Mitä Yhdistyneen kuningaskunnan hallituksen kyberhallinnon käytännesäännöt merkitsevät yrityksellesi?
Sisällysluettelo:
Oli aika, jolloin kyberturvallisuutta pidettiin hyvin paljon teknologiatoimintona. Ei enää. Hallitukset ja sääntelyviranomaiset eri puolilla maailmaa vaativat yhä enemmän, että hallitukset ottavat enemmän vastuuta kyberriskien hallinnasta. Se on uudessa SEC:n säännöt otettiin käyttöön viime vuonna ja tulevaisuudessa NIS2-direktiivi, mikä asettaa ylimmän johdon henkilökohtaisesti vastuuseen vakavista rikkomuksista. Ison-Britannian hallitus seuraa esimerkkiä ehdottamalla uutta Käytännesäännöt kyberhallintaa varten.
Vaikka se on vapaaehtoista, hallitus on ilmoittanut aikovansa upottaa koodin "olemassa olevaan sääntelymaisemaan". Lautakuntien olisi hyvä ottaa huomioon.
Mitä ohjeessa on?
Tammikuussa luonnos julkaistiin säännöstö, jonka taustalla on ahdistavia rikkomuksia. Mukaan hallitusYli puolet Ison-Britannian keskisuurista (59 %) ja suurista (69 %) yrityksistä joutui vakavaan kyberhyökkäykseen tai tietomurtoon huhtikuuhun 12 päättyneiden 2023 kuukauden aikana. Sama tutkimus paljastaa, että vaikka lähes kolme neljäsosaa (71 %) ylimmistä johtajista sanovat pitävänsä kyberturvallisuutta "korkein prioriteettina", vain 30 prosentilla yrityksistä on osana rooliaan nimenomaisesti vastuussa kyberasioista hallituksen jäseniä tai luottamushenkilöitä.
Tämän myötä käytännesäännöt on jaettu viiteen pilariin:
Riskienhallinta: Varmistetaan, että yhtiön kriittisimmät digitaaliset prosessit, tiedot ja palvelut on tunnistettu, priorisoitu ja sovittu. Tämä sisältää säännölliset riskien arvioinnit ja lieventämistoimenpiteet, riskitasoja koskevat päätökset ja toimittajariskien hallinnan.
Kyberstrategia: Kyberresilienssistrategian seuranta ja tarkistaminen riskinottohalun, liiketoimintastrategian sekä lakisääteisten ja säännösten mukaisten velvoitteiden mukaisesti. Tähän kuuluu sen varmistaminen, että asianmukaiset resurssit kohdennetaan jatkuvasti muuttuvien liiketoimintariskien mukaisesti.
ihmiset: Sponsoroimme viestintää kyberresilienssin tärkeydestä yritykselle, toimitamme selkeitä kyberturvallisuuspolitiikkoja, jotka tukevat positiivista turvallisuuskulttuuria sekä ajamme ja osallistumme turvallisuuskoulutusohjelmiin.
Tapahtumasuunnittelu ja reagointi: Varmistetaan, että organisaatiolla on suunnitelma reagoida liiketoimintakriittisiin prosesseihin ja palveluihin vaikuttaviin kybertapahtumiin ja toipua niistä. Tähän sisältyy suunnitelman säännöllinen testaus, tapahtuman jälkeiset tarkastelut ja vastuun ottaminen viranomaisvelvoitteista.
Varmistus ja valvonta: Organisaatioon sopivan hallintorakenteen luominen, mukaan lukien roolien ja vastuiden selkeä määrittely sekä kyberresilienssin omistaminen johtajatasolla. Sääntelyviranomaiset valvovat kyberresilienssiä, luovat kaksisuuntaisen vuoropuhelun tärkeimpien johtajien kanssa ja laativat muodollisen neljännesvuosittaisen raportoinnin sekä varmistavat, että kyberresilienssistrategia on integroitu olemassa oleviin varmistusmekanismeihin.
Miten organisaatioiden tulisi reagoida?
Darren Anstee, Netscoutin teknologiajohtaja, väittää, että hallitukset ovat perinteisesti kamppailleet tapausten suunnittelun kanssa.
”Ohjeus on, että organisaation tapaustenhallintasuunnitelman testaus ja siihen liittyvä koulutus tulee tapahtua vähintään kerran vuodessa. Useimmat organisaatiot tekevät niin nyt, ja se on paljon parempi kuin vuosikymmen sitten, mutta pelkkä vuosittainen tekeminen ei ole tarpeeksi usein”, hän kertoo ISMS.onlinelle.
”Haluamme testauksen edistävän prosessien tuntemusta ja optimointia – sen ei pitäisi olla pelkästään selvittämistä, missä suunnitelma on päivitettävä, koska se ei enää vastaa organisaation prosesseja ja teknologiaa. Tämä on riski vuosittaisessa testauksessa.
Anstee lisää, että hallitukset voisivat myös parantaa varmuuttaan ja valvontaansa.
"Haaste tässä ei ole uusi, sillä uhkien torjuntaan ja kyberriskiin liittyvien tapahtumien muuntaminen liiketoimintariskitasolla merkitykselliseksi voi olla vaikeaa", hän perustelee.
"Tämä tarkoittaa yleensä useiden tietojoukkojen korreloimista yhteen ymmärrettävien mittareiden ja visualisointien luomiseksi. Tämä on mahdollista ja erittäin tärkeää, jos haluamme kyberriskin hyvin hallittavan, mutta monilla organisaatioilla ei ole resursseja tehdä tätä hyvin.
Kevin Curran, IEEE:n vanhempi jäsen ja kyberturvallisuuden professori Ulsterin yliopistosta, väittää, että johtokunnat eivät usein pysty hallitsemaan riittävästi kyberriskejä, koska niiltä puuttuu sitoutumista, asiantuntemusta ja keskittymistä.
"Jotkin alueet, joilla organisaatiot epäonnistuvat, ovat se, että he eivät tee perusteellisia riskiarviointeja tai luovat selkeitä kyberturvallisuusstrategioita, mikä jättää ne alttiiksi uhille. Muita osa-alueita ovat riittämättömät investoinnit, vanhentuneet käytännöt, heikko viestintä osastojen välillä ja vaatimustenmukaisuuskeskeinen lähestymistapa voivat myös heikentää kyberturvallisuuden hallintoa”, hän kertoo ISMS.online-sivustolle.
"Koodin pitäisi viime kädessä auttaa organisaatioita luomaan vankat hallintokehykset, ottamaan mukaan johtajuutta kyberturvallisuuspäätöksiin, suorittamaan säännöllisiä riskinarviointeja, osoittamaan riittävästi resursseja, edistämään kyberturvallisuustietoista kulttuuria ja jatkuvasti parantamaan kyberturvallisuuden hallintokäytäntöjään sopeutuakseen muuttuviin uhkiin."
Seuraavat vaiheet ISO 27001:n avulla
Parhaiden käytäntöjen standardien ja puitteiden, kuten ISO 27001, NIST Cybersecurity Framework, CIS Controls ja COBIT, noudattaminen voisi auttaa johtokuntia saavuttamaan pitkän tien saavuttamaan viiden pilarin mukaiset tavoitteensa, Curran väittää.
"ISO 27001 tarjoaa systemaattisen lähestymistavan tietoturvariskien tunnistamiseen, arvioimiseen ja lieventämiseen, mikä auttaa priorisoimaan digitaalisia resursseja ja integroimaan riskienhallinnan hallintoon. Se hyödyttää myös kyberstrategiaa, koska se linjaa tietoturvan hallintajärjestelmän (ISMS) liiketoimintastrategian kanssa ja varmistaa tehokkaan resurssien allokoinnin kyberturvallisuusstrategian seurantaa ja tarkastelua varten”, hän selittää.
”ISO 27001 edistää turvallisuuskulttuuria politiikan ja koulutuksen avulla, mikä parantaa työntekijöiden kyberlukutaitoa organisaation turvallisuusstrategian mukaisesti. Se myös rohkaisee onnettomuuksien reagointisuunnittelua… ja se auttaa määrittämään rooleja, valvomaan, raportoimaan ja kommunikoimaan ylimmän johdon kanssa – helpottaen kyberturvallisuuden integrointia hallintorakenteisiin.”
Vaikka koodi onkin vapaaehtoista, sillä on tärkeä rooli muuttuvassa sääntelyympäristössä, selittää Sarah Pearce, Hunton Andrews Kurthin kumppani.
"Yrityslaki 2006 ja Yhdistyneen kuningaskunnan Corporate Governance Code sisältävät tiettyjä vaatimuksia, ja ymmärrän, että tämä koodi ja siihen liittyvät ohjeet on tarkoitus päivittää, jotta varmistetaan johdonmukaisuus hallituksen ehdottamien [kyberhallinnon] käytännesääntöjen kanssa", hän kertoo ISMS.online-sivustolle.
"Hallitus on sanonut tunnustavansa, että koodi "ei yksinään riitä edistämään vaadittuja parannuksia kyberriskien hallinnassa hallituksen tasolla". Se tutkii sen käyttöä sääntelyviranomaisten tukena ymmärtääkseen, kuinka sitä voitaisiin käyttää auttamaan säännösten noudattamisessa, mukaan lukien Yhdistyneen kuningaskunnan GDPR- ja NIS-säännökset.
