美国参议院最近提出了一个网络安全披露法案,将要求上市公司来描述网络安全的专业知识及其董事会拥有,或者,如果他们没有任何,什么步骤,公司正在获得一些专业知识在他们的董事会。
“这似乎是一个非常简单明了的法案,”克里斯·威索珀尔,首席技术官和首席信息安全官在说Veracode的。“它没有任何东西,除了对董事会的一些披露繁重的。对我来说,它传递的机会。”
该法案能够很好地适应一些研究Veracode的与纽约证券交易所进行,其中一个令人惊讶的90%的公司董事会成员表示,监管机构应持有企业的行为负责,如果他们疏忽了客户数据或未能有合理的安全地点。
“但有一个从美国证券交易委员会或联邦贸易委员会关于什么是合理安全的做法没有明确的指导意见,”他说。“董事会希望看到更清晰了。”
〔也可CSO:立法需要高科技产业举报恐怖活动可以复活]
公司已经有很多报告与法规要求,对网络安全的影响开支。事实上,根据Ponemon的该研究所就在本周公布的一项调查中,需要遵守隐私和数据安全法规是使用加密技术的一个最大的驱动程序。
目前已经有许多联邦法律及个别国家的披露要求,但由于违反滚滚而来,安全专家预计,监督的数量只会继续增加。
就拿美国证券交易委员会,该委员会最近已加紧网络安全相关的活动。
2011年,美国证券交易委员会发出通知,要求上市公司于报告的网络安全风险与其他种类的重大风险指导。
维克拉姆铢,德勤Cyberrisk服务战略和治理实践的领导者
“对于上市公司来说,这是在2011年提出的指导意见仍是主要焦点,大多数仍然使用作为基准,”在监管情报FIS”中心政务的董事总经理彼得·杜加斯表示,FIS全球
例如,企业需要报告,如果有或建立网络安全风险,如果他们已经有这样不得不对公司的影响,甚至长期未被发现攻击的潜在风险,安全事故职能外包其业务的各个方面。
但指导留下了很多不同的解释。
有一个缺乏明确的,萨拉Romine,律师在说卡林顿,科尔曼,斯洛曼和布卢门撒尔,L.L.P.
“我们知道,你不必披露的漏洞,这样你会提供对所在的公司很容易受到黑客的信息,”她说。“但是你知道,你有足够投资者体会到公司面临的风险的性质透露。所以,你在哪里划清界线呢?多少钱你必须披露?”
而应该当它不属于其他法规规定的公司报告数据泄露,她问。
“这是我认为SEC将会变得更加感兴趣的领域,”她说。“如果这是相当有可能的是违约将导致收入减少或对业务有重大影响,会有一些报告义务。”
在过去的几年中,然而,美国证券交易委员会已经把其对华尔街机构的关注重点。
例如,美国证券交易委员会最近表示,他们是如何被券商管理第三方风险去看看,如从购买的软件或基于云的服务。
“我们看到,这是一个新的趋势,一个重要的一个,” Wysopal说。“我们看到越来越多的东西转移到云和第三方进行管理。”
去年2月,美国证券交易委员会进行的是确定券商的88%和注册投资顾问的74%的人直接或遭受黑客攻击或者通过他们的供应商一个网络安全扫描检查。
到了秋天,美国证券交易委员会宣布,将做第二轮金融服务公司专注于一些网络安全主题,包括供应商管理的考试。
根据合规性检查考核的美国证券交易委员会的办公室,其他重点领域包括治理和风险评估,访问控制,数据丢失防护,培训和事故响应。
“我们希望继续覆盖在过去几年领域的监督,与正在评估新出现的风险领域,”格伦·西里亚诺,毕马威在网络金融服务的领导者说:毕马威会计师事务所。
这些新的领域包括新兴技术,新的外部威胁媒介,第三方供应商,社交媒体的使用更深入的评估,管理和内部威胁,他说。
和SEC已经超越进行检查,并提出指导意见,戴夫马洪,CSO说,在世纪互联。
“他们开始得到更好的理解,这是一个更大的问题,”他说。“他们试图绕过它自己手中,而你开始看到更多的审计。”
他举例说,有最近对RT琼斯,区域投资公司,有违反暴露客户经纪记录的执法行动。
在这种情况下,券商被罚款$ 75,000名,因为近四年该公司未能采取任何书面政策或程序,以确保个人身份信息的安全,并保护它免受未经授权的访问。
SEC正在增加牙齿的执法,证实欧内斯特Badway,在律师事务所证券行业惯例的联合主席福克斯罗斯柴尔德律师事务所
“目前已经有针对各种券商,投资顾问和基金的一些执法行动,”他说。
美国证券交易委员会的核心目标是保护散户投资者,维克拉姆铢,在战略和治理实践德勤Cyberrisk服务的领导者说德勤会计师事务所
“因此,投资公司,资产管理公司,很可能是人谁都有可能要检查的第一次浪潮,”他说。
这将是额外的测试很可能发生在今年的重点,他说。但它不会停在那里。
“最终,这一切一推,以提高对所有机构网络安全的吧,”他说。
虽然监管机构和立法者继续与问题,政府的第三支,司法斗争,也在加紧 - 并可能有一个更大的作用。
“当你看到被起诉因疏忽董事会,董事会已开始意识到,这是他们的管理和信托关系的一部分,”世纪互联的马洪说。
“事情后,在董事会层面发生了很大变化目标断裂”托斯滕乔治,在全球市场营销和产品管理的副总裁RiskSense。“这是一个分水岭事件,法院站在了消费者,而且法院还站在消费者的温德姆酒店套装。它也对董事会重大影响。这些板子突然醒了“。
这个故事,“企业预期政府加大网络安全监管”最初发表CSO 。