আর্থিক পরিষেবা সংস্থাগুলির জন্য কমপ্লায়েন্স রিপোর্টিংয়ের ক্ষেত্রে পরিবেশগত, সামাজিক এবং শাসন (ESG) বিবেচনাগুলি খুব কমই নতুন বিষয়, কিন্তু শীঘ্রই প্রশাসনিক উপাদানগুলিতে সাইবার নিরাপত্তা লঙ্ঘনের প্রভাব আর্থিক এবং অ-আর্থিক সংস্থাগুলির জন্য একইভাবে অনেক বেশি প্রোফাইল লাভ করবে। . গোপনীয়তার সমস্যা, র্যানসমওয়্যারের আর্থিক ক্ষতি, বা প্রশাসনিক দৃষ্টিকোণ থেকে ব্যবসায়িক ধারাবাহিকতা, সাইবার হুমকিগুলি ইএসজি আলোচনাকে বোর্ড মিটিং এবং বিশ্বজুড়ে সি-স্যুট আলোচনার অগ্রভাগে রাখছে।
রিপোর্টিং পরিবর্তন মার্কিন কোম্পানি সম্মুখীন সাম্প্রতিক কারণে উল্লেখযোগ্যভাবে প্রসারিত হতে পারে নিয়ম পরিবর্তন সিকিউরিটিজ অ্যান্ড এক্সচেঞ্জ কমিশনের চেয়ারম্যান গ্যারি গেনসলার থেকে। সার্বনেস-অক্সলে অ্যাক্ট অফ 2002 (SOX) এ পাওয়া অডিটিং এবং আর্থিক প্রতিবেদনের অনুরূপ সাইবারসিকিউরিটি গভর্নেন্স রিপোর্টিং প্রয়োজনীয়তাগুলি নতুন প্রবিধানগুলির একটি মূল উপাদান হবে৷
SOX গভর্নেন্সের প্রয়োজনীয়তাগুলি কর্পোরেশনগুলির প্রতারণামূলক আর্থিক প্রতিবেদন থেকে বিনিয়োগকারীদের রক্ষা করতে সহায়তা করার উপর ফোকাস করে, যখন সাইবার নিরাপত্তা প্রশাসন নতুন এবং অতীতের সাইবার লঙ্ঘনগুলির রিপোর্টিং উন্নত করার জন্য ডিজাইন করা হয়েছে৷ বিদ্যমান কর্পোরেট গভর্ন্যান্স, ঝুঁকি এবং সম্মতি (GRC) নীতি এবং পদ্ধতিগুলি এই নিয়মগুলি মোকাবেলা করার জন্য যথেষ্ট হবে না৷
ফরেস্টারের একজন সিনিয়র বিশ্লেষক আল্লা ভ্যালেন্তে, প্রস্তাবিত এসইসি রেগুলেশন পরিবর্তনগুলিকে "সারবানেস-অক্সলে লাইট" হিসাবে চিহ্নিত করেছেন। প্রস্তাবিত নিয়মগুলি বলে যে সংস্থাগুলিকে রিপোর্ট করতে হবে উপাদান সাইবার নিরাপত্তার ঘটনা সনাক্তকরণের চার দিনের মধ্যে, তিনি নোট করেন। সমস্যা হল যে "উপাদান" সংজ্ঞায়িত করা হয় না এবং শিল্প দ্বারা পরিবর্তিত হয়, তাই ঘড়ির কাঁটা কখন ঘটনাগুলি রিপোর্ট করতে শুরু করে কোম্পানিগুলি অনুমান করতে থাকে। এটি সাইবার ঘটনাগুলির অতিরিক্ত-রিপোর্টিং এবং কম-রিপোর্টিং উভয়ই হতে পারে, সে বলে।
চাপ সাইবার নিরাপত্তা ব্যবস্থা চালায়
প্রস্তাবিত নিয়মগুলি মেনে চলা একটি এন্টারপ্রাইজের সাইবার বীমা পাওয়ার ক্ষমতার উপর সরাসরি প্রভাব ফেলতে পারে, ভ্যালেন্টে নোট। স্রোত থাকা সত্ত্বেও সাইবার বীমা বাজারে বিশৃঙ্খলা সাইবার বীমাকারীরা ইনভেন্টরি কমানোর সময় দাম বাড়াচ্ছে এবং কভারেজ কমিয়ে দিচ্ছে, এই নিয়মের পরিবর্তনগুলি সম্ভাব্যভাবে কোম্পানিগুলির উপর সাইবার নিরাপত্তা নিয়ন্ত্রণগুলি বাস্তবায়নের জন্য চাপ বাড়াতে পারে যা তারা অন্যথায় এই সময়ে চালু করতে পারেনি। অতীতের লঙ্ঘনগুলি এবং কীভাবে সেগুলি পরিচালনা এবং প্রশমিত করা হচ্ছে সে সম্পর্কে আরও অনেক তথ্যের প্রয়োজন হবে৷
“প্রতিবেদন এবং সাইবার গভর্নেন্সে ব্যবস্থাপনার নতুন ভূমিকা, এবং তাদের দক্ষতা এবং তদারকির উপর আলোকপাত করার জন্য বোর্ডের নতুন দায়িত্ব, এন্টারপ্রাইজ নিরাপত্তা কর্মসূচির উপর অতিরিক্ত যাচাই-বাছাই করবে,” সাইবার নিরাপত্তা পরামর্শক সংস্থা কোলফায়ারের ফিল্ড CISO বলেছেন।
"এটি CISO কে হট সিটে রাখে," তিনি চালিয়ে যান। “এটি তাদের দলে সাইবার সিকিউরিটি অভিজ্ঞতা সহ এক্সিকিউটিভদের চেষ্টা করার এবং যুক্ত করার জন্য বোর্ড চালনা করারও সম্ভাবনা রয়েছে। অল্প সংখ্যক যোগ্য লোক উপলব্ধ থাকায়, আমি সাইবার নিরাপত্তা ঝুঁকি এবং কোম্পানির নিরাপত্তা কর্মসূচির পর্যাপ্ততা সম্পর্কে পরামর্শ দেওয়ার জন্য বোর্ডগুলিকে তাদের নিজস্ব পরামর্শদাতা নিয়োগ করতেও দেখতে পাচ্ছি।
"এই সমস্ত ক্ষেত্রগুলিকে আপনার ESG পদ্ধতির প্রশাসনিক অংশে ফ্যাক্টর করতে হবে," হিকস যোগ করে। "ব্যবস্থাপনা ইতিমধ্যেই সাইবার নিরাপত্তা ঝুঁকি পরিচালনার জন্য দায়ী, তাই এটি সম্পূর্ণ নতুন শ্রেণীবদ্ধ দায়িত্ব তৈরি করছে না, যদিও এটি বোঝা এবং জটিলতায় বেশ কিছু পরিবর্তন করছে।"
ট্রান্সন্যাশনালরা উদ্যোগ নেয়
হিকস নোট করেছেন যে সংস্থাগুলি যেভাবে স্বচ্ছতা দেখে এবং একটি কোম্পানির অপারেটিং পরিবেশের সাংস্কৃতিক নিয়মগুলি কীভাবে প্রতিক্রিয়া দেখায় তাতে ভূমিকা রাখতে পারে। "বিশ্বব্যাপী বিভিন্ন পদ্ধতির কারণে বহুজাতিকদের তাদের দৃষ্টিভঙ্গির ভারসাম্য বজায় রাখতে হবে।"
ভ্যালেন্টে একমত। ইউরোপীয়রা আমেরিকান কোম্পানির তুলনায় ডেটা লঙ্ঘনের বিরুদ্ধে রক্ষা করার জন্য বেশি সক্রিয় হতে থাকে। নিয়ম পরিবর্তন দেশীয় সংস্থাগুলিকে আরও সক্রিয় হতে বাধ্য করতে পারে, বিশেষ করে যখন এটি তৃতীয় পক্ষের ঝুঁকি ব্যবস্থাপনার ক্ষেত্রে আসে, একটি মূল নিরাপত্তা নিয়ন্ত্রণ।
“একবার এটি চূড়ান্ত হয়ে গেলে, আমরা সক্রিয় হওয়ার চেষ্টা দেখব। কিছু [প্রতিষ্ঠান] আইনের চিঠি অনুসরণ করবে, এবং স্বল্পমেয়াদে সফল হতে পারে, কিন্তু প্রান্তিকভাবে, "ভ্যালেন্টে বলেছেন। "অন্যরা আইনের চেতনা অনুসরণ করবে এবং এটিকে উন্নত করার, বৈচিত্র্য আনার এবং সেই সক্রিয় [তৃতীয়-পক্ষের] ঝুঁকি ব্যবস্থাপনার অংশ হিসেবে তারা কারা। এটা তাদের কর্পোরেট ডিএনএ-তে গেঁথে থাকবে। এগুলি এমন সংস্থা যা সত্যিই এর থেকে উন্নতি করতে চলেছে।"
কোম্পানি শুরু করতে পারেন
স্টিভেন ইয়াদেগারি, বিনিয়োগ পরামর্শদাতা সংস্থা FiSolve-এর সিইও এবং আইন সংস্থা ক্রেমার রোজেনথাল ম্যাকগ্লিনের প্রাক্তন জেনারেল কাউন্সেল বলেছেন, বোর্ডের সদস্যরা সাইবার নিরাপত্তার বিষয়ে নির্দিষ্ট প্রতিবেদনের সন্ধান করবেন। এতে সাইবার নিরাপত্তার উপর দৃষ্টি নিবদ্ধ করা ত্রৈমাসিক প্রতিবেদন এবং এলাকার তদারকির জন্য অভিযুক্ত ব্যক্তিদের সাথে মিটিং অন্তর্ভুক্ত থাকবে, যেমন CISO, প্রচেষ্টার নেতৃত্ব দিচ্ছে।
“নতুন নিয়মগুলির জন্য আনুষ্ঠানিক ঝুঁকি মূল্যায়ন, নির্দিষ্ট নিয়ন্ত্রণ, পর্যবেক্ষণ ব্যবস্থা এবং ঘটনার রিপোর্টিং সিস্টেমের প্রয়োজন হবে। বিদ্যমান প্রোগ্রামগুলিতে এই ক্ষেত্রগুলির কিছু সম্বোধন করা না হওয়া পর্যন্ত, বোর্ডগুলি বুঝতে চাইবে কিভাবে পরিচালকরা এই সম্ভাব্য প্রয়োজনীয়তাগুলি মেনে চলতে চান। সেই কথোপকথনগুলি চলছে এবং নতুন নিয়ম গ্রহণের জন্য অপেক্ষা করা উচিত নয়, "ইয়াদেগারি বলেছেন।
অনেক কোম্পানী আজ তাদের বিক্রেতাদের আরো যত্ন সহকারে পরিচালনা করছে এবং তাদের নীতি ও পদ্ধতির তত্ত্বাবধান করছে, তিনি নোট করেছেন। এটি বিশেষত তৃতীয় পক্ষের পরিষেবা প্রদানকারী এবং সরবরাহকারীদের ক্ষেত্রে সত্য যাদের একটি এন্টারপ্রাইজের সংবেদনশীল তথ্যের সাথে যোগাযোগ থাকতে পারে।
ইয়াদেগারি বলেছেন, "এটি কোম্পানিগুলিকে নিশ্চিত করতে বাধ্য করে যে তাদের একটি শক্তিশালী সাইবারসিকিউরিটি প্রোগ্রাম এবং থার্ড-পার্টি রিস্ক ম্যানেজমেন্ট (TPRM) প্রোগ্রাম রয়েছে, যা তাদের পরিষেবার উপর নির্ভর করে এমন কোম্পানিগুলিকে স্বাচ্ছন্দ্য প্রদান করবে"।
যদিও প্রস্তাবিত এসইসি নিয়ম পরিবর্তনের চূড়ান্ত ভাষা এখনও প্রকাশ করা হয়নি, প্রস্তাবিত ভাষা পাওয়া যেতে পারে এখানে.
