Modifiche alle regole della SEC sulla cybersecurity: Come Mimecast aiuta le aziende ad essere preparate

Questo blog discute le nuove regole proposte dalla SEC in materia di gestione del rischio di cybersecurity, strategia, governance e divulgazione degli incidenti. Destinate a fornire agli investitori una visione migliore di come le società pubbliche stanno affrontando i rischi di cybersecurity, le nuove regole dovrebbero entrare in vigore nell'aprile 2023. Le regole proposte non si limitano alle minacce esterne alla cybersecurity. In effetti, le nuove regole si applicano anche alle minacce interne, e richiederanno la divulgazione pubblica di alcune di esse, come la perdita materiale di informazioni aziendali sensibili da parte di persone interne. Rilevare e valutare gli incidenti di perdita di dati da parte di insider richiede una visibilità in tempo reale sul modo in cui i dati aziendali sensibili lasciano le "quattro mura" dell'azienda. Capire come i dati aziendali si muovono all'interno e all'esterno dell'azienda è anche un elemento chiave di qualsiasi programma efficace di rischio insider. I prodotti e i servizi Mimecast offrono alle aziende la visibilità necessaria e l'intelligence azionabile per aiutare le società pubbliche a conformarsi alle nuove norme SEC proposte in relazione alla perdita di dati o alle fughe di notizie da parte di addetti ai lavori, educando allo stesso tempo la sua azienda su scala per prevenire incidenti futuri.

Sfondo

Nel marzo 2022, la Securities and Exchange Commission (SEC) ha proposto nuove regole che migliorano e standardizzano il modo in cui le società pubbliche segnalano gli incidenti di cybersecurity e fanno delle comunicazioni periodiche relative alla gestione del rischio di cybersecurity, alla strategia e alla governance. Le regole proposte sono più prescrittive e si allontanano dalla precedente guida basata sui principi che la SEC ha emesso nel 2011 e nel 2018. Nel proporre le nuove regole, la SEC ha riconosciuto che la cybersecurity è un rischio sempre più diffuso per le società pubbliche e, di conseguenza, un aspetto che gli investitori vogliono conoscere meglio. Le nuove regole porteranno a un'informativa più "coerente, comparabile e utile per le decisioni", che consentirà agli investitori di valutare meglio l'esposizione al rischio di cybersecurity delle società pubbliche e la loro capacità di rispondere e mitigare tali rischi.

Aggiornamento del 26/7/2023: La Securities and Exchange Commission [SEC] ora richiede formalmente alle aziende pubbliche di divulgare gli incidenti entro quattro giorni da tutte le violazioni della cybersecurity.

Incidenti materiali di cybersecurity

Le norme proposte richiedono alle società pubbliche di riportare sul Modulo 8-K le seguenti informazioni entro quattro giorni lavorativi dal momento in cui hanno stabilito di aver subito un incidente di cybersecurity rilevante:

• Quando è stato scoperto l'incidente e se è in corso.
• Una descrizione della natura e della portata dell'incidente.
• Se i dati sono stati rubati, alterati, consultati o utilizzati per qualsiasi altro scopo non autorizzato.
• L'effetto dell'incidente sulle attività dell'azienda
• Se l'azienda ha posto rimedio o sta ponendo rimedio all'incidente.
• Tra gli esempi citati dalla SEC che farebbero scattare l'obbligo di segnalazione c'è il furto materiale, la mancata disponibilità o l'uso non autorizzato di informazioni aziendali sensibili o di proprietà intellettuale.

È importante notare che le regole proposte non distinguono tra gli eventi di cybersecurity causati da attori esterni e quelli derivanti da un evento di rischio interno accidentale o doloso. Se rilevanti, entrambi i tipi di incidenti sarebbero da segnalare. Le informazioni sono rilevanti se è probabile che un azionista ragionevole le consideri importanti per prendere una decisione di investimento o se avrebbero "alterato in modo significativo il 'mix totale' di informazioni rese disponibili". Quindi, ad esempio, la perdita di dati dei clienti o dei dipendenti, di proprietà intellettuale come il codice sorgente o i documenti di progettazione, di informazioni finanziarie o di dati di vendita o operativi - sia che siano attribuibili a un insider o a un soggetto esterno - sarebbero da segnalare se un azionista ragionevole considerasse tale perdita importante per prendere una decisione di investimento. Sarebbe da segnalare anche una serie di eventi di perdita di dati che diventano rilevanti se considerati nel loro insieme - ad esempio, l'esfiltrazione di codice sorgente nel corso del tempo.

Inoltre, nelle relazioni trimestrali e annuali dell'azienda sui moduli 10-Q e 10-K saranno richiesti aggiornamenti alle informazioni precedentemente fornite sugli incidenti di cybersicurezza - ad esempio, l'impatto sull'azienda, gli sforzi di riparazione, qualsiasi modifica alla preparazione dell'azienda in materia di cybersicurezza.

Informazioni ampliate nei rapporti annuali e trimestrali

In base alle regole proposte dalla SEC, le società pubbliche devono divulgare i dettagli sulle politiche e le procedure per l'identificazione e la gestione dei rischi di cybersecurity nei loro documenti Form 10-Q e Form 10-K. Questo include (ma non si limita a) informazioni su:

• Programma/i di valutazione del rischio di cybersecurity
• Coinvolgimento di revisori o valutatori terzi nel programma di valutazione.
• Politiche e procedure per identificare i rischi
• Attività volte a prevenire, rilevare e ridurre al minimo gli incidenti di cybersecurity.
• Gli incidenti di cybersecurity che hanno portato a modifiche della governance, delle politiche o della tecnologia
• In che modo l'azienda considera i rischi di cybersecurity come parte della sua strategia aziendale e della pianificazione finanziaria

Le norme richiedono anche la divulgazione del ruolo e delle competenze del management aziendale nella valutazione e nella gestione dei rischi e degli incidenti di cybersicurezza. Questo include (ma non si limita a) informazioni su:

• La presenza di posizioni manageriali o di comitati responsabili della prevenzione, della mitigazione, del rilevamento e della bonifica degli incidenti di cybersecurity, e la relativa esperienza di tali persone o membri.
• Il Chief Information Security Officer, o una persona che ricopre una posizione equivalente, e in caso affermativo, la sua esperienza e a chi fa capo
• Processi in atto per garantire che le persone o le commissioni siano informate e monitorino la prevenzione, la mitigazione, il rilevamento e la riparazione degli incidenti di cybersecurity.
• Se e con quale frequenza il Consiglio di amministrazione o un comitato del Consiglio di amministrazione esamina la postura e i programmi di cybersecurity.

Le aziende hanno bisogno di tecnologie per ridurre e gestire il rischio di perdita di dati da parte di persone interne.

Le aziende pubbliche devono assicurarsi di disporre di una tecnologia adeguata per rilevare e indagare sugli incidenti legati alla fuga o alla perdita di dati derivanti da azioni di dipendenti o appaltatori. Anche se le aziende possono aver investito in sistemi di Identity Management o in strumenti di protezione dei dati cloud mirati, devono assicurarsi di avere una visione completa del rischio insider su tutte le attività dei dipendenti e dei collaboratori sui computer portatili in dotazione all'azienda e sui sistemi cloud aziendali.

Le aziende hanno bisogno di maggiore visibilità per eliminare i punti ciechi dei dati

Data l'ampia gamma di dati che, se persi o rubati, potrebbero far scattare l'obbligo di rendicontazione ai sensi delle norme proposte, le società pubbliche devono avere visibilità su quali file vengono spostati fuori dalla loro azienda e disporre di processi efficaci (manuali, automatizzati o tecnologici) per smistarli e rispondere. Questo aspetto diventa particolarmente importante con i dipendenti/appaltatori in partenza, in quanto è più probabile che prendano informazioni sensibili (accidentalmente o maliziosamente) che potrebbero essere utili ai concorrenti attuali o futuri.

Le aziende hanno bisogno di sapere quali file sono stati presi o divulgati da persone interne

Le regole proposte dalla SEC richiedono che le aziende siano in grado di determinare rapidamente se un incidente di rischio insider è rilevante o meno. Per farlo, però, un'azienda deve sapere quali informazioni sono state messe a rischio, come e quando, il prima possibile. Armata di tali informazioni, un'azienda può agire immediatamente per contenere la situazione, mitigarne l'impatto in modo che non raggiunga il livello di rilevanza ed evitare quello che altrimenti potrebbe essere un incidente di cybersecurity da segnalare. Tuttavia, le aziende spesso non hanno questo livello di visibilità sul movimento dei file. Troppo spesso, i dettagli di un incidente con rischio insider vengono resi noti solo molto tempo dopo che è passata l'opportunità di agire in modo rapido ed efficace. In futuro, le aziende pubbliche devono disporre di una tecnologia che le aiuti a conoscere rapidamente quali file sono stati coinvolti in un incidente e a determinare rapidamente la rilevanza.

Le aziende hanno bisogno di tecnologie per rilevare e investigare rapidamente la perdita di dati da parte di persone interne.

In base alle norme proposte, diventa importante per le aziende utilizzare strumenti e tecnologie che le aiutino a identificare, dare priorità, rilevare e rispondere agli incidenti di perdita di dati da parte di insider. Gli strumenti devono aiutarli a dare la priorità agli elementi a più alto rischio, in modo che gli incidenti vengano trattati e gestiti in modo tempestivo.

Le aziende devono garantire un'adeguata documentazione di tutti gli incidenti Insider indagati.

Gli incidenti insider possono riguardare tutti i tipi di informazioni aziendali. Diventa imperativo per le aziende disporre di strumenti e procedure per documentare adeguatamente tutti gli incidenti insider investigati per supportare i loro documenti SEC e sostenere le loro determinazioni di rilevanza (comprese le decisioni di non segnalare un incidente di cybersecurity).

Le aziende hanno bisogno di una tecnologia per impedire ai dipendenti più a rischio di prendere i file sensibili

In un'azienda moderna non è pratico proibire ai dipendenti di condividere file e informazioni tra loro, o impedire loro di accedere a strumenti e sistemi cloud pubblici per svolgere il proprio lavoro. La loro produttività dipende spesso dall'accesso a tali strumenti, anche se si tratta di strumenti non aziendali come Dropbox o la loro e-mail personale. Tuttavia, in alcuni casi e per determinate persone ad alto rischio, come i dipendenti o gli appaltatori in partenza, le aziende devono assicurarsi di poter impedire loro di portare i file su e-mail personali, unità USB o account cloud personali come Dropbox. Questo approccio riduce notevolmente il rischio più comune di sottrazione di informazioni sensibili da parte di persone accidentali o intenzionali.

Le aziende hanno bisogno di strategie complete per ridurre i rischi insider da parte di dipendenti e appaltatori.

La maggior parte degli incidenti di perdita di dati da parte di persone interne è involontaria o accidentale. Le aziende devono investire in strumenti in grado di rilevare tali eventi a basso rischio e di educare automaticamente gli utenti su come proteggere meglio le informazioni aziendali. Sebbene le aziende investano attualmente in corsi di formazione annuali sulla sicurezza per i dipendenti, questi approcci sono spesso inefficaci. Le aziende devono concentrarsi maggiormente sulla formazione correttiva just-in-time per ridurre attivamente il rischio di fuga di informazioni materiali da parte di insider. Questo deve diventare parte della cultura della sicurezza di un'azienda.

Le aziende hanno bisogno di un adeguato coinvolgimento degli stakeholder durante le indagini

Per determinare la materialità in modo tempestivo, le aziende devono evolvere i loro processi di risposta agli incidenti di cybersecurity per garantire una collaborazione più ampia tra Sicurezza, Legale/General Counsel, Compliance, CFO, stakeholder delle Lines-of-Business, come VP o Direttori di dipartimento, e Dirigenti aziendali. Questo perché è impossibile per un singolo individuo o un team all'interno del team di Sicurezza delle informazioni effettuare una determinazione della materialità in modo ragionevole.

Impatto sul business

L'impatto aziendale del rischio insider è reale e può essere sostanziale. La perdita del codice sorgente, dell'elenco dei clienti o di altre proprietà intellettuali chiave può ostacolare in modo significativo la capacità dell'azienda di competere. Inoltre, poiché le organizzazioni possono non essere consapevoli di un'esfiltrazione di dati per settimane, mesi o addirittura anni, recuperare l'IP perduto può essere una battaglia in salita costosa e lunga. Le risorse che potrebbero essere utilizzate per costruire l'attività dell'azienda vengono invece spese per avvocati, controversie e investigatori forensi. Allo stesso modo, l'esposizione non autorizzata o il furto di dati personali possono innescare segnalazioni normative, multe e costosi sforzi di riparazione della violazione. E qualsiasi incidente di cybersecurity può danneggiare la reputazione di un'azienda sul mercato. La visibilità dei dati è fondamentale non solo per conformarsi alle nuove regole di segnalazione degli incidenti di cybersecurity della SEC, ma anche per evitare che si verifichino incidenti di cybersecurity o per mitigarne l'impatto.

Come Mimecast può aiutare ad affrontare i nuovi requisiti della SEC

Mimecast Incydr e Mimecast Instructor sono progettati specificamente per aiutare le aziende a prevenire, rilevare, indagare e rispondere rapidamente alla perdita di dati da parte di insider. I prodotti Mimecast offrono un'ampia gamma di funzionalità che semplificano il carico di lavoro delle aziende per gestire il rischio di cybersecurity dovuto agli insider. Mimecast fornisce anche un'esperienza di prim'ordine e una guida alle best practice su come affrontare gli aspetti della riduzione del rischio che vanno oltre la tecnologia, ossia le persone e i processi. Alcune delle capacità differenziate di Mimecast includono:

Il più ampio rilevamento dell'esfiltrazione dei dati tra i sistemi endpoint e cloud.

Incydr include il rilevamento dell'esfiltrazione leader del settore su endpoint (Windows, Mac, Linux) e sistemi cloud. Mimecast è in grado di rilevare e segnalare i movimenti di file rischiosi, indipendentemente dal tipo di file: codice sorgente, file aziendali, file zip e altro ancora. Il rilevamento include il movimento dei dati tramite browser web e unità USB, ma copre anche vettori di esfiltrazione più innovativi, come Airdrop e Git (strumento di gestione del codice sorgente). Mimecast rileva anche le attività di condivisione di file a rischio nei repository cloud aziendali, come Office365, Google Drive, Box, sistemi e-mail aziendali e Salesforce. Mimecast fornisce inoltre alle aziende tutti i dettagli contestuali sull'incidente (chi, cosa, quando e come), in modo che i team investigativi possano decidere rapidamente come procedere.

Accesso ai file esfiltrati per una rapida determinazione della materialità

In tutti i casi di esfiltrazione dei dati rilevati (indipendentemente dal punteggio di rischio), Mimecast conserva automaticamente una copia del file esfiltrato. Ciò consente agli investigatori di visualizzare e ispezionare i file coinvolti in un incidente per determinare tempestivamente la rilevanza. I clienti non devono fare nulla di speciale o gestire repository di sicurezza per utilizzare questa funzionalità.

Funzionalità di Case Management per documentare in modo accurato i dettagli dell'indagine.

Mimecast dispone di funzioni di case management per consentire alle aziende di tracciare e registrare le indagini sul rischio insider. Ciò consente ai team investigativi di tenere traccia in modo sicuro degli incidenti sensibili e di gestirli separatamente da altri sistemi di gestione degli incidenti IT o di sicurezza. I casi possono contenere tutti i dettagli degli eventi di sicurezza in questione e possono tenere traccia dei file effettivamente coinvolti in un incidente. I casi possono essere facilmente esportati per la conservazione permanente dei record, la collaborazione e l'audit.

Dare priorità ai rischi insider rilevanti per evitare il burn-out investigativo

Incydr assegna automaticamente un punteggio alle azioni rischiose degli insider e fornisce regole di allerta e di priorità configurabili per garantire che i team di sicurezza e di investigazione non siano sopraffatti da un numero eccessivo di avvisi o falsi positivi. Incydr include oltre 250 Indicatori di Rischio Incydr - compresi gli attributi di file, utente e comportamento - che vengono monitorati fin dal primo giorno di utilizzo per ridurre al minimo il tempo di rilevamento. Questo aiuta i team investigativi a identificare rapidamente gli incidenti più rilevanti e a indagare in modo tempestivo.

Visione storica dell'attività degli utenti e dei file per rafforzare le indagini.

Mimecast conserva gli eventi storici di esfiltrazione di file da parte degli utenti per garantire che gli investigatori possano guardare indietro nel tempo per determinare se un determinato utente o file è stato coinvolto in precedenti incidenti non materiali. Questo avviene automaticamente, indipendentemente dal fatto che gli eventi precedenti siano stati indagati o meno. Gli eventi storici possono essere salvati per un massimo di 180 giorni (a seconda del prodotto acquistato).

Blocco dell'esfiltrazione

Incydr include funzionalità per bloccare gli utenti ad alto rischio, come i dipendenti in partenza, i recidivi e gli appaltatori, affinché spostino i dati dai loro computer portatili aziendali a destinazioni cloud o unità USB non affidabili. Il potente approccio di Mimecast basato sulle watchlist per bloccare i movimenti di file a rischio combina i vantaggi della riduzione del rischio da parte di queste persone ad alto rischio, garantendo al contempo che i membri del team di sicurezza non siano gravati da complesse attività di gestione delle regole.

La formazione automatizzata dei dipendenti per ridurre al minimo e attenuare il rischio di perdita dei dati da parte degli addetti ai lavori.

Incydr e Instructor facilitano la formazione automatizzata e just-in-time dei dipendenti, per ridurre e gestire l'esposizione dei dati a basso rischio o accidentale da parte dei dipendenti. I dipendenti vengono contattati automaticamente via Slack, Microsoft Teams o e-mail e vengono presentati con lezioni video in pillole che li aiutano a capire perché le loro azioni erano rischiose e come evitarle in futuro. Questo approccio ha il duplice vantaggio di ridurre il rischio nel tempo a causa delle infrazioni ripetute, riducendo al contempo l'onere investigativo per i team di sicurezza. Questo assicura alle aziende una strategia di riduzione del rischio a tutto tondo, che si concentra su tutti i livelli di rischio di perdita dei dati.

Pratiche di esperti sulla gestione di programmi efficaci di rischio insider (persone, processi e tecnologia).

Il team di Mimecast produce e fornisce una guida alle best practice e una formazione ai clienti su come gestire efficacemente i loro programmi di rischio insider in modo adeguato agli obiettivi e alla cultura della loro organizzazione. I modelli di policy, i flussi di lavoro ideali e le linee guida sulle best practice vengono forniti a tutti i clienti Mimecast senza alcun costo aggiuntivo. Mimecast offre anche incarichi di Expert Services a pagamento, in cui gli Insider Risk Advisor lavorano direttamente con i clienti per aiutarli a stabilire o a far maturare i programmi di Insider Risk, per garantire che siano efficaci e conformi ai requisiti normativi.

La linea di fondo

Con le sue nuove regole sulla cybersecurity, la SEC mira a migliorare la cultura della sicurezza delle società quotate in borsa e a migliorare la trasparenza sia per la SEC che per gli investitori. La perdita accidentale o dolosa di dati da parte di insider può far scattare l'obbligo di rendicontazione secondo le regole proposte, e le aziende dovranno fornire regolarmente informazioni sulla loro posizione di gestione del rischio insider. Incydr aiuta le aziende a prevenire, rilevare, indagare e rimediare alla perdita di dati e aiuterà le aziende pubbliche a conformarsi al nuovo quadro di divulgazione della SEC in relazione agli incidenti di rischio insider.

Riferimenti aggiuntivi

• Regole proposte dalla Securities and Exchange Commission
• Scheda informativa: Regole proposte per la sicurezza informatica delle società pubbliche
• L'impatto delle norme proposte dalla SEC sulle indagini e sulla strategia di risposta in materia di cybersecurity