لا تعد الاعتبارات البيئية والاجتماعية والحوكمة (ESG) موضوعات جديدة عندما يتعلق الأمر بتقارير الامتثال لشركات الخدمات المالية ، ولكن تأثير انتهاكات الأمن السيبراني على مكون الحوكمة سيكتسب قريبًا مكانة أعلى بكثير للمنظمات المالية وغير المالية على حد سواء . سواء كانت معالجة مشكلات الخصوصية ، أو الخسائر المالية لبرامج الفدية ، أو استمرارية الأعمال من منظور الحوكمة ، فإن التهديدات الإلكترونية تضع مناقشات ESG في طليعة اجتماعات مجلس الإدارة ومناقشات C-suite حول العالم.
التغييرات في التقارير التي تواجهها الشركات الأمريكية يمكن أن تتوسع بشكل كبير بسبب الآونة الأخيرة تعديلات القواعد من جاري جينسلر رئيس لجنة الأوراق المالية والبورصات. ستكون متطلبات إعداد تقارير حوكمة الأمن السيبراني المشابهة لتلك الخاصة بالمراجعة والتقارير المالية الموجودة في قانون ساربينز أوكسلي لعام 2002 (SOX) مكونًا رئيسيًا في اللوائح الجديدة.
تركز متطلبات حوكمة SOX على المساعدة في حماية المستثمرين من التقارير المالية الاحتيالية من قبل الشركات ، بينما تم تصميم حوكمة الأمن السيبراني لتحسين الإبلاغ عن الاختراقات الإلكترونية الجديدة والسابقة. لن تكون سياسات وإجراءات حوكمة الشركات والمخاطر والامتثال الحالية كافية للتعامل مع هذه القواعد.
يصف آلا فالينتي ، كبير المحللين في شركة Forrester ، التعديلات المقترحة على لائحة هيئة الأوراق المالية والبورصات بأنها "Sarbanes-Oxley light". تنص القواعد المقترحة على ضرورة قيام الشركات بالإبلاغ مادة تشير إلى حوادث الأمن السيبراني في غضون أربعة أيام من تحديد الهوية. تكمن المشكلة في أن "المادة" لا يتم تعريفها وتختلف حسب الصناعة ، لذلك تُترك الشركات تخمن عندما تبدأ الساعة في الإبلاغ عن الحوادث. وتقول إن هذا قد يؤدي إلى الإفراط في الإبلاغ عن الحوادث الإلكترونية ونقص الإبلاغ عنها.
يقود الضغط تدابير الأمن السيبراني
يلاحظ فالينتي أن الامتثال للقواعد المقترحة يمكن أن يكون له تأثير مباشر على قدرة المؤسسة على الحصول على تأمين إلكتروني. على الرغم من التيار الفوضى في سوق التأمين الإلكتروني يؤدي ذلك إلى ارتفاع الأسعار والتغطية إلى أسفل بينما تقلل شركات التأمين عبر الإنترنت من المخزون ، ومن المحتمل أن تؤدي هذه التغييرات في القواعد إلى زيادة الضغط على الشركات لتنفيذ ضوابط الأمن السيبراني التي ربما لم تكن قد وضعتها في هذا الوقت لولا ذلك. كما سيتطلب مزيدًا من المعلومات حول الانتهاكات السابقة وكيفية إدارتها والتخفيف من حدتها.
يقول جيسون هيكس ، رئيس CISO الميداني في شركة Coalfire الاستشارية للأمن السيبراني: "إن الدور الجديد للإدارة في إعداد التقارير والحوكمة الإلكترونية ، والمسؤولية الجديدة لمجلس الإدارة في تسليط الضوء على خبرتهم وإشرافهم ، سيؤديان إلى مزيد من التدقيق في برامج أمن المؤسسات".
"هذا يضع CISO في مقعد ساخن ،" يتابع. "من المحتمل أيضًا أن تدفع المجالس لمحاولة إضافة مدراء تنفيذيين يتمتعون بخبرة في مجال الأمن السيبراني إلى فريقهم. نظرًا للعدد القليل من الأشخاص المؤهلين المتاحين ، يمكنني أيضًا رؤية مجالس الإدارة تستعين بمستشارين خاصين بها لتقديم المشورة لهم بشأن مخاطر الأمن السيبراني ومدى كفاية برنامج أمان الشركة.
ويضيف هيكس: "ستحتاج كل هذه المجالات إلى أخذها في الاعتبار في جزء الحوكمة من نهج ESG الخاص بك". "الإدارة مسؤولة بالفعل عن إدارة مخاطر الأمن السيبراني ، لذا فإن هذا لا يخلق فئة جديدة تمامًا من المسؤولية ، على الرغم من أنها تُجري العديد من التغييرات على العبء والتعقيد."
اتخاذ مبادرة الشركات عبر الوطنية
يلاحظ هيكس أن الطريقة التي تنظر بها المؤسسات إلى الشفافية والمعايير الثقافية لبيئات عمل الشركة يمكن أن تلعب دورًا في كيفية استجابتها. "تحتاج الشركات متعددة الجنسيات إلى موازنة نهجها في ضوء الأساليب المختلفة على مستوى العالم."
يوافق فالنتي. يميل الأوروبيون إلى أن يكونوا أكثر استباقية في الدفاع ضد انتهاكات البيانات من الشركات الأمريكية. قد يجبر تغيير القواعد المنظمات المحلية على أن تكون أكثر استباقية ، لا سيما عندما يتعلق الأمر بإدارة مخاطر الطرف الثالث ، وهو عنصر تحكم أمني رئيسي.
"بمجرد أن يصبح هذا نهائيًا ، سنرى جهدًا لنكون استباقيًا. ستتبع بعض [المنظمات] نص القانون ، وقد تنجح على المدى القصير ، ولكن بشكل هامشي ، "يقول فالينتي. "سيتبع الآخرون روح القانون ويستخدمون ذلك كوسيلة لتحسين وتنويع وجعل إدارة المخاطر الاستباقية [للطرف الثالث] جزءًا من هويتهم. سوف تكون متأصلة في الحمض النووي لشركتهم. تلك هي المنظمات التي ستزدهر حقًا من هذا ".
يمكن للشركات أن تبدأ
يقول ستيفن يادجاري ، الرئيس التنفيذي لشركة الاستشارات الاستثمارية FiSolve والمستشار العام السابق في شركة المحاماة كرامر روزنتال ماكجلين ، إن أعضاء مجلس الإدارة سيبحثون عن تقارير محددة حول الأمن السيبراني. وسيشمل ذلك تقارير ربع سنوية تركز على الأمن السيبراني واجتماعات مع الأفراد المكلفين بالإشراف على المنطقة ، مثل CISO ، الذي يقود الجهود.
سوف تتطلب القواعد الجديدة تقييمات رسمية للمخاطر ، وضوابط محددة ، وتدابير مراقبة ، ونظام للإبلاغ عن الحوادث. إلى الحد الذي لا يتم فيه تناول بعض هذه المجالات في البرامج الحالية ، سترغب المجالس في فهم كيف ينوي المديرون الامتثال لهذه المتطلبات المحتملة. يجب أن تكون هذه المحادثات جارية ويجب ألا تنتظر اعتماد قواعد جديدة.
يلاحظ أن العديد من الشركات اليوم تدير بائعيها بعناية أكبر وتشرف على سياساتهم وإجراءاتهم. هذا صحيح بشكل خاص لمقدمي الخدمات والموردين الخارجيين الذين قد يكونون على اتصال بالمعلومات الحساسة الخاصة بالمؤسسة.
يقول ياديغاري: "يتعين على الشركات التأكد من أن لديها برنامجًا قويًا للأمن السيبراني وبرنامج إدارة مخاطر الطرف الثالث (TPRM) ، والذي بدوره سيوفر الراحة للشركات التي تعتمد على خدماتها".
بينما لم يتم الإعلان عن اللغة النهائية للتغييرات المقترحة في لائحة SEC ، يمكن العثور على اللغة المقترحة هنا.
