جب مالیاتی خدمات کی فرموں کی تعمیل رپورٹنگ کی بات آتی ہے تو ماحولیاتی، سماجی اور گورننس (ESG) کے تحفظات شاید ہی نئے موضوعات ہوتے ہیں، لیکن گورننس کے جزو پر سائبرسیکیوریٹی کی خلاف ورزیوں کے اثرات جلد ہی مالیاتی اور غیر مالیاتی تنظیموں کے لیے یکساں طور پر بہت زیادہ بڑھ جائیں گے۔ . چاہے رازداری کے مسائل کو حل کرنا ہو، رینسم ویئر کے مالی نقصانات، یا حکمرانی کے نقطہ نظر سے کاروباری تسلسل، سائبر خطرات ESG کے مباحثوں کو پوری دنیا میں بورڈ میٹنگز اور C-suite مباحثوں میں سب سے آگے رکھتے ہیں۔
رپورٹنگ تبدیلیاں جو امریکی کمپنیوں کو درپیش ہیں حالیہ کی وجہ سے نمایاں طور پر پھیل سکتی ہیں۔ قواعد میں ترمیم سیکیورٹیز اینڈ ایکسچینج کمیشن کے چیئرمین گیری گینسلر سے۔ سائبرسیکیوریٹی گورننس رپورٹنگ کے تقاضے اسی طرح کے آڈیٹنگ اور مالیاتی رپورٹنگ کے لیے جو Sarbanes-Oxley Act of 2002 (SOX) میں پائے گئے ہیں، نئے ضوابط کا کلیدی جزو ہوں گے۔
SOX گورننس کے تقاضے سرمایہ کاروں کو کارپوریشنز کی جانب سے دھوکہ دہی کی مالی رپورٹنگ سے بچانے میں مدد کرنے پر توجہ مرکوز کرتے ہیں، جبکہ سائبر سیکیورٹی گورننس کو نئی اور ماضی کی سائبر خلاف ورزیوں کی رپورٹنگ کو بہتر بنانے کے لیے ڈیزائن کیا گیا ہے۔ موجودہ کارپوریٹ گورننس، رسک، اینڈ کمپلائنس (GRC) کی پالیسیاں اور طریقہ کار ان قوانین کو حل کرنے کے لیے کافی نہیں ہوں گے۔
Forrester کے ایک سینئر تجزیہ کار، Alla Valente نے SEC کے مجوزہ ضوابط میں ترمیم کو "Sarbanes-Oxley light" کے طور پر بیان کیا ہے۔ مجوزہ قوانین میں کہا گیا ہے کہ کمپنیوں کو رپورٹ کرنے کی ضرورت ہے۔ مواد شناخت کے چار دن کے اندر سائبر سیکیورٹی کے واقعات، وہ نوٹ کرتی ہیں۔ مسئلہ یہ ہے کہ "مادی" کی تعریف نہیں کی گئی ہے اور صنعت کے لحاظ سے مختلف ہوتی ہے، لہذا کمپنیاں اندازہ لگانا چھوڑ دیتی ہیں کہ گھڑی کب واقعات کی اطلاع دینا شروع کر دیتی ہے۔ وہ کہتی ہیں کہ یہ سائبر واقعات کی زیادہ رپورٹنگ اور کم رپورٹنگ دونوں کا باعث بن سکتا ہے۔
دباؤ سائبرسیکیوریٹی کے اقدامات کو چلاتا ہے۔
ویلنٹ نوٹ کرتے ہیں کہ مجوزہ قوانین کی تعمیل کرنے سے سائبر انشورنس حاصل کرنے کی انٹرپرائز کی صلاحیت پر بھی براہ راست اثر پڑ سکتا ہے۔ کرنٹ کے باوجود سائبر انشورنس مارکیٹ میں افراتفری جس سے قیمتیں بڑھ رہی ہیں اور کوریج کم ہو رہی ہے جبکہ سائبر انشورنس کمپنیاں انوینٹری کو کم کرتی ہیں، یہ قاعدہ تبدیلیاں ممکنہ طور پر کمپنیوں پر سائبر سیکیورٹی کنٹرولز کو نافذ کرنے کے لیے دباؤ میں مزید اضافہ کر سکتی ہیں جو بصورت دیگر انہوں نے اس وقت قائم نہیں کیے ہوں گے۔ اسے ماضی کی خلاف ورزیوں اور ان کا انتظام اور تخفیف کیسے کیا جا رہا ہے اس کے بارے میں مزید معلومات کی ضرورت ہوگی۔
سائبر سیکیورٹی کنسلٹنگ فرم کول فائر میں فیلڈ CISO، جیسن ہکس کہتے ہیں، "رپورٹنگ اور سائبر گورننس میں مینجمنٹ کا نیا کردار، اور بورڈز کی اپنی مہارت اور نگرانی پر روشنی ڈالنے کی نئی ذمہ داری، انٹرپرائز سیکیورٹی پروگراموں پر اضافی جانچ پڑتال کرے گی۔"
"یہ CISO کو ہاٹ سیٹ پر رکھتا ہے،" وہ جاری رکھتا ہے۔ "یہ بھی امکان ہے کہ سائبرسیکیوریٹی کا تجربہ رکھنے والے ایگزیکٹوز کو اپنی ٹیم میں شامل کرنے کے لیے بورڈز چلائے۔ دستیاب اہل افراد کی قلیل تعداد کو دیکھتے ہوئے، میں بورڈز کو اپنے کنسلٹنٹس کی خدمات حاصل کرتے ہوئے بھی دیکھ سکتا ہوں تاکہ انہیں سائبر سیکیورٹی کے خطرے اور کمپنی کے سیکیورٹی پروگرام کی مناسبیت کے بارے میں مشورہ دیا جا سکے۔
"ان تمام شعبوں کو آپ کے ESG اپروچ کے گورننس حصے میں شامل کرنے کی ضرورت ہوگی،" ہکس نے مزید کہا۔ "سائبرسیکیوریٹی کے خطرے کو سنبھالنے کے لیے انتظامیہ پہلے سے ہی ذمہ دار ہے، اس لیے یہ ذمہ داری کا مکمل طور پر نیا طبقہ نہیں بنا رہا ہے، حالانکہ یہ بوجھ اور پیچیدگی میں کئی تبدیلیاں کر رہا ہے۔"
بین الاقوامی ادارے پہل کرتے ہیں۔
ہکس نوٹ کرتے ہیں کہ جس طرح سے تنظیمیں شفافیت کو دیکھتی ہیں اور کمپنی کے آپریٹنگ ماحول کے ثقافتی اصول اس بات میں کردار ادا کر سکتے ہیں کہ وہ کیسے جواب دیتے ہیں۔ "عالمی سطح پر مختلف طریقوں کو دیکھتے ہوئے کثیر القومی اداروں کو اپنے نقطہ نظر میں توازن پیدا کرنے کی ضرورت ہے۔"
ویلنٹ اتفاق کرتا ہے۔ یوروپی لوگ امریکی کمپنیوں کے مقابلے ڈیٹا کی خلاف ورزیوں کے خلاف دفاع میں زیادہ متحرک ہوتے ہیں۔ قوانین میں تبدیلی گھریلو تنظیموں کو زیادہ فعال ہونے پر مجبور کر سکتی ہے، خاص طور پر جب بات تیسرے فریق کے رسک مینجمنٹ کی ہو، جو ایک اہم سیکیورٹی کنٹرول ہے۔
"ایک بار جب یہ حتمی ہو جائے گا، ہم فعال ہونے کی کوشش دیکھیں گے۔ کچھ [تنظیمیں] قانون کے خط پر عمل کریں گی، اور مختصر مدت میں کامیاب ہو سکتی ہیں، لیکن معمولی طور پر،" ویلنٹ کہتے ہیں۔ "دوسرے قانون کی روح کی پیروی کریں گے اور اسے بہتر بنانے، متنوع بنانے اور اس کو فعال [تیسرے فریق] کے خطرے کے انتظام کا حصہ بنانے کے لیے استعمال کریں گے۔ یہ ان کے کارپوریٹ ڈی این اے میں جڑا ہو گا۔ یہ وہ تنظیمیں ہیں جو واقعی اس سے پروان چڑھنے والی ہیں۔"
کمپنیاں شروع کر سکتی ہیں۔
سرمایہ کاری سے متعلق مشاورتی فرم FiSolve کے سی ای او اور لاء فرم Cramer Rosenthal McGlynn کے سابق جنرل کونسلر Steven Yadegari کا کہنا ہے کہ بورڈ کے اراکین سائبر سیکیورٹی پر مخصوص رپورٹنگ تلاش کریں گے۔ اس میں سائبرسیکیوریٹی پر مرکوز سہ ماہی رپورٹس اور علاقے کی نگرانی کے ذمہ دار افراد سے ملاقاتیں شامل ہوں گی، جیسے کہ CISO، جو اس کوشش کی قیادت کر رہے ہیں۔
"نئے قواعد میں خطرے کے باضابطہ تشخیص، مخصوص کنٹرول، نگرانی کے اقدامات، اور واقعات کی رپورٹنگ کے نظام کی ضرورت ہوگی۔ اس حد تک کہ موجودہ پروگراموں میں ان میں سے کچھ شعبوں پر توجہ نہیں دی گئی ہے، بورڈ یہ سمجھنا چاہیں گے کہ مینیجرز ان ممکنہ تقاضوں کی تعمیل کس طرح کرنا چاہتے ہیں۔ یہ بات چیت جاری ہونی چاہیے اور نئے قواعد کو اپنانے کا انتظار نہیں کرنا چاہیے،‘‘ یادیگاری کہتے ہیں۔
وہ نوٹ کرتے ہیں کہ آج بہت سی کمپنیاں اپنے وینڈرز کا زیادہ احتیاط سے انتظام کر رہی ہیں اور ان کی پالیسیوں اور طریقہ کار کی نگرانی کر رہی ہیں۔ یہ خاص طور پر فریق ثالث کے خدمت فراہم کنندگان اور فراہم کنندگان کے بارے میں درست ہے جن کا انٹرپرائز کی حساس معلومات سے رابطہ ہو سکتا ہے۔
یادگاری کا کہنا ہے کہ "یہ کمپنیوں کو یہ یقینی بنانا ہے کہ ان کے پاس ایک مضبوط سائبر سیکیورٹی پروگرام اور تھرڈ پارٹی رسک مینجمنٹ (TPRM) پروگرام ہے، جو ان کمپنیوں کو سکون فراہم کرے گا جو اپنی خدمات پر انحصار کرتی ہیں،" یادیگاری کہتے ہیں۔
جبکہ مجوزہ SEC اصول کی تبدیلیوں کی حتمی زبان کو ابھی عام کیا جانا باقی ہے، مجوزہ زبان تلاش کی جا سکتی ہے۔ یہاں.
