001 tilbyr en systematisk tilnærming for å identifisere, vurdere og redusere sikkerhetsrisikoer, og hjelper til med å prioritere digitale eiendeler og integrere risikostyring i styring. Det vil også være til fordel for cyberstrategien ettersom det justerer et styringssystem for informasjonssikkerhet (ISMS) med forretningsstrategi, og sikrer effektiv ressursallokering for overvåking og gjennomgang av cybersikkerhetsstrategi, forklarer han.
“ISO 27001 fremmer sikkerhetskultur gjennom retningslinjer og opplæring, og forbedrer ansattes cyberkompetanse i tråd med organisasjonens sikkerhetsstrategi. Det oppmuntrer også til planlegging av hendelsesrespons … og det hjelper til med å definere roller, overvåke, rapportere og kommunisere med toppledere – noe som letter integrering av cybersikkerhet i styringsstrukturer.”
Selv om koden er frivillig, vil den spille en viktig rolle i det utviklende regulatoriske landskapet, forklarer Sarah Pearce, partner i Hunton Andrews Kurth.
"Companies Act 2006 og UK Corporate Governance Code inneholder visse krav, og jeg forstår at denne koden og tilhørende veiledning skal oppdateres for å sikre samsvar med regjeringens foreslåtte [cyber-governance] anbefaling," sier hun til ISMS.online.
«Regjeringen har sagt at den erkjenner at koden ikke er tilstrekkelig alene til å drive de nødvendige forbedringene i styring av cyberrisiko på styrenivå. Den undersøker bruken av den for å støtte regulatorer for å forstå hvordan den kan brukes til å hjelpe til med reguleringsoverholdelse, inkludert Storbritannias GDPR og NIS-forskrifter.»
