ملاحظات زیستمحیطی، اجتماعی و حاکمیتی (ESG) در مورد گزارشهای انطباق برای شرکتهای خدمات مالی به ندرت موضوعات جدیدی هستند، اما تأثیر نقض امنیت سایبری بر مؤلفه حاکمیت به زودی برای سازمانهای مالی و غیر مالی به طور یکسان نمایان خواهد شد. . تهدیدات سایبری چه در مورد مسائل مربوط به حریم خصوصی، زیان های مالی باج افزار یا تداوم کسب و کار از منظر حاکمیتی، بحث های ESG را در خط مقدم جلسات هیئت مدیره و بحث های C-suite در سراسر جهان قرار می دهد.
تغییرات گزارش دهی که شرکت های آمریکایی با آن روبرو هستند به دلیل اخیر می تواند به طور قابل توجهی گسترش یابد اصلاح قوانین گری جنسلر، رئیس کمیسیون بورس و اوراق بهادار. الزامات گزارشگری حاکمیت امنیت سایبری مشابه مواردی که برای حسابرسی و گزارشگری مالی در قانون Sarbanes-Oxley در سال 2002 (SOX) یافت میشود، جزء کلیدی مقررات جدید خواهد بود.
الزامات حاکمیت SOX بر کمک به محافظت از سرمایهگذاران در برابر گزارشهای مالی تقلبی توسط شرکتها تمرکز دارد، در حالی که حاکمیت امنیت سایبری برای بهبود گزارشدهی در مورد نقضهای سایبری جدید و گذشته طراحی شده است. سیاستها و رویههای حاکمیت شرکتی، ریسک و انطباق (GRC) برای رسیدگی به این قوانین کافی نخواهد بود.
آلا والنته، تحلیلگر ارشد در Forrester، اصلاحات پیشنهادی SEC را به عنوان "Sarbanes-Oxley light" توصیف می کند. قوانین پیشنهادی بیان می کند که شرکت ها باید گزارش دهند ماده او خاطرنشان می کند که حوادث امنیت سایبری ظرف چهار روز پس از شناسایی. مشکل این است که «مواد» تعریف نشده است و بر اساس صنعت متفاوت است، بنابراین شرکتها وقتی ساعت شروع به گزارش رویدادها میکند حدس میزنند. او میگوید که این میتواند منجر به گزارش بیش از حد و گزارشدهی کم در مورد حوادث سایبری شود.
فشار، اقدامات امنیت سایبری را تحریک می کند
Valente خاطرنشان می کند که رعایت قوانین پیشنهادی همچنین می تواند تأثیر مستقیمی بر توانایی شرکت برای دریافت بیمه سایبری داشته باشد. با وجود جریان هرج و مرج در بازار بیمه سایبری که باعث افزایش قیمت ها و کاهش پوشش می شود در حالی که بیمه گران سایبری موجودی را کاهش می دهند، این تغییرات قوانین به طور بالقوه می تواند فشار بیشتری را بر شرکت ها برای اجرای کنترل های امنیت سایبری افزایش دهد که در غیر این صورت ممکن بود در حال حاضر اعمال نمی کردند. همچنین به اطلاعات بسیار بیشتری در مورد نقض های گذشته و نحوه مدیریت و کاهش آنها نیاز دارد.
جیسون هیکس، CISO در شرکت مشاوره امنیت سایبری Coalfire میگوید: «نقش جدید مدیریت در گزارشدهی و حاکمیت سایبری، و مسئولیت جدید هیئتمدیره برای روشن کردن تخصص و نظارت آنها، باعث بررسی بیشتر برنامههای امنیتی شرکت خواهد شد.
او ادامه می دهد: «این CISO را روی صندلی داغ قرار می دهد. همچنین احتمالاً هیئتها را وادار میکند تا مدیرانی با تجربه امنیت سایبری را به تیم خود اضافه کنند. با توجه به تعداد کمی از افراد واجد شرایط موجود، من همچنین میتوانم ببینم که هیئتهایی مشاوران خود را برای مشاوره در مورد خطرات امنیت سایبری و کفایت برنامه امنیتی شرکت استخدام میکنند.
هیکس می افزاید: «همه این زمینه ها باید در بخش حاکمیتی رویکرد ESG شما لحاظ شوند. مدیریت در حال حاضر مسئولیت مدیریت ریسک امنیت سایبری را بر عهده دارد، بنابراین این یک طبقه کاملاً جدید از مسئولیت ایجاد نمی کند، اگرچه تغییرات زیادی در بار و پیچیدگی ایجاد می کند.
فراملیتی ها ابتکار عمل کنند
هیکس خاطرنشان می کند که نحوه نگرش سازمان ها به شفافیت و هنجارهای فرهنگی محیط های عملیاتی یک شرکت می تواند در نحوه واکنش آنها نقش داشته باشد. شرکتهای چندملیتی باید رویکرد خود را با توجه به رویکردهای مختلف در سطح جهانی متعادل کنند.
والنته موافق است. اروپاییها نسبت به شرکتهای آمریکایی در دفاع در برابر نقض دادهها فعالتر هستند. تغییر قوانین میتواند سازمانهای داخلی را وادار کند که فعالتر عمل کنند، بهویژه وقتی صحبت از مدیریت ریسک شخص ثالث، یک کنترل امنیتی کلیدی است.
هنگامی که این نهایی شود، ما شاهد تلاشی برای فعال بودن خواهیم بود. برخی [سازمانها] از قانون پیروی میکنند و ممکن است در کوتاهمدت موفق باشند، اما در حد اندکی.» والنته میگوید. «دیگران از روح قانون پیروی میکنند و از آن بهعنوان وسیلهای برای بهبود، تنوع بخشیدن و تبدیل کردن مدیریت ریسک فعال [شخص ثالث] به بخشی از آنچه که هستند، استفاده میکنند. این در DNA شرکت آنها ریشه دوانده است. این سازمانهایی هستند که واقعاً از این راه پیشرفت خواهند کرد.»
شرکت ها می توانند شروع به کار کنند
استیون یادگاری، مدیر عامل شرکت مشاوره سرمایه گذاری FiSolve و مشاور عمومی سابق در شرکت حقوقی کرامر روزنتال مک گلین، می گوید اعضای هیئت مدیره به دنبال گزارش های خاص در مورد امنیت سایبری خواهند بود. این شامل گزارشهای فصلی متمرکز بر امنیت سایبری و جلسات با افرادی است که مسئول نظارت بر این منطقه هستند، مانند CISO که این تلاش را رهبری میکنند.
«قوانین جدید مستلزم ارزیابی رسمی ریسک، کنترلهای خاص، اقدامات نظارتی و سیستم گزارشدهی حوادث است. تا جایی که برخی از این زمینه ها در برنامه های موجود مورد توجه قرار نگرفته اند، هیئت ها می خواهند بفهمند که مدیران چگونه می خواهند از این الزامات بالقوه پیروی کنند. یادگاری میگوید: «این صحبتها باید در جریان باشد و منتظر تصویب قوانین جدید نباشیم.»
او خاطرنشان می کند که امروزه بسیاری از شرکت ها با دقت بیشتری فروشندگان خود را مدیریت می کنند و بر سیاست ها و رویه های آنها نظارت می کنند. این امر به ویژه در مورد ارائه دهندگان خدمات شخص ثالث و تامین کنندگانی که ممکن است با اطلاعات حساس یک شرکت در تماس باشند، صادق است.
یادگاری میگوید: «این شرکتها را موظف میداند تا اطمینان حاصل کنند که یک برنامه امنیت سایبری قوی و برنامه مدیریت ریسک شخص ثالث (TPRM) دارند، که به نوبه خود باعث ایجاد راحتی برای شرکتهایی میشود که به خدمات آنها متکی هستند.
در حالی که زبان نهایی تغییرات قانون SEC پیشنهادی هنوز عمومی نشده است، زبان پیشنهادی را می توان پیدا کرد اینجا کلیک نمایید.