SEC Publishes New Guidance on Public Company Cybersecurity Disclosures : : Privacy & Information Security Law Blog

SEC Publishes New Guidance on Public Company Cybersecurity Disclosures

Posted on

On February 21, 2018, the U.S. Securities and Exchange Commission (“SEC”) published long-awaited cybersecurity interpretive guidance (the “Guidance”). The Guidance marks the first time that the five SEC commissioners, as opposed to agency staff, have provided guidance to U.S. public companies with regard to their cybersecurity disclosure and compliance obligations.

Because the Administrative Procedure Act still requires public notice and comment for any rulemaking, the SEC cannot legally use interpretive guidance to announce new law or policy; therefore, the Guidance is evolutionary, rather revolutionary. Still, it introduces several key topics for public companies, and builds on prior interpretive releases issued by agency staff in the past.

First, the Guidance reiterates public companies’ obligation to disclose material information to investors, particularly when that information concerns cybersecurity risks or incidents. Public companies may be required to make such disclosures in periodic reports in the context of (1) risk factors, (2) management’s discussion and analysis of financial results, (3) the description of the company’s business, (4) material legal proceedings, (5) financial statements, and (6) with respect to board risk oversight. Next, the Guidance addresses two topics not previously addressed by agency staff: the importance of cybersecurity policies and procedures in the context of disclosure controls, and the application of insider trading prohibitions in the cybersecurity context.

The Guidance emphasizes that public companies are not expected to publicly disclose specific, technical information about their cybersecurity systems, nor are they required to disclose potential system vulnerabilities in such detail as to empower threat actors to gain unauthorized access. Nevertheless, the SEC noted that while it may be necessary to cooperate with law enforcement and that ongoing investigation of a cybersecurity incident may affect the scope of disclosure regarding an incident, the mere existence of an ongoing internal or external investigation does not provide a basis for avoiding disclosures of a material cybersecurity incident. The guidance concludes with a reminder that public companies are prohibited in many circumstances from making selective disclosure about cybersecurity matters under SEC Regulation Fair Disclosure.

The Guidance is perhaps most notable for the issues it does not address. In a issued coincident with the release of the new guidance, Commissioner Kara Stein expressed disappointment that the Guidance did not go further to highlight four areas where she would have liked to see the SEC seek public comment:

  • rules that address improvements to the board’s risk management framework related to cyber risks and threats;
  • minimum standards to protect investors’ personally identifiable information, and whether such standards should be required for key market participants, such as broker-dealers, investment advisers and transfer agents;
  • rules that would require a public company to provide notice to investors (e.g., a Current Report on Form 8-K) in an appropriate time frame following a cyberattack, and to provide useful disclosure to investors without harming the company competitively; and
  • rules that are more programmatic and that would require a public company to develop and implement cybersecurity-related policies and procedures beyond basic disclosure.

Given the intense public and political interest in cybersecurity disclosure by public companies, we anticipate that this latest guidance will not be the SEC’s final word on this critical issue.



Holistic Information Security

No matter how much you spend on cybersecurity technology, data breaches can occur in the most basic ways, for example by leaving an old filing cabinet lying around. This demonstrates the need for a holistic approach to information security.

Recently, highly confidential government papers were discovered inside two locked filing cabinets that were purchased at a second-hand furniture shop in Canberra. What likely happened was a public servant overseeing an office clean up unwittingly sold the filing cabinets containing state secrets to the furniture shop.

In 2016, the Australian Government announced that it would spend $230 million to “enhance Australia’s cybersecurity capability and deliver new initiatives”. This is one of the Government’s most serious data breaches in history, and it had nothing to do with hackers.

Clearly, effective overall data protection requires more than IT system security. What about having clear data protection policies which are reinforced by training? What about physical security, such as how secure are your premises, and how hard copy document are stored and disposed of? Can employees take documents home? Is someone reading over their shoulder while they read them on the way home?

From 22 February 2018, it will be mandatory to report data breaches. Businesses should think about what is really the best way to minimise data breaches.

As we have previously blogged, a huge proportion of businesses experience data breaches, and a large portion of those breaches are caused by vendors or contractors. It is clearly vital to have the right contracts in place with suppliers from IT contractors to cleaners so you can legally protect yourself.

When considering data security, the last thing you want is to spend big on cybersecurity only to have a missing filing cabinet filled with confidential information and no one to blame.

Harry Crawford contributed to this post.






Information Security Performance

Uno slogan molto noto recita che è possibile migliorare solo ciò che si misura. E’ chiaro quindi che la misurazione permette di comprendere meglio la gestione: occorre però istituire un processo aziendale organico e realmente integrato con gli altri processi aziendali, al fine di raggiungere gli obiettivi di misurazione e assicurare la convergenza delle misurazioni con i più generali obiettivi di business. Ogni organizzazione, sulla base dell’analisi del contesto organizzativo, dovrebbe quindi individuare gli indicatori pertinenti; dovrebbe raccogliere e validare i dati a supporto degli indicatori; dovrebbe rendere ricorrente il processo di misurazione e reporting. Queste attività sono del tutto indipendenti da un eventuale software di reporting già adottato dall’organizzazione. La strutturazione di un processo di misurazione delle performance, ha come indubbio risultato sia una maggior consapevolezza della reale direzione aziendale, sia il miglioramento della sicurezza delle informazioni. Nel presente articolo sono condivisi gli strumenti minimi per creare un primo set di indicatori, con particolare riferimento al mondo della sicurezza delle informazioni.

La scelta degli indicatori più utili dipende da diversi elementi e può essere guidata da tre dimensioni: ambito, oggetto ed esigenza.

Ambito di misurazione: il concetto di sicurezza delle informazioni, nelle sue proprietà di disponibilità, integrità e riservatezza, si può essenzialmente suddividere nelle sue componenti gestionalee tecnologica. La somma di queste due parti si può ricondurre ad una visione di insieme che consente di avere il presidio dell’oggetto misurato.

Oggetto di misurazione: gli indicatori si basano su delle formule matematiche volte ad oggettivare aspetti che altrimenti potrebbero essere interpretati in modo soggettivo e non coerente. Queste formule dovrebbero individuare in modo inequivocabile i singoli elementi che concorrono alla misurazione.

Esigenza di misurazione: è pacifico che la misurazione non può essere fine a sé stessa e dovrebbe necessariamente essere supportata da una esplicita esigenza che trova fondamento nella formulazione degli obiettivi del business.

La definizione di uno schema di misurazione delle performance, affinché produca indicatori usabili e coerenti con gli obiettivi, dovrebbe tenere in considerazione che il sottostante processo debba essere organizzato su tre macro-fasi: monitoraggio, misurazione e valutazione delle performance. Lo schema seguente riporta una possibile definizione di ciascuna di queste tre fasi.

Figura 1: definizioni di Monitoraggio, Misurazione e Valutazione in ambito Information Security Performance

Il processo Information Security performance dovrebbe, inoltre, tenere in considerazione ulteriori aspetti. Il metodo di monitoraggio, misurazione e analisi delle valutazioni: per mantenere coerenza nel tempo, il processo dovrebbe mantenere lo stesso approccio alla misurazione sia in termini di input data, sia in termini di regole di calcolo della misurazione. L’istante temporale e, soprattutto, la frequenza di misurazione: indicatori diversi possono avere esigenze diverse di misurazione e reporting. Indicatori di sintesi possono essere misurati con cadenza annuale, indicatori di gestione con cadenza trimestrale e indicatori tecnologici potrebbero richiedere una frequenza mensile di misurazione. La frequenza di misurazione è determinata anche in funzione del destinatario della misurazione stessa: in ottica piramidale, è facile intuire che un indicatore di sintesi può essere condiviso con il top management, un indicatore di gestione con il middle management ed un indicatore tecnologico con i professionisti informatici. I criteri di valutazione: definiscono delle soglie che permettono di valutare la bontà del risultato raggiunto rispetto gli obiettivi. È prassi diffusa definire i KPI con le consuete soglie “verde-giallo-rosso”. Ogni organizzazione dovrebbe definire le proprie soglie di valutazione in funzione delle proprie priorità, risorse e contesto aziendale. Una proposta valida indipendentemente da tali considerazioni di contesto sarebbe fuorviante. Tutti questi elementi concorrono alla definizione di un indicatore, la cui importanza è tanto maggiore quanto più efficaci vogliono essere i risultati del processo di Information Security.

Nell’implementazione di questo processo è inevitabile imbattersi con aspetti operativi che vanno dalla raccolta dei dati necessari ai calcoli, fino all’automazione della misurazione. Tutti questi aspetti possono essere indirizzati solo dietro un esplicito commitment del top management che sponsorizzi le necessarie attività e chiarisca ruoli e responsabilità per eseguire le misurazioni, non tralasciando la congrua allocazione di risorse (umane, economiche e tecnologiche) necessarie per garantire il buon esito del processo.

Per raccogliere i dati è importante individuare gli attori aziendali che ne dispongono, i data owner, ed iniziare a fare misurazioni con un approccio che può anche essere “iterativo”. La raccolta delle prime fonti dati sarà probabilmente incompleta o con dati non esaustivi, quindi sarà importante capire quali azioni saranno necessarie per avere dati completi in un formato usabile. Ad esempio, il “Service Desk”, interno all’organizzazione o in outsourcing ad un fornitore esterno, è un interlocutore primario per indicatori riferiti ai dispositivi assegnati ad utenti finali, mentre “IT Operations” è il punto principale di contatto per gli indicatori relativi all’architettura aziendale. “L’Incident Manager” è l’interlocutore di riferimento per gli indicatori relativi a ticket di servizio, eventi, incidenti e crisi. Per gli aspetti di conformità, la funzione “Legal” o “Compliance” sono certamente il primo contatto per la valutazione dei relativi indicatori.

La raccolta dei dati, che alimenta il processo di Information security performance, dovrebbe essere ricorrente al fine di garantire un presidio sull’oggetto misurato. Assegnare quindi la responsabilità del processo di misurazione complessivo ad un manager, validareownership degli indicatori e loro frequenza di misurazione, fissare meeting di condivisione di risultati e, soglie, redigere un piano di miglioramento in caso di indicatori “rossi” con gli owner degli indicatori, sono esempi di azioni che possono supportare il raggiungimento degli obiettivi di misurazione e conseguentemente del processo di Information security performance. Eventuali incentivi, come premi di risultato, possono essere presi in considerazione al fine di stimolare il raggiungimento di determinati risultati ritenuti strategici per il top management.

Come anticipato in precedenza, la scelta degli indicatori può essere guidata secondo tre dimensioni. Le tabelle seguenti riportano alcuni esempi di definizione di un indicatore, specificando per ognuno di essi una possibile metrica di misurazione e valutazione.

Figura 2: esempi di indicatori descritti tramite tabella

Altri indicatori possono essere definiti, ad esempio, considerando il numero ed i giorni necessari per la gestione degli incidenti, il costo di gestione degli incidenti, i sistemi correntemente sottoposti a backup, l’esercizio di test di disaster recovery, la frequenza di modifica delle password, il numero di sistemi con strong authentication ecc.

In conclusione, è possibile rimarcare come l’Information Security Performance sia un mezzo per migliorare la sicurezza delle informazioni aziendali. Il calcolo degli indicatori non deve essere fine a se stesso od all’implementazione di una nuova tecnologia, anche se fosse la moda del momento. Per evitare di investire tempo e denaro in misurazioni che non portano ad alcun miglioramento è fondamentale avere l’allineamento con gli obiettivi di sicurezza delle informazioni come perno centrale del sistema di monitoraggio, misurazione e valutazione.

E’ quindi più utile, per l’organizzazione, avere anche solo pochi indicatori, ma ben allineati con gli obiettivi di sicurezza, piuttosto che acquistare costose tecnologie da rendere giustificate con “montagne” di giornate di lavoro, perdendo il focus rispetto all’unica cosa che può contare: migliorare, in modo semplice se possibile, la sicurezza delle informazioni. Nel raggiungimento di questo macro obiettivo avere dipendenti o fornitori con competenze non improvvisate, costituisce un vantaggio oltre che un risparmio di tempo e denaro.

Articolo a cura di Thomas Castagna e Luciano Quartarone

L’articolo Information Security Performance proviene da ICT Security Magazine.