القاعدة المقترحة بشأن حوكمة مخاطر الأمن السيبراني لها كل الألم مع عقوبات مالية أقل
زاد العامان الماضيان من مقدار الرقابة على الأمن السيبراني من حيث اللوائح والمبادئ التوجيهية.
تقدم “التوصيات” الطوعية مثل إرشادات المعهد الوطني للمعايير والتكنولوجيا للذكاء الاصطناعي نقطة انطلاق لاستخدام أكثر أمانًا للذكاء الاصطناعي، بينما يفرض البعض الآخر متطلبات، مثل الأمر التنفيذي للبيت الأبيض بشأن الأمن السيبراني.
لكن القاعدة التي لديها القدرة على التأثير في كيفية تعامل الشركات العامة ومجالسها مع المخاطر الإلكترونية هي القاعدة المقترحة من لجنة الأوراق المالية والبورصات الأمريكية (SEC) بشأن إدارة مخاطر الأمن السيبراني المقرر نشرها في أبريل 2023.
في هذه القاعدة المقترحة، تنص لجنة الأوراق المالية والبورصات بوضوح تام على أن المخاطر الإلكترونية هي مخاطر تجارية. ماذا يعني هذا بالنسبة لك؟ انتهى عصر الرقابة التنظيمية الاسمية!
تتداول لجنة الأوراق المالية والبورصات (SEC) أخيرًا التوصيات الخاصة بالمتطلبات
عند الانتهاء من هذه القاعدة، ستؤدي هذه القاعدة إلى إحداث تغيير هائل في الأمن السيبراني وشروط المخاطر، في كل شيء من مساءلة الشركات وهياكل إعداد التقارير إلى التقارير المالية، والتي لم نشهدها منذ مرور Sarbanes-Oxley (SOX) في عام 2002.
إذا كنت تعتقد أن امتثال SOX كان قاتلًا، فكن مستعدًا لمستوى مماثل من الألم، حيث تقول معظم مجالس الإدارة أن الإنترنت مهم ولكن لا توليه الاهتمام الذي يستحقه.
ينهي مطلب هيئة الأوراق المالية والبورصات (SEC) ممارسة التشدق بالأمن السيبراني. لا تنتهي أوجه التشابه عند هذا الحد.
يظهر كلا التنظيمين كنتيجة مباشرة لإخفاقات المحاولات السابقة للإرشاد والتوصيات لإحداث تغيير ذي مغزى.
في أوائل العقد الأول من القرن الحادي والعشرين، انتشرت إخفاقات الشركات مثل Enron و WorldCom سلط الضوء على أن شركات المحاسبة والمبادئ المحاسبية المقبولة عمومًا لم تكن كافية لردع الاحتيال المالي. ومن هنا ولد ساربينز وكسلي.
وبالمثل، فإن العناوين الرئيسية الأخيرة لانتهاكات الأمن السيبراني والإعلانات الغامضة، مثل من Equifax – والتغطية الكاملة، مثل ما جاء من Uber – كان لها تأثير كبير على المساهمين، وفقًا للجنة الأوراق المالية والبورصات.
لقد فشلت التوجيهات التفسيرية للجنة الأوراق المالية والبورصات حول إفصاحات الأمن السيبراني للشركات العامة، والتي تم تبنيها في عام 2018، فشلاً ذريعًا.
تعلمت لجنة الأوراق المالية والبورصات من نهجها السابق المتمثل في مجرد تقديم الاقتراحات وتصدر الآن تفويضًا.
تضيف العوامل الخارجية واللوائح المجاورة قدرًا كبيرًا من النفقات العامة
تحدث التغييرات اللغوية الصغيرة فرقًا كبيرًا عندما يتعلق الأمر بالامتثال. على سبيل المثال، طلبت التوجيهات التفسيرية لعام 2018 من الشركات أخذها في الاعتبار لأهمية النسبية والعوامل الأخرى عند “تقييم الحاجة إلى الكشف عن عوامل مخاطر الأمن السيبراني”.
تتطلب القاعدة المقترحة الإفصاح عن السياسات والإجراءات لتحديد وإدارة مخاطر الأمن السيبراني، وخبرة مجلس الإدارة في مجال الأمن السيبراني (إن وجدت)، والتحديثات المتعلقة بحوادث الأمن السيبراني التي تم الإبلاغ عنها مسبقًا.
سيتطلب ذلك إدارة تغيير كبيرة وخبرة إضافية في مجال الأمن السيبراني في مجالس الإدارة وهيكل حوكمة جديد لإدارة هذه الممارسات. لم يعد وجود “لجنة مراجعة” كافياً.
ستشمل الاستثمارات التكنولوجية أدوات جديدة مثل قياس المخاطر السيبرانية وقدرة أفضل على توثيق المناقشات حول الأمن السيبراني والمخاطر.
- يرتبط الأمن السيبراني الآن مباشرة بالأداء المالي. تنتهي أيام هياكل الحوكمة الضمنية بهذا النظام. يجب أن يصبح الحكم الصريح – والشفاف – هو القاعدة. تهدف اللغة الواردة في القاعدة المقترحة إلى إعلام المستثمرين بشكل أفضل حول إدارة المخاطر السيبرانية الخاصة بالمسجل واستراتيجيتها وحوكمتها وتقديم إخطار في الوقت المناسب بحوادث الأمن السيبراني المادية.
ما يجب فعله حيال ذلك: ضمان قياس المخاطر الإلكترونية عبر المؤسسة. أدوات قياس المخاطر السيبرانية موجودة بالفعل وتستمر في اكتساب قوة دفع، ولكنها تتطلب مستوى من المعرفة والخبرة الكمية غير موجود في فرق الأمن وهو نادر بين الشركات غير المالية.
سيتطلب هذا الموضوع تعليمًا كبيرًا للمجالس لفهم معنى الأرقام تمامًا وما هي القرارات التي يجب اتخاذها بناءً عليها – ولكي يفهم CISOs تمامًا الاستثمارات التي يجب القيام بها والإجراءات التي يجب اتخاذها.
- ستكون مجالس الإدارة مسؤولة بشكل مباشر عن الأمن السيبراني. استمرت مجالس الإدارة في تبني أن واجباتهم الائتمانية تشمل الأمن السيبراني بسبب ارتفاع تكاليف الخرق ولكن بشكل أساسي بسبب الخسائر المالية الناجمة عن تعطل الأعمال وبرامج الفدية. يأتي هذا في وقت تحصل فيه المسؤوليات الائتمانية لأعضاء مجلس الإدارة على إعادة تفسير قائمة على المخاطر من قبل المحاكم. في عام 2019، عندما مارشانا(صانعو بلو بيل للآيس كريم) رفع دعوى قضائية ضد مجلس إدارتها، وخلص القرار إلى أنه يجب على مجالس الإدارة “بذل جهد حسن النية لوضع نظام معقول للمراقبة والإبلاغ عن مخاطر الامتثال المركزية للشركة”. تم تأييد القرار في عام 2021 ضد مجلس إدارة شركة Boeing ، مما وضع سابقة قانونية لأعضاء مجلس الإدارة ليكونوا مسؤولين عن الأمور المتعلقة بالمخاطر والامتثال.
ما يجب فعله حيال ذلك: اجعل الإفصاح عن مخاطر الأمن السيبراني والتعليم أمرًا منتظمًا.
الآن، سيتعين على الشركات “الإفصاح بشكل دوري عن خبرة مجلس الإدارة في مجال الأمن السيبراني، إن وجدت، وعن إشرافه على مخاطر الأمن السيبراني”، مما يرسم خطًا مباشرًا من مسؤوليات وإجراءات CISO إلى مجلس الإدارة.
تنهي هذه اللائحة ممارسة مسرح مجلس الأمن السيبراني بإضافة المسؤولية والمساءلة والإجراءات.
يجب على الشركات التي ليس لديها بالفعل لجنة مخاطر الأمن السيبراني أو التي لا تعلم أعضاء مجلس الإدارة بانتظام بشأن الأمن السيبراني أن تبدأ في القيام بذلك على الفور.
- سيؤدي التركيز الأكبر على التأثير المالي للأمن السيبراني وسياسة وزارة العدل الجديدة (DOJ) إلى جذب المزيد من الإبلاغ عن المخالفات. ستكون عمليات التستر على الأمن السيبراني هي الاحتيال المالي الجديد، ونتوقع أن يتقدم عدد كبير من المبلغين عن المخالفات للكشف عن سوء تعامل أصحاب العمل الحاليين أو السابقين والممارسات السيئة المتعلقة بالأمن والخصوصية والبيانات. في الصيف الماضي، قمنا بتدوين مدونات عن المخبرين من شركات التكنولوجيا الذين استقالوا بأعلى صوت ممكن ودقوا الإنذارات في طريقهم للخروج أو بعد ذلك بوقت قصير. سيقدم تحديث جديد لسياسة الإنفاذ المؤسسية في القسم الجنائي بوزارة العدل للشركات ” حوافز جديدة ومهمة وملموسة للإفصاح عن سوء السلوك الذاتي” وسيكون عاملاً رئيسياً في تقرير ما إذا كان سيتم تكليف مسؤول تنفيذي أو شركة.
ماذا تفعل حيال ذلك: اتبع اللائحة مع أخذ الثقة في الاعتبار. هذا هو أسهل ما يمكن تنفيذه. ببساطة، تصرف بنزاهة وشفافية عندما يتعلق الأمر بالأمن السيبراني وقضايا المخاطر.
نعم، يمكن للشركات تجميع مبررات حول ما إذا كانت قضية الأمن السيبراني “جوهرية”، والبعض سيفعل ذلك.
لكن الأيام التي كانت فيها إعلانات الخرق أحداثًا مخزية، انتهت منذ ما يقرب من عقد من الزمان.
الأمن السيبراني مهم، والآن تقول لجنة الأوراق المالية والبورصات (SEC) أنه يمكنك – ويجب – التحدث عنه.
- المكافآت التنفيذية لها سياسة إرجاع إذا تم تحريف الإيداعات التنظيمية. في عام 2022، تم تمرير قاعدة جديدة تلزم المديرين التنفيذيين وأعضاء مجلس الإدارة بإعادة المكافآت إذا تم العثور على أخطاء في الإصلاحات المالية لشركاتهم في غضون ثلاث سنوات من التقديم، حتى لو لم يكونوا مسؤولين عنها. ستحتاج الشركات العامة التي ليس لديها برامج أمن إلكتروني ناضجة إلى إعطاء الأولوية للاستثمار في تقدير المخاطر السيبرانية أو المخاطرة بفقدان تعويضاتها.
ماذا تفعل حيال ذلك: الاستثمار في الأمن السيبراني. المزيد من CISOs يقدمون تقاريرهم الآن إلى الرؤساء التنفيذيين.
نتوقع أن يزداد الرقم الآن بعد أن أصبحت الأموال الشخصية على المحك.
تأتي ممارسات الأمن السيبراني السيئة أو الإخفاق في الكشف عن معلومات الأمن السيبراني ذات الصلة الآن مصحوبة بمخاطر استرداد التعويض، مما يجعل بناء حالات أعمال الأمن السيبراني لتبرير الاستثمارات أسهل قليلاً.
المصدر: forrester
قد يهمك:
التمويل الشخصي في شركة متاجر للتمويل
