새로운 SEC 보안 위반 지침에 대해 알아야 할 사항

2022년 3월, 증권거래위원회(SEC)는 금융 부문의 보안을 강화하고 사이버 공격에 대한 방어를 강화하기 위한 새로운 규칙과 개정안을 개괄했습니다. 이 제안의 핵심 목표는 사이버 공격 사건의 공개를 표준화하여 위험 관리를 개선하고 전체 부문의 투자자에게보다 잘 알리는 것입니다.

아래에서 새로운 지침을 자세히 살펴보고 이러한 지침이 운영 방식, 보안 의무 및 SEC 규정을 준수하기 위해 알아야 할 사항에 어떤 영향을 미치는지 확인할 수 있습니다.

새로운 SEC 지침

새로운 지침의 첫 번째 요소는 사이버 공격 사건 공개에 관한 것입니다. 조직은 데이터 유출 또는 기타 예정되지 않은 사이버 사건이 발생한 후 나흘 이내에 주주와 SEC에 통보해야합니다. 이 새로운 보고 지침은 기존 양식 8-K를 개정합니다. 그러나 공개 할 필요가있는 것과 공개되지 않아도되는 것에 대해 혼란이 있습니다.

두 번째 제안은 양식 10-K에 대한 조직의 요구 사항에 영향을 미치므로 사이버 보안에 대한 책임과 위험 관리 및 전략을 이사회의 역할 내에 포함시켜야합니다. 또한 이사회 구성원은 해당되는 경우 사이버 보안 경험을 공개해야 합니다.

사건 공개에 관한 첫 번째 개정안이 가장 주목을 받았지만 두 번째 개정안은 잠재적으로 더 중요한 장기적인 영향을 미칠 수 있습니다. 이로 인해 사이버 보안 문제가 이사회의 문앞에 정면으로 배치되어 향후 비즈니스 전략의 중요한 부분이됩니다. 그렇다면 조직은 이러한 새로운 규정을 어떻게 준수합니까?

조직이 수행해야 하는 작업

사이버 보안 사고 대응 계획을 수립하고 정기적으로 업데이트해야합니다. SEC에 사고를 보고하는 데 영업일 기준 단 나흘 밖에 걸리지 않는 상황에서 조직은 특히 대부분의 리소스가 공격의 영향을 최소화하는 데 집중할 때 보고에 민첩해야 합니다. 응답 시간을 측정하기 위해 모든 사고 대응을 시험적으로 실행하는 것이 좋습니다.

조직은 또한 간단한 내부보고 방법을 개발하여 관련 보안 담당자뿐만 아니라 모든 사람이 투자 할 수 있도록보고 기준에 대한 직원 교육 및 명확한 언어를 제공해야합니다. 이것은 이사회 구성원이 사이버 공격 문맹자가되어야하는 지금 특히 중요합니다.

마지막으로, 조직은 맬웨어 방지 소프트웨어 및 암호화된 전자 메일 서비스와 같은 보안 도구 및 응용 프로그램이 최신 상태이고 효과적인지 확인해야 합니다. 여러 컨트롤에 투자 했더라도 커버되었다고 가정하는 함정에 빠지지 마십시오. 방어가 제대로 되어 있는지 확인하는 유일한 방법은 엄격하고 현실적인 테스트를 거치는 것입니다. 안타깝게도 많은 주요 보안 침해는 보안 도구가 마련되어 있지만 필요할 때 예상대로 작동하지 않는 조직에서 발생합니다.

행동할 기회

이러한 새로운 지침을 또 다른 부담이나 비용으로 않고 새로운 SEC 제안을 비즈니스 또는 조직을 더욱 보호 할 수있는 기회로 간주해야합니다. 사이버 공격의 위협은 현실적이고 커지고 있으며, 최악의 상황이 발생하기 전에이를 해결하기 위해 할 수있는 모든 일을해야합니다.