美国证券交易委员会(SEC)的新网络安全指南具有影响-成本-但规则没有变化

通过确定网络入侵可以'假定不重要,在报告方面,此类威胁现在已成为头等大事。

网络安全披露指南 美国证券交易委员会公司财务部上月发布的报告“改变了游戏规则”,美国证券交易委员会研究主管艾伦·帕勒(Alan Paller)说。 SANS研究所 ,一个安全研究和教育组织。但这不是因为现在的规则有所不同。实际上,事实并非如此。相反,最重要的是现有规则的感知方式。

幻灯片放映: 测验:虚构的网络安全事实

帕勒说,对于大多数上市公司而言,“过去的假设是(网络入侵)并不重要。” “指导意见说推定是错误的。”

新指南的立场是,公司应披露网络风险和网络事件的风险,如果该风险使公司的投资具有投机性或风险。上市公司应避免“一般性风险披露”,但也不必要求其进行会危害公司网络安全的披露。 [谁被引用?帕勒?]

'我会监督你的'

当然,公司需要报告可能对组织的盈利能力构成重大风险的情况或问题的想法并不是什么新颖的事。大卫·纳维塔(David Navetta)认为,现在的区别与披露要求的重要性有关。纳维塔(Navetta)的创始合伙人表示:“美国证券交易委员会(SEC)使金融界注意到这是严重的。” 信息法小组,以及认证信息隐私专家。他指的是电影《遇见父母》中的一段话,他说:“你有罗伯特·德尼罗的时刻,'我会在看着你'。”

尽管SEC的新指南并不构成法规,但首席财务官不应低估其影响。 Navetta说:“当出现问题时,'指导'一词的自愿性质就变得不那么重要了。” “将其视为需求,而不是指导。”

此外,SEC担心的网络安全风险已超出了潜在的消费者数据泄漏范围,例如公司可能传输或存储的信用卡号码之类的泄漏,美国证券交易委员会公司和证券部成员Cynthia J. Larose说。 Mintz,Levin,Cohn,Ferris,Glovsky和Popeo P.C.,以及该律师事务所的隐私和安全事务主席。例如,如果知识产权违规将构成风险,则需要予以披露。 “您必须将网络风险视为一个整体,” Larose说。

安全成本障碍

网络犯罪对公司威胁的规模很难引起争议。由发行的第二届年度“网络犯罪成本研究” Ponemon Institute LLC2011年年8月,该研究发现50个组织的网络犯罪的年均费用为590万美元,范围在150万美元至3650万美元之间。年化平均值比上一年的研究提高了56%。 (注意:该研究未在其网站上找到。)

Navetta指出,当然,大多数CFO和其他高管都希望他们的公司安全。但是,在提高安全性方面存在许多障碍。其中一项是安全项目的成本,这些项目与一系列其他计划争夺了公司支票簿的一部分,其中许多计划有望产生收益。

此外,组织试图应对的威胁也在不断变化。他说:“大多数公司真诚地希望获得安全,但这是经济和敏捷的问题。”

Greg Barnum,副总裁兼首席财务官 数据链路公司 总部位于明尼阿波利斯的数据中心基础设施和服务提供商的年收入约为3.5亿美元,该公司同意有必要披露重大的安全漏洞,这可能对公司构成“巨大损失”。

同时,巴纳姆(Barnum)表示关切的是,由于公司的规模相对较小,由于实施此法规和其他法规所需的资源,数据链路(具有牢固的安全控制措施)可能受到负面影响。 “有了所有这些规定,从萨班斯-奥克斯利法案开始,对于像我们这样的公司而言,将所有人员和系统部署到位变得更加困难。”

更改安全审核

很难说这些披露将对投资者有多大帮助。有些必然会由会计公司给予放心。 Navetta说,然而,披露风险可能会使其他人得出结论,即公司的网络安全性很弱,违规行为会影响回报,从而对买卖股票的决定产生负面影响。

在2010年1月, Heartland付款系统公司信用卡和借记卡付款的处理商宣布了一项和解协议,根据该协议,Visa品牌的信用卡和借记卡的发行人可以从Heartland处获得2008年因违反公司付款系统环境而遭受刑事损失的赔偿。 Heartland表示,将为该计划支付高达6000万美元的资金。

为了真正改善网络安全,必须改变计算机安全审核的方式,Paller说。如今,许多安全审核都过于注重辅助措施,例如对计算机访问的限制程度。他说,尽管重要,但这些不应成为审核的重点。相反,重点应该放在系统本身上。 “在(当今)计算机审计中,您花费95%的时间不检查系统是否安全,”帕勒说。

同样重要的是,公司需要持续监控系统漏洞,而不是定期检查。 “您可能每年检查一次,一旦完成,坏人可能会进来。”最后,用于网上银行交易的任何计算机都不应用于网络上的任何其他任务。 “买一台200美元或300美元的计算机,别无其他。”

Paller补充说,许多组织都有改进的空间。 “期望他们变得完美是不合理的。期望他们变得更好是完全合理的。”

版权© 2011 IDG通讯,Inc.