ईएसजी लेंस के माध्यम से प्रस्तावित एसईसी नियमों को समझना

समय टिकट: 22 जुलाई, 2022 6:54 अपराह्न
स्रोत नोड: 1588488

जब वित्तीय सेवा फर्मों के लिए अनुपालन रिपोर्टिंग की बात आती है तो पर्यावरण, सामाजिक और शासन (ईएसजी) के विचार शायद ही नए विषय होते हैं, लेकिन शासन घटक पर साइबर सुरक्षा उल्लंघनों का प्रभाव जल्द ही वित्तीय और गैर-वित्तीय संगठनों के लिए बहुत अधिक प्रोफ़ाइल प्राप्त करेगा। . चाहे गोपनीयता के मुद्दों को संबोधित करना, रैंसमवेयर के वित्तीय नुकसान, या एक शासन के दृष्टिकोण से व्यापार निरंतरता, साइबर खतरे ईएसजी चर्चाओं को बोर्ड की बैठकों और सी-सूट चर्चाओं में दुनिया भर में सबसे आगे रख रहे हैं।

रिपोर्टिंग परिवर्तन अमेरिकी कंपनियों का सामना हाल ही के कारण महत्वपूर्ण रूप से हो सकता है नियम संशोधन प्रतिभूति और विनिमय आयोग के अध्यक्ष गैरी जेन्सलर से। 2002 के Sarbanes-Oxley Act (SOX) में पाए गए ऑडिटिंग और वित्तीय रिपोर्टिंग के लिए साइबर सुरक्षा प्रशासन रिपोर्टिंग आवश्यकताओं के समान नए नियमों का एक प्रमुख घटक होगा।

SOX शासन की आवश्यकताएं निवेशकों को निगमों द्वारा धोखाधड़ी वाली वित्तीय रिपोर्टिंग से बचाने में मदद करने पर ध्यान केंद्रित करती हैं, जबकि साइबर सुरक्षा शासन को नए और पिछले साइबर उल्लंघनों पर रिपोर्टिंग में सुधार करने के लिए डिज़ाइन किया गया है। मौजूदा कॉर्पोरेट प्रशासन, जोखिम और अनुपालन (जीआरसी) नीतियां और प्रक्रियाएं इन नियमों को संबोधित करने के लिए पर्याप्त नहीं होंगी।

फॉरेस्टर के एक वरिष्ठ विश्लेषक अल्ला वैलेंटे, प्रस्तावित एसईसी विनियमन संशोधनों को "सर्बेन्स-ऑक्सले लाइट" के रूप में वर्णित करते हैं। प्रस्तावित नियम बताते हैं कि कंपनियों को रिपोर्ट करने की जरूरत है सामग्री पहचान के चार दिनों के भीतर साइबर सुरक्षा की घटनाएं, वह नोट करती हैं। समस्या यह है कि "सामग्री" परिभाषित नहीं है और उद्योग द्वारा भिन्न होती है, इसलिए कंपनियां अनुमान लगाती हैं कि घड़ी कब घटनाओं की रिपोर्ट करना शुरू करती है। वह कहती हैं कि इससे साइबर घटनाओं की ओवर-रिपोर्टिंग और अंडर-रिपोर्टिंग दोनों हो सकती हैं।

दबाव साइबर सुरक्षा उपायों को बढ़ाता है

प्रस्तावित नियमों का पालन करने से किसी उद्यम की साइबर बीमा, वैलेंटे नोट्स प्राप्त करने की क्षमता पर सीधा प्रभाव पड़ सकता है। वर्तमान के बावजूद साइबर बीमा बाजार में अफरातफरी जो कीमतों को बढ़ा रहा है और कवरेज को कम कर रहा है, जबकि साइबर बीमाकर्ता इन्वेंट्री को कम करते हैं, ये नियम संभावित रूप से साइबर सुरक्षा नियंत्रणों को लागू करने के लिए कंपनियों पर दबाव बढ़ा सकते हैं जो उन्होंने इस समय स्थापित नहीं किए होंगे। इसके लिए पिछले उल्लंघनों और उन्हें कैसे प्रबंधित और कम किया जा रहा है, इस बारे में अधिक जानकारी की आवश्यकता होगी।

"रिपोर्टिंग और साइबर गवर्नेंस में प्रबंधन की नई भूमिका, और बोर्ड की उनकी विशेषज्ञता और निरीक्षण पर प्रकाश डालने की नई जिम्मेदारी, उद्यम सुरक्षा कार्यक्रमों पर अतिरिक्त जांच करेगी," साइबर सुरक्षा परामर्श फर्म कोलफायर में सीआईएसओ क्षेत्र के जेसन हिक्स कहते हैं।

"यह CISO को हॉट सीट पर रखता है," वह जारी है। "यह बोर्ड को साइबर सुरक्षा अनुभव वाले अधिकारियों को अपनी टीम में जोड़ने और जोड़ने की भी संभावना है। उपलब्ध योग्य लोगों की कम संख्या को देखते हुए, मैं साइबर सुरक्षा जोखिम और कंपनी के सुरक्षा कार्यक्रम की पर्याप्तता पर सलाह देने के लिए अपने स्वयं के सलाहकारों को काम पर रखने वाले बोर्ड भी देख सकता था।

"इन सभी क्षेत्रों को आपके ईएसजी दृष्टिकोण के शासन भाग में शामिल करने की आवश्यकता होगी," हिक्स कहते हैं। "साइबर सुरक्षा जोखिम के प्रबंधन के लिए प्रबंधन पहले से ही जिम्मेदार है, इसलिए यह पूरी तरह से जिम्मेदारी का एक नया वर्ग नहीं बना रहा है, हालांकि यह बोझ और जटिलता में कई बदलाव कर रहा है।"

अंतर्राष्ट्रीय लोग पहल करें

हिक्स ने नोट किया कि जिस तरह से संगठन पारदर्शिता देखते हैं और कंपनी के ऑपरेटिंग वातावरण के सांस्कृतिक मानदंड वे कैसे प्रतिक्रिया दे सकते हैं। "बहुराष्ट्रीय कंपनियों को विश्व स्तर पर विभिन्न दृष्टिकोणों को देखते हुए अपने दृष्टिकोण को संतुलित करने की आवश्यकता है।"

वैलेंटे सहमत हैं। अमेरिकी कंपनियों की तुलना में यूरोपीय लोग डेटा उल्लंघनों से बचाव में अधिक सक्रिय होते हैं। नियम परिवर्तन घरेलू संगठनों को अधिक सक्रिय होने के लिए मजबूर कर सकता है, खासकर जब यह तीसरे पक्ष के जोखिम प्रबंधन की बात आती है, जो एक प्रमुख सुरक्षा नियंत्रण है।

"एक बार यह अंतिम हो जाने के बाद, हम सक्रिय होने का प्रयास देखेंगे। कुछ [संगठन] कानून के पत्र का पालन करेंगे, और अल्पावधि में सफल हो सकते हैं, लेकिन मामूली रूप से," वैलेंटे कहते हैं। "अन्य लोग कानून की भावना का पालन करेंगे और इसका उपयोग सुधार, विविधता लाने और उस सक्रिय [तृतीय-पक्ष] जोखिम प्रबंधन का हिस्सा बनाने के लिए करेंगे कि वे कौन हैं। यह उनके कॉरपोरेट डीएनए में समा जाएगा। वे संगठन हैं जो वास्तव में इससे पनपने वाले हैं। ”

कंपनियां शुरू कर सकती हैं

निवेश परामर्श फर्म FiSolve के सीईओ और कानूनी फर्म क्रैमर रोसेन्थल मैकग्लिन के पूर्व जनरल काउंसल स्टीवन येडेगरी का कहना है कि बोर्ड के सदस्य साइबर सुरक्षा पर विशिष्ट रिपोर्टिंग की तलाश करेंगे। इसमें साइबर सुरक्षा पर केंद्रित त्रैमासिक रिपोर्ट और क्षेत्र की निगरानी के लिए आरोपित व्यक्तियों के साथ बैठकें शामिल होंगी, जैसे कि CISO, इस प्रयास का नेतृत्व कर रहा है।

"नए नियमों के लिए औपचारिक जोखिम मूल्यांकन, विशिष्ट नियंत्रण, निगरानी उपायों और घटनाओं की एक रिपोर्टिंग प्रणाली की आवश्यकता होगी। मौजूदा कार्यक्रमों में इनमें से कुछ क्षेत्रों को संबोधित नहीं किया गया है, बोर्ड यह समझना चाहेंगे कि प्रबंधक इन संभावित आवश्यकताओं का अनुपालन कैसे करना चाहते हैं। वे बातचीत चल रही होनी चाहिए और नए नियमों को अपनाने की प्रतीक्षा नहीं करनी चाहिए, ”यादगरी कहते हैं।

कई कंपनियां आज अपने विक्रेताओं को अधिक सावधानी से प्रबंधित कर रही हैं और उनकी नीतियों और प्रक्रियाओं की देखरेख कर रही हैं, उन्होंने नोट किया। यह तृतीय-पक्ष सेवा प्रदाताओं और आपूर्तिकर्ताओं के लिए विशेष रूप से सच है जिनका किसी उद्यम की संवेदनशील जानकारी के साथ संपर्क हो सकता है।

यादगरी कहते हैं, "यह सुनिश्चित करने के लिए कंपनियों का व्यवहार है कि उनके पास एक मजबूत साइबर सुरक्षा कार्यक्रम और तीसरे पक्ष के जोखिम प्रबंधन (टीपीआरएम) कार्यक्रम है, जो बदले में उन कंपनियों को आराम प्रदान करेगा जो उनकी सेवाओं पर भरोसा करते हैं।"

जबकि प्रस्तावित एसईसी नियम परिवर्तनों की अंतिम भाषा को सार्वजनिक किया जाना बाकी है, प्रस्तावित भाषा मिल सकती है यहाँ उत्पन्न करें.

समय टिकट:

से अधिक डार्क रीडिंग