درک قوانین پیشنهادی SEC از طریق لنز ESG

ملاحظات زیست‌محیطی، اجتماعی و حاکمیتی (ESG) در مورد گزارش‌های انطباق برای شرکت‌های خدمات مالی به ندرت موضوعات جدیدی هستند، اما تأثیر نقض امنیت سایبری بر مؤلفه حاکمیت به زودی برای سازمان‌های مالی و غیر مالی به طور یکسان نمایان خواهد شد. . تهدیدات سایبری چه در مورد مسائل مربوط به حریم خصوصی، زیان های مالی باج افزار یا تداوم کسب و کار از منظر حاکمیتی، بحث های ESG را در خط مقدم جلسات هیئت مدیره و بحث های C-suite در سراسر جهان قرار می دهد.

تغییرات گزارش دهی که شرکت های آمریکایی با آن روبرو هستند به دلیل اخیر می تواند به طور قابل توجهی گسترش یابد اصلاح قوانین گری جنسلر، رئیس کمیسیون بورس و اوراق بهادار. الزامات گزارشگری حاکمیت امنیت سایبری مشابه مواردی که برای حسابرسی و گزارشگری مالی در قانون Sarbanes-Oxley در سال 2002 (SOX) یافت می‌شود، جزء کلیدی مقررات جدید خواهد بود.

الزامات حاکمیت SOX بر کمک به محافظت از سرمایه‌گذاران در برابر گزارش‌های مالی تقلبی توسط شرکت‌ها تمرکز دارد، در حالی که حاکمیت امنیت سایبری برای بهبود گزارش‌دهی در مورد نقض‌های سایبری جدید و گذشته طراحی شده است. سیاست‌ها و رویه‌های حاکمیت شرکتی، ریسک و انطباق (GRC) برای رسیدگی به این قوانین کافی نخواهد بود.

آلا والنته، تحلیلگر ارشد در Forrester، اصلاحات پیشنهادی SEC را به عنوان "Sarbanes-Oxley light" توصیف می کند. قوانین پیشنهادی بیان می کند که شرکت ها باید گزارش دهند ماده او خاطرنشان می کند که حوادث امنیت سایبری ظرف چهار روز پس از شناسایی. مشکل این است که «مواد» تعریف نشده است و بر اساس صنعت متفاوت است، بنابراین شرکت‌ها وقتی ساعت شروع به گزارش رویدادها می‌کند حدس می‌زنند. او می‌گوید که این می‌تواند منجر به گزارش بیش از حد و گزارش‌دهی کم در مورد حوادث سایبری شود.

فشار، اقدامات امنیت سایبری را تحریک می کند

Valente خاطرنشان می کند که رعایت قوانین پیشنهادی همچنین می تواند تأثیر مستقیمی بر توانایی شرکت برای دریافت بیمه سایبری داشته باشد. با وجود جریان هرج و مرج در بازار بیمه سایبری که باعث افزایش قیمت ها و کاهش پوشش می شود در حالی که بیمه گران سایبری موجودی را کاهش می دهند، این تغییرات قوانین به طور بالقوه می تواند فشار بیشتری را بر شرکت ها برای اجرای کنترل های امنیت سایبری افزایش دهد که در غیر این صورت ممکن بود در حال حاضر اعمال نمی کردند. همچنین به اطلاعات بسیار بیشتری در مورد نقض های گذشته و نحوه مدیریت و کاهش آنها نیاز دارد.

جیسون هیکس، CISO در شرکت مشاوره امنیت سایبری Coalfire می‌گوید: «نقش جدید مدیریت در گزارش‌دهی و حاکمیت سایبری، و مسئولیت جدید هیئت‌مدیره برای روشن کردن تخصص و نظارت آن‌ها، باعث بررسی بیشتر برنامه‌های امنیتی شرکت خواهد شد.

او ادامه می دهد: «این CISO را روی صندلی داغ قرار می دهد. همچنین احتمالاً هیئت‌ها را وادار می‌کند تا مدیرانی با تجربه امنیت سایبری را به تیم خود اضافه کنند. با توجه به تعداد کمی از افراد واجد شرایط موجود، من همچنین می‌توانم ببینم که هیئت‌هایی مشاوران خود را برای مشاوره در مورد خطرات امنیت سایبری و کفایت برنامه امنیتی شرکت استخدام می‌کنند.

هیکس می افزاید: «همه این زمینه ها باید در بخش حاکمیتی رویکرد ESG شما لحاظ شوند. مدیریت در حال حاضر مسئولیت مدیریت ریسک امنیت سایبری را بر عهده دارد، بنابراین این یک طبقه کاملاً جدید از مسئولیت ایجاد نمی کند، اگرچه تغییرات زیادی در بار و پیچیدگی ایجاد می کند.

فراملیتی ها ابتکار عمل کنند

هیکس خاطرنشان می کند که نحوه نگرش سازمان ها به شفافیت و هنجارهای فرهنگی محیط های عملیاتی یک شرکت می تواند در نحوه واکنش آنها نقش داشته باشد. شرکت‌های چندملیتی باید رویکرد خود را با توجه به رویکردهای مختلف در سطح جهانی متعادل کنند.

والنته موافق است. اروپایی‌ها نسبت به شرکت‌های آمریکایی در دفاع در برابر نقض داده‌ها فعال‌تر هستند. تغییر قوانین می‌تواند سازمان‌های داخلی را وادار کند که فعال‌تر عمل کنند، به‌ویژه وقتی صحبت از مدیریت ریسک شخص ثالث، یک کنترل امنیتی کلیدی است.

هنگامی که این نهایی شود، ما شاهد تلاشی برای فعال بودن خواهیم بود. برخی [سازمان‌ها] از قانون پیروی می‌کنند و ممکن است در کوتاه‌مدت موفق باشند، اما در حد اندکی.» والنته می‌گوید. «دیگران از روح قانون پیروی می‌کنند و از آن به‌عنوان وسیله‌ای برای بهبود، تنوع بخشیدن و تبدیل کردن مدیریت ریسک فعال [شخص ثالث] به بخشی از آنچه که هستند، استفاده می‌کنند. این در DNA شرکت آنها ریشه دوانده است. این سازمان‌هایی هستند که واقعاً از این راه پیشرفت خواهند کرد.»

شرکت ها می توانند شروع به کار کنند

استیون یادگاری، مدیر عامل شرکت مشاوره سرمایه گذاری FiSolve و مشاور عمومی سابق در شرکت حقوقی کرامر روزنتال مک گلین، می گوید اعضای هیئت مدیره به دنبال گزارش های خاص در مورد امنیت سایبری خواهند بود. این شامل گزارش‌های فصلی متمرکز بر امنیت سایبری و جلسات با افرادی است که مسئول نظارت بر این منطقه هستند، مانند CISO که این تلاش را رهبری می‌کنند.

«قوانین جدید مستلزم ارزیابی رسمی ریسک، کنترل‌های خاص، اقدامات نظارتی و سیستم گزارش‌دهی حوادث است. تا جایی که برخی از این زمینه ها در برنامه های موجود مورد توجه قرار نگرفته اند، هیئت ها می خواهند بفهمند که مدیران چگونه می خواهند از این الزامات بالقوه پیروی کنند. یادگاری می‌گوید: «این صحبت‌ها باید در جریان باشد و منتظر تصویب قوانین جدید نباشیم.»

او خاطرنشان می کند که امروزه بسیاری از شرکت ها با دقت بیشتری فروشندگان خود را مدیریت می کنند و بر سیاست ها و رویه های آنها نظارت می کنند. این امر به ویژه در مورد ارائه دهندگان خدمات شخص ثالث و تامین کنندگانی که ممکن است با اطلاعات حساس یک شرکت در تماس باشند، صادق است.

یادگاری می‌گوید: «این شرکت‌ها را موظف می‌داند تا اطمینان حاصل کنند که یک برنامه امنیت سایبری قوی و برنامه مدیریت ریسک شخص ثالث (TPRM) دارند، که به نوبه خود باعث ایجاد راحتی برای شرکت‌هایی می‌شود که به خدمات آنها متکی هستند.

در حالی که زبان نهایی تغییرات قانون SEC پیشنهادی هنوز عمومی نشده است، زبان پیشنهادی را می توان پیدا کرد اینجا کلیک نمایید.