أصدرت هيئة الأوراق المالية والبورصات قانونًا جديدًا للأمن السيبراني قواعد الإفصاح للشركات المدرجة في البورصة، والتي تدخل حيز التنفيذ في 15 ديسمبر 2023. وتنص هذه القواعد على أن الشركات تقديم تفاصيل شاملة حول كيفية تقييمهم وتحديدهم وإدارة مخاطر الأمن السيبراني المادية ضمن تقاريرهم السنوية (النموذج 10-K). يتطلب من المنظمات حدّد دور المجلس في الإشراف على مخاطر الأمن السيبراني. وأخيرًا، تطلب هيئة الأوراق المالية والبورصات من الشركات للإبلاغ عن حوادث الأمن السيبراني الهامة في غضون أربعة أيام (النموذج 8-K).
لهذه اللائحة تأثيرٌ بالغ على كلٍّ من الشركات وكبار مسؤولي أمن المعلومات. يُسلَّط الضوء على كبار مسؤولي أمن المعلومات، ويُكلَّفون بضمان تواصلٍ واضحٍ وسريعٍ بشأن إجراءات وحوادث الأمن السيبراني في شركاتهم. ويتطلب هذا الوضوح المُعزَّز من كبار مسؤولي أمن المعلومات تعزيز قنوات تواصلٍ فعَّالة مع كبار المديرين التنفيذيين وأعضاء مجلس الإدارة. كما يجب عليهم مواءمة استراتيجيات الأمن السيبراني مع أهداف العمل والمتطلبات التنظيمية.
بالنسبة للرؤساء التنفيذيين وأعضاء مجالس الإدارة في الشركات على حد سواء، تُعزز هذه اللائحة تركيزهم على مرونة الأمن السيبراني في إطار حوكمة الشركات. فهم مُكلفون بالمشاركة الفعالة في استراتيجيات الأمن السيبراني والإشراف عليها. ويُكلَّف مجلس الإدارة الآن بضمان الامتثال، بالإضافة إلى فعالية برنامج الأمن السيبراني الخاص بشركاتهم. يُبرز هذا التحول الدور المتطور لحوكمة الشركات في إدارة المخاطر السيبرانية، ويُسلِّط الضوء على اهتمام المستثمرين المتزايد بكيفية استعداد الشركات للتعامل مع التهديدات السيبرانية والتخفيف من حدتها.
يتزايد قلق المستثمرين بشأن تداعيات الأمن السيبراني على استثماراتهم. وقد عزز هذا القلق تزايد عدد الحوادث السيبرانية البارزة، مثل هجمات برامج الفدية واختراقات البيانات. ويولي المستثمرون الأولوية للأمن السيبراني إلى جانب القضايا البيئية والاجتماعية والحوكمة (ESG) الحرجة. ويتجلى ذلك في استطلاع RBC العالمي للاستثمار المسؤول في إدارة الأصوليسعى المستثمرون إلى بيانات واضحة وموثوقة وقابلة للتنفيذ حول الأمن السيبراني لتوجيه قراراتهم الاستثمارية. إنهم يحتاجون ويرغبون في مؤشرات واضحة لمرونة الأمن السيبراني دون الحاجة إلى امتلاك معرفة تقنية متعمقة في هذا المجال. لا يُنظر إلى الأمن السيبراني الجيد على أنه عامل تخفيف للمخاطر فحسب، بل أيضًا كمؤشر على حوكمة الشركات القوية وجودة الإدارة. هذه الصفات تجعل الشركة أكثر جاذبية للاستثمار. تُستخدم الأدوات التي تتضمن مقاييس الأمن السيبراني لتقييم استعداد الشركة للأمن السيبراني. وبالتالي، فإن أفضل مسؤولي أمن المعلومات (CISOs) على دراية بهذه التقييمات للمستثمرين. يضمن CISOs الناجحون التواصل الفعال لإجراءات الأمن السيبراني في مؤسساتهم. يسلط CISOs الفعالون الضوء على الاتجاهات العالمية مثل زيادة الشفافية والمساءلة في تقارير الأمن السيبراني. وهذا يساعد على تهدئة مخاوف المستثمرين ومجتمع الاستثمار.
تتطلب لائحة الأمن السيبراني الجديدة الصادرة عن هيئة الأوراق المالية والبورصات الأمريكية (SEC) مشاركة كبار القادة. يجب إشراك قادة الشركات في وضع استراتيجيات لإفصاحاتهم عن الأمن السيبراني. يجمع مسؤولو أمن المعلومات (CISOs) قيادات الشركات للاجتماع ومراجعة المرونة أو الاستعداد السيبراني في شركاتهم. تُسهم هذه الاجتماعات في بناء فهمٍ أساسي لكيفية تأثير هذه اللوائح على شركتكم وأصحاب المصلحة فيها. غالبًا ما تضم هذه الاجتماعات مسؤول أمن المعلومات (CISO)، والمستشار العام، ورئيس قسم المخاطر (إن وجد)، والمدير المالي، ورئيس علاقات المستثمرين. تدور نقاط النقاش الرئيسية حول من يقود جهود الإفصاح ودور مسؤول أمن المعلومات في الإبلاغ عن المخاطر والحوادث. يجب أن تحدد المناقشات وتصادق على استراتيجيات التعاون، واتصالات المستثمرين، وكيفية تعريف "...مادة"حادثة إلكترونية تتعلق بعمليات الشركة والتي تتطلب الآن الإبلاغ عنها على 8-K.
يجب أن تُرسي هذه المناقشات مصفوفة مسؤولية واضحة داخل شركتكم فيما يتعلق بالإفصاحات المتعلقة بالأمن السيبراني. كما يجب على مسؤولي أمن المعلومات ضمان إيصال نهجهم في الأمن السيبراني بفعالية إلى المستثمرين، بما يُلبي توقعاتهم بالشفافية. و الفهم. يجب على فريق القيادة لديكم أيضًا مراعاة استراتيجيات التواصل الحالية للشركة بشأن المخاطر السيبرانية. ويجب عليهم تحديد ما إذا كانت هناك حاجة إلى أساليب جديدة، مثل تقرير مستقل للأمن السيبراني (تدقيق سنوي من جهة خارجية)، لتوضيح حوكمة هذه المخاطر بوضوح. لا يقتصر الأمر على الامتثال فحسب، بل يتعلق أيضًا بصياغة سردية داخلية وخارجية متماسكة ومستنيرة حول حوكمة الأمن السيبراني. ويلعب مسؤول أمن المعلومات دورًا حيويًا، ولكنه ليس وحيدًا، في هذه العملية. وستؤثر نتائج هذه الاجتماعات على وضع الشركة في مجال الأمن السيبراني وعلاقات المستثمرين مستقبلًا.
بموجب المتطلبات الجديدة لهيئة الأوراق المالية والبورصات الأمريكية، يتعين على المؤسسات الإفصاح عن مجموعة من المعلومات التي تساعد المستثمرين على فهم عمليات إدارة مخاطر الأمن السيبراني الخاصة بهم. تشمل هذه المعلومات استراتيجية المؤسسة للأمن السيبراني وإدارة مخاطر الجهات الخارجية. ومن بين الأطر الشائعة الاستخدام لتقييمات المخاطر هذه: إطار عمل الأمن السيبراني NIST (NSF). وبدلا من ذلك، تستخدم بعض الشركات معيار إدارة المخاطر NIST 800-171 لاستراتيجية الامتثال الخاصة بهم. بعد ذلك، يجب على فريق الإدارة، بما في ذلك مدير المعلومات، ومدير أمن المعلومات، والرئيس التنفيذي، والمدير المالي، ومجلس الإدارة، وضع برنامج إعداد تقارير يوضح إنجازات الشركة وجهودها في تخفيف المخاطر مقارنةً بالضوابط الموضحة في أساليب التقييم هذه.
بالإضافة إلى ذلك، من المتوقع أن تشارك الشركات تفاصيل حول السياسات الرئيسية، والضوابط الفنية، وتقييمات الأمان المستقلة مثل شهادة SOC 2. يتم إعداد تقارير بمقاييس البرنامج توضح فعالية البرنامج وبروتوكولات إدارة الحوادث. كما يتم التحقق من صحة تغطية التأمين السيبراني، مما يساعد على تقليل المخاطر المالية الناجمة عن الحوادث السيبرانية، مع المساعدة في تحديد أهمية أحداث ومشاكل الأمن السيبراني.
يُكلَّف مسؤولو أمن المعلومات بجمع هذه البيانات من خلال مراجعة الوثائق والتشاور مع فرق الأمن السيبراني وكبار المديرين التنفيذيين. ونظرًا لأن العديد من المؤسسات قد لا تتمكن من الوصول بسهولة إلى جميع هذه المعلومات، فقد يكون من المفيد تشكيل فريق متعدد الوظائف للمساعدة في عملية جمع المعلومات. يمكنك اعتماد CyberHoot وجمع مقاييس لكل موظف يوقع على سياسات الحوكمة الخاصة به، وإكمال مهام الفيديو التدريبية التوعوية، وإكمال محاكاة واختبارات التصيد الاحتيالي. الهدف النهائي هو تقديم تقرير إلى مجلس الإدارة والمديرين التنفيذيين، و...مستثمرين معقولين"رواية يمكن للجميع الوصول إليها وفهمها.
بينما قد تتساءل الشركات التي تُطوّر برامجها عمّا يفعله الآخرون، من المهم أن تُطوّر برنامجك الخاص للامتثال وإعداد التقارير بناءً على حجمك وقدراتك وتوقعات المستثمرين. هناك مصادر معلومات مركزية مُجمّعة يُمكنك مراجعتها لتطوير برنامجك الخاص. على سبيل المثال، في عام ٢٠٢٢، أُجري تحليلٌ من قِبل مركز EY لشؤون مجلس الإدارة كشفت إفصاحات شركات فورتشن 100 عن زيادة الشفافية في إدارة مخاطر الأمن السيبراني.
على الرغم من الإفصاحات السابقة، تشترط لوائح الأمن السيبراني الجديدة الصادرة عن هيئة الأوراق المالية والبورصات الأمريكية (SEC) اعتماد ممارسات إبلاغ مفصلة، وربما ثورية، بدءًا من الشركات المدرجة في البورصة. ورغم أن هذه القواعد تستهدف في المقام الأول الشركات المدرجة في البورصة، ينبغي على الشركات الخاصة والصغيرة الأخرى الاطلاع على هذه القواعد الجديدة، والبدء في إعداد ومراقبة عملياتها لضمان مرونتها واستعدادها للأمن السيبراني.
يتعين على الشركات أن تتصارع مع التحدي المتمثل في تحديد ما يشكل "مادةحادثة أمن سيبراني لأغراض الإفصاح، وفقًا لمتطلبات هيئة الأوراق المالية والبورصات الأمريكية. تُعرّف هيئة الأوراق المالية والبورصات الحادثة الجوهرية بأنها "أحد الأمور التي قد يعتبرها المستثمر المعقول مهمة عند اتخاذ قرار استثماري"يتجاوز هذا التحديد الحدود المالية، ويراعي البيانات الكمية والنوعية. ويشمل الحوادث التي تُلحق ضررًا بالسمعة أو سرقة معلومات، والتي، وإن لم تكن قابلة للقياس المالي، إلا أنها تُحدث تأثيرًا كبيرًا على الأفراد أو الشركة.
تقترح هيئة الأوراق المالية والبورصات الأمريكية (SEC) أنه في حين يُؤخذ الأثر المالي في الاعتبار عادةً، ينبغي أيضًا تقييم نطاق الضرر وطبيعته. لفهم الآثار المحتملة بشكل شامل، تُشجَّع الشركات على إجراء تقييم مالي كمي للمخاطر السيبرانية. يمكن لهذا التحليل أن يكشف عن نقاط ضعف البرامج، واحتياجات الاستثمار، واستراتيجيات تخفيف المخاطر.
مع أن مسؤولي أمن المعلومات ليسوا عادةً من يُحددون أهمية الحوادث، إلا أنه ينبغي عليهم المشاركة بشكل مكثف في عملية التقييم ووضع استراتيجيات استباقية لمعالجة المخاطر. وينبغي تحديد أهمية الحوادث على أساس كل حالة على حدة من خلال المستشار القانوني والرئيس التنفيذي ومجلس الإدارة. ويجب أن يُراعي قرار أهمية الحوادث الظروف الخاصة والآثار المحتملة على الشركة وأصحاب المصلحة فيها.
تفرض هيئة الأوراق المالية والبورصات الأمريكية متطلبات إفصاح محددة بشأن مخاطر الجهات الخارجية السيبرانية، مُدركةً قدرتها الكبيرة على التسبب في حوادث أمن سيبراني. ومع تزايد استعانة الشركات بموردين خارجيين لتحقيق الكفاءة والمكاسب التنافسية، تصاعدت مخاطر ثغرات الجهات الخارجية وسلاسل التوريد. يُنصح مسؤولو أمن المعلومات بوضع استراتيجية فعّالة لمخاطر الجهات الخارجية السيبرانية، تتضمن تحديد الشركاء الخارجيين وترتيب أولوياتهم (غالبًا بناءً على أهمية البيانات التي تحتويها أو يمكنهم الوصول إليها)، وإجراء تقييمات سيبرانية قائمة على المخاطر، والمراقبة المستمرة لهذه الجهات للكشف عن أي تهديدات جديدة. يُعدّ وجود برنامج شامل أمرًا ضروريًا لمسؤولي أمن المعلومات لضمان فعالية إدارة المخاطر والامتثال لمتطلبات الإفصاح الصادرة عن هيئة الأوراق المالية والبورصات الأمريكية لأصحاب المصلحة.
تُبرز هذه التطورات الأهمية الاستراتيجية للأمن السيبراني في حوكمة الشركات، وضرورة أن تكون القيادة مُلِمّة وفعّالة في الرقابة على الأمن السيبراني. كما تُشير إلى اتجاه نحو مزيد من الشفافية في كيفية إدارة الشركات للأمن السيبراني والإبلاغ عنه، مع التركيز على بناء ثقافة أمنية متينة تتماشى مع مصالح المستثمرين وتوقعات الجهات التنظيمية.
مصادر:
https://www.sec.gov/news/press-release/2023-139
اكتشف وشارك أحدث اتجاهات الأمن السيبراني والنصائح وأفضل الممارسات - إلى جانب التهديدات الجديدة التي يجب الحذر منها.
موجز عملي لمديري أمن المعلومات الافتراضيين: التحذير الذي تجاهلناه أو لم نفهمه. لسنوات، كان الأكثر مصداقية...
اقراء المزيد
دليلٌ لكشف عمليات الاحتيال بانتحال شخصية كبار المسؤولين التنفيذيين قبل أن يتلقى الرئيس التنفيذي المزيف حوالةً ماليةً حقيقية.
اقراء المزيد
الذكاء الاصطناعي يجعل رسائل البريد الإلكتروني الاحتيالية أكثر ذكاءً، والبرامج الضارة أكثر دهاءً، وسرقة بيانات الاعتماد أسهل...
اقراء المزيداحصل على نظرة أكثر حدة للمخاطر البشرية، من خلال النهج الإيجابي الذي يتفوق على اختبار التصيد التقليدي.
