การพิจารณาด้านสิ่งแวดล้อม สังคม และธรรมาภิบาล (ESG) แทบจะไม่เป็นหัวข้อใหม่เมื่อพูดถึงการรายงานการปฏิบัติตามข้อกำหนดสำหรับบริษัทที่ให้บริการทางการเงิน แต่ผลกระทบของการละเมิดความปลอดภัยทางไซเบอร์ต่อองค์ประกอบการกำกับดูแลในเร็วๆ นี้ จะทำให้องค์กรทางการเงินและองค์กรนอกภาคการเงินได้รับความนิยมมากขึ้น . ไม่ว่าจะจัดการกับปัญหาความเป็นส่วนตัว การสูญเสียทางการเงินของแรนซัมแวร์ หรือความต่อเนื่องทางธุรกิจจากมุมมองของการกำกับดูแล ภัยคุกคามทางไซเบอร์กำลังทำให้การอภิปราย ESG อยู่ในระดับแนวหน้าของการประชุมคณะกรรมการและการอภิปราย C-suite ทั่วโลก
การเปลี่ยนแปลงการรายงานที่บริษัทในสหรัฐอเมริกาเผชิญอาจขยายตัวได้อย่างมากเนื่องจากล่าสุด การแก้ไขกฎ จาก Gary Gensler ประธานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ ข้อกำหนดในการรายงานการกำกับดูแลความปลอดภัยทางไซเบอร์คล้ายกับข้อกำหนดสำหรับการตรวจสอบและการรายงานทางการเงินที่พบในกฎหมาย Sarbanes-Oxley Act of 2002 (SOX) จะเป็นองค์ประกอบสำคัญของข้อบังคับใหม่
ข้อกำหนดด้านการกำกับดูแล SOX มุ่งเน้นไปที่การช่วยปกป้องนักลงทุนจากการรายงานทางการเงินที่เป็นการฉ้อโกงโดยองค์กรต่างๆ ในขณะที่การกำกับดูแลความปลอดภัยทางไซเบอร์ได้รับการออกแบบมาเพื่อปรับปรุงการรายงานเกี่ยวกับการละเมิดทางไซเบอร์ทั้งในอดีตและใหม่ นโยบายและขั้นตอนการปฏิบัติตามหลักบรรษัทภิบาล ความเสี่ยง และการปฏิบัติตาม (GRC) ที่มีอยู่จะไม่เพียงพอที่จะจัดการกับกฎเหล่านี้
Alla Valente นักวิเคราะห์อาวุโสของ Forrester อธิบายลักษณะการแก้ไขข้อบังคับของ SEC ที่เสนอเป็น "ไฟ Sarbanes-Oxley" กฎที่เสนอระบุว่าบริษัทจำเป็นต้องรายงาน วัสดุ เหตุการณ์ด้านความปลอดภัยทางไซเบอร์ภายในสี่วันหลังจากระบุตัวตน เธอตั้งข้อสังเกต ปัญหาคือไม่มีการกำหนด "วัสดุ" และแตกต่างกันไปตามอุตสาหกรรม ดังนั้นบริษัทต่างๆ จึงเหลือการคาดเดาเมื่อนาฬิกาเริ่มรายงานเหตุการณ์ ซึ่งอาจนำไปสู่ทั้งการรายงานเกินและการรายงานเหตุการณ์ในโลกไซเบอร์ที่เธอกล่าว
มาตรการความปลอดภัยทางไซเบอร์ขับเคลื่อนด้วยแรงดัน
การปฏิบัติตามกฎที่เสนออาจมีผลกระทบโดยตรงต่อความสามารถขององค์กรในการได้รับการประกันทางไซเบอร์ Valente กล่าว ทั้งที่ปัจจุบัน ความวุ่นวายในตลาดประกันภัยไซเบอร์ ที่ผลักดันราคาให้สูงขึ้นและความครอบคลุมลดลงในขณะที่บริษัทประกันในโลกไซเบอร์ลดสินค้าคงคลัง การเปลี่ยนแปลงกฎเหล่านี้อาจเพิ่มแรงกดดันให้บริษัทต่างๆ ดำเนินการควบคุมความปลอดภัยทางไซเบอร์ที่พวกเขาอาจไม่ได้กำหนดไว้ในขณะนี้ นอกจากนี้ยังต้องการข้อมูลเพิ่มเติมเกี่ยวกับการละเมิดในอดีตและวิธีการจัดการและบรรเทา
“บทบาทใหม่ของฝ่ายบริหารในการรายงานและการกำกับดูแลในโลกไซเบอร์ และความรับผิดชอบใหม่ของคณะกรรมการในการให้ความกระจ่างเกี่ยวกับความเชี่ยวชาญและการกำกับดูแลของพวกเขา จะผลักดันให้มีการตรวจสอบเพิ่มเติมเกี่ยวกับโปรแกรมการรักษาความปลอดภัยขององค์กร” Jason Hicks ภาคสนาม CISO ของบริษัทที่ปรึกษาด้านความปลอดภัยทางไซเบอร์ Coalfire กล่าว
“สิ่งนี้ทำให้ CISO อยู่ในที่นั่งที่ร้อนแรง” เขากล่าวต่อ “นอกจากนี้ยังมีแนวโน้มที่จะขับเคลื่อนบอร์ดเพื่อพยายามเพิ่มผู้บริหารที่มีประสบการณ์การรักษาความปลอดภัยทางไซเบอร์ให้กับทีมของพวกเขา เนื่องจากมีคนที่มีคุณสมบัติจำนวนไม่มาก ฉันจึงเห็นคณะกรรมการจ้างที่ปรึกษาของตนเองเพื่อให้คำแนะนำเกี่ยวกับความเสี่ยงด้านความปลอดภัยทางไซเบอร์และความเพียงพอของโปรแกรมรักษาความปลอดภัยของบริษัท
“พื้นที่ทั้งหมดเหล่านี้จะต้องนำมาพิจารณาในส่วนการกำกับดูแลของแนวทาง ESG ของคุณ” ฮิกส์กล่าวเสริม “ฝ่ายบริหารมีหน้าที่รับผิดชอบในการจัดการความเสี่ยงด้านความปลอดภัยในโลกไซเบอร์อยู่แล้ว ดังนั้นสิ่งนี้จึงไม่ได้สร้างความรับผิดชอบประเภทใหม่ทั้งหมด แม้ว่าจะทำการเปลี่ยนแปลงหลายอย่างต่อภาระและความซับซ้อน”
ข้ามชาติริเริ่ม
ฮิกส์ตั้งข้อสังเกตว่าวิธีที่องค์กรมองความโปร่งใสและบรรทัดฐานทางวัฒนธรรมของสภาพแวดล้อมการดำเนินงานของบริษัทสามารถส่งผลต่อการตอบสนองของพวกเขา “บริษัทข้ามชาติจำเป็นต้องสร้างสมดุลในแนวทางของตนด้วยแนวทางต่างๆ ทั่วโลก”
วาเลนเต้เห็นด้วย ชาวยุโรปมีแนวโน้มที่จะป้องกันข้อมูลรั่วไหลในเชิงรุกมากกว่าบริษัทอเมริกัน การเปลี่ยนแปลงกฎเกณฑ์อาจบังคับให้องค์กรในประเทศต้องดำเนินการในเชิงรุกมากขึ้น โดยเฉพาะอย่างยิ่งเมื่อพูดถึงการจัดการความเสี่ยงของบุคคลที่สาม ซึ่งเป็นการควบคุมความปลอดภัยที่สำคัญ
“เมื่อสิ่งนี้กลายเป็นที่สิ้นสุด เราจะเห็นความพยายามในเชิงรุก [องค์กร] บางแห่งจะปฏิบัติตามกฎหมายและอาจประสบความสำเร็จในระยะสั้น แต่เพียงเล็กน้อย” Valente กล่าว “คนอื่นๆ จะปฏิบัติตามเจตนารมณ์ของกฎหมายและใช้เป็นแนวทางในการปรับปรุง กระจายความเสี่ยง และทำให้การบริหารความเสี่ยงเชิงรุก [บุคคลที่สาม] เป็นส่วนหนึ่งของตัวตนของพวกเขา มันจะฝังแน่นใน DNA ขององค์กร นั่นคือองค์กรที่จะเติบโตจากสิ่งนี้จริงๆ”
บริษัทสามารถเริ่มต้นได้
Steven Yadegari ซีอีโอของบริษัทที่ปรึกษาการลงทุน FiSolve และอดีตที่ปรึกษาทั่วไปของสำนักงานกฎหมาย Cramer Rosenthal McGlynn กล่าวว่าสมาชิกคณะกรรมการจะมองหาการรายงานเฉพาะเกี่ยวกับความปลอดภัยทางไซเบอร์ ซึ่งจะรวมถึงรายงานรายไตรมาสที่เน้นเรื่องความปลอดภัยทางไซเบอร์และการประชุมกับบุคคลที่มีหน้าที่กำกับดูแลพื้นที่ เช่น CISO ซึ่งเป็นผู้นำความพยายาม
“กฎใหม่จะต้องมีการประเมินความเสี่ยงอย่างเป็นทางการ การควบคุมเฉพาะ มาตรการติดตาม และระบบการรายงานเหตุการณ์ ในขอบเขตที่บางส่วนของพื้นที่เหล่านี้ไม่ได้ระบุไว้ในโปรแกรมที่มีอยู่ คณะกรรมการจะต้องการทำความเข้าใจว่าผู้จัดการตั้งใจที่จะปฏิบัติตามข้อกำหนดที่อาจเกิดขึ้นเหล่านี้อย่างไร การสนทนาเหล่านั้นควรดำเนินไปและไม่ควรรอให้มีการนำกฎใหม่มาใช้” ยาเดการิกล่าว
บริษัทหลายแห่งในปัจจุบันมีการจัดการผู้ขายอย่างระมัดระวังมากขึ้น และดูแลนโยบายและขั้นตอนของพวกเขา โดยเฉพาะอย่างยิ่งกับผู้ให้บริการบุคคลที่สามและซัพพลายเออร์ที่อาจติดต่อกับข้อมูลที่ละเอียดอ่อนขององค์กร
Yadegari กล่าวว่า "บริษัทต่างๆ ต้องทำให้แน่ใจว่าพวกเขามีโปรแกรมความปลอดภัยทางไซเบอร์ที่แข็งแกร่งและโปรแกรมการจัดการความเสี่ยงของบุคคลที่สาม (TPRM) ซึ่งจะมอบความสะดวกสบายให้กับบริษัทต่างๆ ที่พึ่งพาบริการของพวกเขา
ในขณะที่ภาษาสุดท้ายของการเปลี่ยนแปลงกฎ ก.ล.ต. ที่เสนอยังไม่ได้เปิดเผยต่อสาธารณะ แต่สามารถค้นหาภาษาที่เสนอได้ โปรดคลิกที่นี่เพื่ออ่านรายละเอียดเพิ่มเติม.
- blockchain
- กระเป๋าสตางค์ cryptocurrency
- การแลกเปลี่ยนการเข้ารหัสลับ
- การรักษาความปลอดภัยในโลกไซเบอร์
- อาชญากรไซเบอร์
- cybersecurity
- การอ่านที่มืด
- กรมความมั่นคงภายในประเทศ
- กระเป๋าสตางค์ดิจิตอล
- ไฟร์วอลล์
- Kaspersky
- มัลแวร์
- แมคคาฟี
- เน็กซ์บล๊อก
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- เกมเพลโต
- เพลโตดาต้า
- เพลโตเกม
- VPN
- ความปลอดภัยของเว็บไซต์
