Vad betyder den brittiska regeringens uppförandekod för cyberstyrning för ditt företag?
Innehållsförteckning:
Det fanns en tid då cybersäkerhet mycket sågs som en teknisk funktion. Inte längre. Regeringar och tillsynsmyndigheter över hela världen kräver i allt högre grad att styrelser tar på sig mer ansvar för att hantera cyberrisker. Den är ny SEC:s regler infördes förra året och under det kommande NIS2-direktivet, vilket kommer att göra den högsta ledningen personligen ansvarig för allvarliga överträdelser. För att inte bli överträffad följer den brittiska regeringen efter med ett föreslaget nytt Uppförandekod för cyberstyrning.
Även om det är frivilligt, har regeringen uttalat sin avsikt att bädda in koden i det "befintliga regulatoriska landskapet". Styrelserna gör klokt i att ta del av detta.
Vad står i vägledningen?
Koden publicerades i januari i utkastform och kommer mitt i en nedslående bakgrund av överträdelser. Enligt Regeringen, över hälften av medelstora (59 %) och stora (69 %) brittiska företag drabbades av en allvarlig cyberattack eller intrång under de 12 månaderna fram till april 2023. Samma studie visar att, även om nästan tre fjärdedelar (71 %) av högre chefer säger att de ser cybersäkerhet som en "hög prioritet", endast 30 % av företagen har styrelsemedlemmar eller förvaltare som uttryckligen är ansvariga för cyber som en del av sin roll.
Med det är uppförandekoden uppdelad i fem pelare:
Riskhantering: Se till att företagets mest kritiska digitala processer, data och tjänster har identifierats, prioriterats och kommit överens. Detta inkluderar regelbundna riskbedömningar och begränsningssteg, beslut om risknivåer och leverantörsriskhantering.
Cyberstrategi: Övervaka och granska cyberresiliensstrategi i linje med riskaptit, affärsstrategi och juridiska och regulatoriska skyldigheter. Detta inkluderar att säkerställa att lämpliga resurser allokeras i linje med ständigt föränderliga affärsrisker.
människor: Sponsra kommunikation om vikten av cyberresiliens för verksamheten, leverera tydliga cybersäkerhetspolicyer som stödjer en positiv säkerhetskultur och driva och delta i säkerhetsutbildningsprogram.
Incidentplanering och reaktion: Se till att organisationen har en plan för att svara på och återhämta sig från cyberincidenter som påverkar affärskritiska processer och tjänster. Detta inkluderar regelbunden testning av planen, granskningar efter incidenten och att ta ansvar för regulatoriska skyldigheter.
Säkerhet och tillsyn: Etablera en styrningsstruktur som är i linje med organisationen, inklusive tydlig definition av roller och ansvar och ägande av cyberresiliens på direktörsnivå. Tillsynsmyndigheter övervakar cyberresiliens, upprättar en tvåvägsdialog med nyckelchefer och formell kvartalsrapportering och säkerställer att cyberresiliensstrategin är integrerad i befintliga bestyrkandemekanismer.
Hur ska organisationer reagera?
Darren Anstee, CTO på Netscout, hävdar att styrelser traditionellt har kämpat med incidentplanering.
”Vägledningen är att testning av en organisations incidenthanteringsplan och tillhörande utbildning bör ske minst en gång per år. De flesta organisationer gör det här nu, och det är mycket bättre än för ett decennium sedan, men att bara göra detta årligen är inte tillräckligt ofta”, säger han till ISMS.online.
"Vi vill testa för att driva processförtrogenhet och optimering – det ska inte bara handla om att ta reda på var planen behöver uppdateras eftersom den inte längre matchar en organisations processer och teknik. Det är risken med att testa årligen.
Anstee tillägger att styrelser också kan förbättra sin säkerhet och tillsyn.
"Utmaningen här är inte ny, eftersom det kan vara svårt att översätta vad som händer i termer av hotförsvar och cyberrisk till något meningsfullt på affärsrisknivå", hävdar han.
"Detta innebär vanligtvis att korrelera flera datauppsättningar tillsammans för att generera förståeliga mätvärden och visualiseringar. Detta är möjligt och mycket viktigt om vi vill att cyberrisker ska hanteras väl, men många organisationer har inte resurserna att göra det här bra.”
Kevin Curran, seniormedlem i IEEE och professor i cybersäkerhet vid Ulster-universitetet, hävdar att styrelser ofta misslyckas med att hantera cyberrisker på ett adekvat sätt eftersom de saknar engagemang, expertis och fokus.
"Vissa områden där organisationer misslyckas inkluderar att misslyckas med att genomföra grundliga riskbedömningar eller upprätta tydliga cybersäkerhetsstrategier, vilket gör dem sårbara för hot. Andra områden är otillräckliga investeringar, föråldrade policyer, dålig kommunikation mellan avdelningar och ett efterlevnadscentrerat tillvägagångssätt kan också undergräva cybersäkerhetsstyrning”, säger han till ISMS.online.
"I slutändan bör koden hjälpa organisationer att etablera robusta styrningsramar, involvera ledarskap i cybersäkerhetsbeslut, genomföra regelbundna riskbedömningar, allokera tillräckliga resurser, främja en cybersäkerhetsmedveten kultur och kontinuerligt förbättra sina cybersäkerhetsförvaltningsmetoder för att anpassa sig till föränderliga hot."
Nästa steg med ISO 27001
Överensstämmelse med standarder och ramverk för bästa praxis som ISO 27001, NIST Cybersecurity Framework, CIS Controls och COBIT kan hjälpa styrelser att gå långt för att uppfylla sina mål under de fem pelarna, hävdar Curran.
"ISO 27001 erbjuder ett systematiskt tillvägagångssätt för att identifiera, bedöma och minska säkerhetsrisker, vilket hjälper till att prioritera digitala tillgångar och integrera riskhantering i styrning. Det kommer också att gynna cyberstrategin eftersom det anpassar ett ledningssystem för informationssäkerhet (ISMS) med affärsstrategin, vilket säkerställer effektiv resursallokering för övervakning och granskning av cybersäkerhetsstrategier”, förklarar han.
“ISO 27001 främjar säkerhetskultur genom policyer och utbildning, vilket förbättrar de anställdas cyberkompetens i linje med organisationens säkerhetsstrategi. Det uppmuntrar också incidentresponsplanering ... och det hjälper till att definiera roller, övervakning, rapportering och kommunikation med ledande befattningshavare – vilket underlättar integration av cybersäkerhet i styrningsstrukturer."
Även om den är frivillig kommer koden att spela en viktig roll i det framväxande regelverket, förklarar Sarah Pearce, partner på Hunton Andrews Kurth.
"Companies Act 2006 och UK Corporate Governance Code innehåller vissa krav och jag förstår att denna kod och tillhörande vägledning kommer att uppdateras för att säkerställa överensstämmelse med regeringens föreslagna [cyber-governance] uppförandekod", säger hon till ISMS.online.
"Regeringen har sagt att den inser att koden "inte är tillräcklig i sig för att driva de nödvändiga förbättringarna av cyberriskhantering på styrelsenivå". Den undersöker dess användning för att stödja tillsynsmyndigheter för att förstå hur den kan användas för att hjälpa till med regelefterlevnad, inklusive Storbritanniens GDPR och NIS-förordningar.”
