Hvad betyder den britiske regerings kodeks for Cyber-Governance for din virksomhed?
Indholdsfortegnelse:
Der var engang, hvor cybersikkerhed i høj grad blev betragtet som en teknologisk funktion. Ikke længere. Regeringer og regulatorer over hele kloden kræver i stigende grad, at bestyrelser påtager sig mere ansvar for styring af cyberrisici. Den er ny SEC's regler indført sidste år og i det kommende NIS2 direktiv, hvilket vil gøre den øverste ledelse personligt ansvarlig for alvorlige overtrædelser. For ikke at blive overgået følger den britiske regering trop med et foreslået nyt Code of Practice for cyberstyring.
Selvom det er frivilligt, har regeringen erklæret sin hensigt om at integrere koden i det "eksisterende regulatoriske landskab". Bestyrelserne gør klogt i at tage det til efterretning.
Hvad står der i vejledningen?
Udgivet i januar i udkast, koden kommer midt i en nedslående baggrund af brud. Ifølge Regeringen, over halvdelen mellemstore (59 %) og store (69 %) britiske virksomheder led af et alvorligt cyberangreb eller brud i de 12 måneder frem til april 2023. Den samme undersøgelse afslører, at selvom næsten tre fjerdedele (71 %) af toplederne siger, at de ser cybersikkerhed som en "høj prioritet", kun 30% af virksomhederne har bestyrelsesmedlemmer eller tillidsmænd, der udtrykkeligt er ansvarlige for cyber som en del af deres rolle.
Med det er kodeksen opdelt i fem søjler:
Risikostyring: Sikre, at virksomhedens mest kritiske digitale processer, data og services er blevet identificeret, prioriteret og aftalt. Dette omfatter regelmæssige risikovurderinger og afbødningstrin, beslutninger vedrørende risikoniveauer og leverandørrisikostyring.
Cyberstrategi: Overvågning og gennemgang af cyberresiliensstrategi i overensstemmelse med risikovillighed, forretningsstrategi og juridiske og regulatoriske forpligtelser. Dette inkluderer at sikre, at de passende ressourcer allokeres i overensstemmelse med de stadigt skiftende forretningsrisici.
Mennesker: Sponsorering af kommunikation om vigtigheden af cyberresiliens for virksomheden, levering af klare cybersikkerhedspolitikker, der understøtter en positiv sikkerhedskultur, og drev og deltagelse i sikkerhedstræningsprogrammer.
Hændelsesplanlægning og reaktion: At sikre, at organisationen har en plan for at reagere på og komme sig efter cyberhændelser, der påvirker forretningskritiske processer og tjenester. Dette inkluderer regelmæssig test af planen, gennemgange efter hændelsen og at tage ansvar for regulatoriske forpligtelser.
Sikkerhed og tilsyn: Etablering af en styringsstruktur, der stemmer overens med organisationen, herunder klar definition af roller og ansvar og ejerskab af cyberresiliens på direktørniveau. Regulatorovervågning af cyberresiliens, etablering af en tovejsdialog med nøglechefer og formel kvartalsrapportering og sikring af cyberresiliensstrategi er integreret på tværs af eksisterende sikringsmekanismer.
Hvordan skal organisationer reagere?
Darren Anstee, CTO hos Netscout, hævder, at bestyrelser traditionelt har kæmpet med hændelsesplanlægning.
”Retningslinjen er, at test af en organisations hændelseshåndteringsplan og tilhørende træning skal ske mindst en gang om året. De fleste organisationer gør det nu, og det er meget bedre end for et årti siden, men det er ikke hyppigt nok at gøre dette årligt,” siger han til ISMS.online.
“Vi vil gerne have test for at fremme proceskendskab og optimering – det skal ikke udelukkende handle om at finde ud af, hvor planen skal opdateres, fordi den ikke længere matcher en organisations processer og teknologi. Det er risikoen ved at teste årligt.
Anstee tilføjer, at bestyrelser også kunne forbedre deres sikkerhed og tilsyn.
"Udfordringen her er ikke ny, idet det kan være svært at omsætte, hvad der sker med hensyn til trusselsforsvar og cyberrisiko til noget meningsfuldt på forretningsrisikoniveau," argumenterer han.
"Dette betyder normalt at korrelere flere datasæt sammen for at generere forståelige metrikker og visualiseringer. Dette er muligt og meget vigtigt, hvis vi ønsker, at cyberrisiko skal styres godt, men mange organisationer har ikke ressourcerne til at gøre dette godt.”
Kevin Curran, IEEE seniormedlem og professor i cybersikkerhed ved Ulster universitet, hævder, at bestyrelser ofte undlader at styre cyberrisikoen tilstrækkeligt, fordi de mangler engagement, ekspertise og fokus.
"Nogle områder, hvor organisationer fejler, omfatter undladelse af at udføre grundige risikovurderinger eller etablere klare cybersikkerhedsstrategier, hvilket efterlader dem sårbare over for trusler. Andre områder er utilstrækkelige investeringer, forældede politikker, dårlig kommunikation mellem afdelinger og en compliance-centreret tilgang kan også underminere cybersikkerhedsstyring,” siger han til ISMS.online.
"I sidste ende bør kodeksen hjælpe organisationer med at etablere robuste styringsrammer, involvere lederskab i cybersikkerhedsbeslutninger, udføre regelmæssige risikovurderinger, allokere tilstrækkelige ressourcer, fremme en cybersikkerhedsbevidst kultur og løbende forbedre deres cybersikkerhedsstyringspraksis for at tilpasse sig til de trusler, der udvikler sig."
Næste trin med ISO 27001
Overholdelse af best practice standarder og rammer som ISO 27001, NIST Cybersecurity Framework, CIS Controls og COBIT kan hjælpe bestyrelser med at komme langt med at nå deres mål under de fem søjler, hævder Curran.
"ISO 27001 tilbyder en systematisk tilgang til at identificere, vurdere og afbøde sikkerhedsrisici, der hjælper med at prioritere digitale aktiver og integrere risikostyring i styring. Det vil også gavne cyberstrategien, da det tilpasser et Information Security Management System (ISMS) med forretningsstrategien, hvilket sikrer effektiv ressourceallokering til overvågning og revision af cybersikkerhedsstrategi,” forklarer han.
“ISO 27001 fremmer sikkerhedskulturen gennem politikker og uddannelse, hvilket forbedrer medarbejdernes cyberfærdigheder i overensstemmelse med organisationens sikkerhedsstrategi. Det tilskynder også til planlægning af hændelsesreaktioner … og det hjælper med at definere roller, overvågning, rapportering og kommunikation med ledende medarbejdere – hvilket letter integration af cybersikkerhed i styringsstrukturer.”
Selvom koden er frivillig, vil den spille en vigtig rolle i det udviklende regulatoriske landskab, forklarer Sarah Pearce, partner hos Hunton Andrews Kurth.
"Companies Act 2006 og UK Corporate Governance Code indeholder visse krav, og jeg forstår, at denne kodeks og tilhørende vejledning skal opdateres for at sikre overensstemmelse med regeringens foreslåede [cyber-governance] adfærdskodeks," siger hun til ISMS.online.
"Regeringen har sagt, at den anerkender, at koden 'ikke er tilstrækkelig i sig selv til at drive de nødvendige forbedringer i cyberrisikostyring på bestyrelsesniveau'. Det er ved at udforske brugen af det til at støtte regulatorer for at forstå, hvordan det kan bruges til at hjælpe med lovoverholdelse, herunder de britiske GDPR- og NIS-forordninger."
