एसईसी ने साइबर सुरक्षा रिपोर्टिंग आवश्यकताओं को मजबूत किया है - आपको क्या जानना चाहिए

एसईसी ने साइबर सुरक्षा रिपोर्टिंग आवश्यकताओं को कैसे मजबूत किया है और यह क्यों महत्वपूर्ण है?

एसईसी ने नई साइबर सुरक्षा नीति लागू की प्रकटीकरण नियम सार्वजनिक रूप से कारोबार करने वाली कंपनियों के लिए, जो 15 दिसंबर, 2023 से प्रभावी होगा। ये नियम अनिवार्य करते हैं कि कंपनियां अपनी वार्षिक रिपोर्ट में भौतिक साइबर सुरक्षा जोखिमों का आकलन, पहचान और प्रबंधन करने के तरीके के बारे में व्यापक विवरण प्रदान करें (फॉर्म 10-के)। वे संगठनों से अपेक्षा करते हैं कि वे साइबर सुरक्षा जोखिमों की निगरानी में बोर्ड की भूमिका की रूपरेखा तैयार करें। अंत में, एसईसी कंपनियों से अपेक्षा करता है कि वे चार दिनों के भीतर महत्वपूर्ण साइबर सुरक्षा घटनाओं की रिपोर्ट करना (फॉर्म 8-के).

इस विनियमन का कंपनियों और मुख्य सूचना सुरक्षा अधिकारियों (सीआईएसओ) दोनों पर महत्वपूर्ण प्रभाव पड़ेगा। सीआईएसओ को अपनी कंपनी के साइबर सुरक्षा उपायों और घटनाओं के बारे में स्पष्ट और त्वरित संचार सुनिश्चित करने के लिए विशेष ध्यान दिया गया है। इस बढ़ी हुई दृश्यता के लिए सीआईएसओ को शीर्ष-स्तरीय अधिकारियों और बोर्ड सदस्यों के साथ मज़बूत संचार माध्यम विकसित करने होंगे। सीआईएसओ को साइबर सुरक्षा रणनीतियों को व्यावसायिक लक्ष्यों और नियामक आवश्यकताओं, दोनों के अनुरूप बनाना होगा।

कंपनी के सीईओ और बोर्ड सदस्यों, दोनों के लिए, यह विनियमन कॉर्पोरेट प्रशासन के अंतर्गत साइबर सुरक्षा लचीलेपन पर उनके ध्यान को और मज़बूत करता है। उन्हें साइबर सुरक्षा रणनीतियों में सक्रिय भागीदारी और उनकी निगरानी का दायित्व सौंपा गया है। बोर्ड पर अब न केवल अनुपालन सुनिश्चित करने, बल्कि अपनी कंपनी के साइबर सुरक्षा कार्यक्रम की प्रभावशीलता सुनिश्चित करने का भी दायित्व है। यह बदलाव साइबर जोखिमों के प्रबंधन में कॉर्पोरेट प्रशासन की उभरती भूमिका को रेखांकित करता है। यह निवेशकों की बढ़ती रुचि को दर्शाता है कि कंपनियाँ साइबर खतरों से निपटने और उन्हें कम करने के लिए कैसे तैयार हैं।

निवेशक क्या चाहते हैं और उन्हें क्या जानने की आवश्यकता है?

निवेशक अपने निवेश पर साइबर सुरक्षा के प्रभावों को लेकर लगातार चिंतित हैं। रैंसमवेयर हमलों और डेटा उल्लंघनों जैसी हाई-प्रोफाइल साइबर घटनाओं की बढ़ती संख्या ने इसे और बढ़ा दिया है। निवेशक महत्वपूर्ण पर्यावरणीय, सामाजिक और प्रशासनिक (ईएसजी) मुद्दों के साथ-साथ साइबर सुरक्षा को भी प्राथमिकता दे रहे हैं। यह इसमें परिलक्षित होता है। आरबीसी का वैश्विक परिसंपत्ति प्रबंधन उत्तरदायी निवेश सर्वेक्षणनिवेशक अपने निवेश निर्णयों को सूचित करने के लिए स्पष्ट, विश्वसनीय और कार्रवाई योग्य साइबर सुरक्षा डेटा चाहते हैं। उन्हें क्षेत्र के गहन तकनीकी ज्ञान के बिना साइबर सुरक्षा लचीलेपन के स्पष्ट संकेतकों की आवश्यकता और इच्छा होती है। अच्छी साइबर सुरक्षा को न केवल जोखिम न्यूनीकरण कारक के रूप में देखा जाता है, बल्कि मजबूत कॉर्पोरेट प्रशासन और प्रबंधन गुणवत्ता के संकेतक के रूप में भी देखा जाता है। ये गुण कंपनी को निवेश के लिए अधिक आकर्षक बनाते हैं। साइबर सुरक्षा मेट्रिक्स को शामिल करने वाले उपकरणों का उपयोग कंपनी की साइबर सुरक्षा तैयारियों का मूल्यांकन करने के लिए किया जाता है। परिणामस्वरूप, सर्वश्रेष्ठ मुख्य सूचना सुरक्षा अधिकारी (CISO) इन निवेशक मूल्यांकनों से अवगत होते हैं। सफल CISO यह सुनिश्चित करते हैं कि उनके संगठनों के साइबर सुरक्षा उपायों का प्रभावी ढंग से संचार किया जाए। प्रभावी CISO साइबर सुरक्षा रिपोर्टिंग में अधिक पारदर्शिता और जवाबदेही जैसे वैश्विक रुझानों को उजागर करते हैं। इससे निवेशकों की चिंताओं और निवेश समुदाय को शांत करने में मदद मिलती है।

अपनी कंपनी को इन नई आवश्यकताओं के लिए कैसे तैयार करें

एसईसी के नए साइबर सुरक्षा नियम वरिष्ठ नेतृत्व की भागीदारी को अनिवार्य बनाते हैं। कंपनी नेतृत्व को अपने साइबर सुरक्षा प्रकटीकरणों की रणनीति बनाने में शामिल होना चाहिए। सीआईएसओ (CISO) अपनी कंपनियों में साइबर लचीलेपन या साइबर तैयारियों की समीक्षा करने के लिए नेतृत्व को एक साथ ला रहे हैं। ये बैठकें इस बात की महत्वपूर्ण समझ विकसित करती हैं कि ये नियम आपकी कंपनी और उसके हितधारकों को कैसे प्रभावित करते हैं। इन बैठकों में अक्सर सीआईएसओ, जनरल काउंसल, एक मुख्य जोखिम अधिकारी (यदि मौजूद हो), सीएफओ और निवेशक संबंध प्रमुख शामिल होते हैं। मुख्य चर्चा बिंदु इस बात पर केंद्रित होते हैं कि प्रकटीकरण प्रयासों का नेतृत्व कौन करता है और जोखिम एवं घटना रिपोर्टिंग में सीआईएसओ की भूमिका क्या है। चर्चाओं में सहयोग रणनीतियों, निवेशक संचार और "सामग्री” कंपनी के परिचालन से संबंधित साइबर घटना जिसके लिए अब 8-के पर रिपोर्टिंग की आवश्यकता है।

इन चर्चाओं से आपकी कंपनी में साइबर सुरक्षा प्रकटीकरणों से संबंधित एक स्पष्ट उत्तरदायित्व मैट्रिक्स स्थापित होना चाहिए। CISO को यह भी सुनिश्चित करना चाहिए कि साइबर सुरक्षा के प्रति उनके दृष्टिकोण को निवेशकों तक प्रभावी ढंग से पहुँचाया जाए, जिससे पारदर्शिता की उनकी अपेक्षाएँ पूरी हों। और समझ। आपकी नेतृत्व टीम को साइबर जोखिम से संबंधित कंपनी की मौजूदा संचार रणनीतियों पर भी विचार करना चाहिए। उन्हें यह निर्धारित करना होगा कि क्या ऐसे जोखिमों के प्रबंधन को स्पष्ट रूप से समझाने के लिए एक स्वतंत्र साइबर सुरक्षा रिपोर्ट (वार्षिक तृतीय-पक्ष ऑडिट) जैसे नए तरीके आवश्यक हैं। यह केवल अनुपालन के बारे में नहीं है; यह साइबर सुरक्षा प्रबंधन पर एक सूचित, सुसंगत बाहरी और आंतरिक आख्यान तैयार करने के बारे में है। इस प्रक्रिया में CISO की भूमिका महत्वपूर्ण है, लेकिन अकेली नहीं। इन बैठकों के परिणाम कंपनी की साइबर सुरक्षा स्थिति और निवेशक संबंधों को आगे आकार देंगे।

कौन सी जानकारी प्रकट की जानी चाहिए और उसे कैसे एकत्रित किया जाना चाहिए?

एसईसी की नई आवश्यकताओं के तहत, संगठनों को कई तरह की जानकारी का खुलासा करना होगा जो निवेशकों को उनकी साइबर सुरक्षा जोखिम प्रबंधन प्रक्रियाओं को समझने में मदद करती है। इस जानकारी में संगठन की साइबर सुरक्षा रणनीति और तृतीय-पक्ष जोखिम प्रबंधन शामिल हैं। ऐसे जोखिम आकलन के लिए आमतौर पर इस्तेमाल किया जाने वाला ढाँचा है: एनआईएसटी साइबर सुरक्षा फ्रेमवर्क (एनएसएफ)। वैकल्पिक रूप से, कुछ कंपनियां इसका उपयोग करती हैं एनआईएसटी 800-171 जोखिम प्रबंधन मानक अपनी अनुपालन रणनीति के लिए। फिर, सीआईओ, सीआईएसओ, सीईओ, सीएफओ और बोर्ड सहित प्रबंधन टीम को एक रिपोर्टिंग कार्यक्रम तैयार करना होगा जो इन मूल्यांकन विधियों में उल्लिखित नियंत्रणों के विरुद्ध कंपनी की उपलब्धि और जोखिम न्यूनीकरण की रूपरेखा प्रस्तुत करे।

इसके अतिरिक्त, कंपनियों से प्रमुख नीतियों, तकनीकी नियंत्रणों, स्वतंत्र सुरक्षा मूल्यांकनों आदि के बारे में विवरण साझा करने की अपेक्षा की जाती है। एसओसी 2 प्रमाणपत्र. कार्यक्रम की प्रभावशीलता और घटना प्रबंधन प्रोटोकॉल का विवरण देते हुए कार्यक्रम मीट्रिक्स की रिपोर्ट की जाती है। साइबर बीमा कवरेज को मान्य किया जाता है जिससे साइबर घटनाओं से होने वाले वित्तीय जोखिम को कम करने में मदद मिलती है, साथ ही साइबर सुरक्षा घटनाओं और मुद्दों की गंभीरता का निर्धारण करने में भी मदद मिलती है।

सीआईएसओ को दस्तावेज़ समीक्षा और अपनी साइबर सुरक्षा टीमों व वरिष्ठ अधिकारियों के साथ परामर्श के माध्यम से यह डेटा एकत्र करने का काम सौंपा गया है। चूँकि कई संगठनों के पास इस सारी जानकारी तक आसानी से पहुँच नहीं हो सकती है, इसलिए सूचना संग्रह प्रक्रिया में सहायता के लिए एक क्रॉस-फ़ंक्शनल टीम बनाना फायदेमंद हो सकता है। आप साइबरहूट को अपना सकते हैं और प्रत्येक कर्मचारी द्वारा अपनी शासन नीतियों पर हस्ताक्षर करने, जागरूकता प्रशिक्षण वीडियो असाइनमेंट पूरा करने, और फ़िशिंग सिमुलेशन और परीक्षण पूरा करने के लिए मेट्रिक्स कैप्चर कर सकते हैं। अंतिम लक्ष्य बोर्ड, सी-लेवल अधिकारियों और "उचित निवेशक” एक ऐसी कथा जो सभी के लिए सुलभ और समझने योग्य हो। 

कम्पनियों ने अपने साइबर सुरक्षा कार्यक्रमों के बारे में क्या खुलासा किया है?

अपने कार्यक्रम बनाने वाली कंपनियाँ भले ही दूसरों के काम करने के तरीके पर संदेह करें, लेकिन अपने आकार, क्षमताओं और निवेशकों की अपेक्षाओं के आधार पर अपना अनुपालन और रिपोर्टिंग कार्यक्रम बनाना ज़रूरी है। केंद्रीकृत जानकारी के स्रोत मौजूद हैं जिनकी समीक्षा आप अपने कार्यक्रम के विकास के लिए कर सकते हैं। उदाहरण के लिए, 2022 में, द्वारा किया गया एक विश्लेषण ईवाई सेंटर फॉर बोर्ड मैटर्स फॉर्च्यून 100 कंपनी के खुलासे से साइबर सुरक्षा जोखिम प्रबंधन में निम्नलिखित बढ़ी हुई पारदर्शिता का पता चला। 

• 9% कम्पनियों ने सिमुलेशन और अभ्यास के माध्यम से तैयारी का उल्लेख किया।
• बाहरी साइबर सुरक्षा ढांचे के साथ संरेखित कंपनियों में 18% (एनआईएसटी सीएसएफ)
• 28% बाहरी सलाहकारों का उपयोग कर रहे हैं (वीसीआईएसओ उदाहरण के लिए), जो तीसरे पक्ष की विशेषज्ञता के साथ बढ़ती भागीदारी को दर्शाता है।
• 39% ने बताया कि वे साइबर सुरक्षा मामलों की कितनी बार रिपोर्ट करते हैं
• 45% ने जोखिमों को कम करने के लिए शैक्षिक प्रयासों पर प्रकाश डाला
• 51% ने साइबर सुरक्षा बीमा बनाए रखा
• 61% ने अपने बोर्ड में साइबर सुरक्षा विशेषज्ञता का उल्लेख किया।
• 66% कंपनियों ने प्रतिक्रिया तत्परता का उल्लेख किया
• 68% ने बोर्ड को प्रबंधन रिपोर्टिंग की आवृत्ति पर चर्चा की। 
• 88% लोगों ने संकेत दिया कि कम से कम एक बोर्ड समिति साइबर सुरक्षा निरीक्षण के लिए जिम्मेदार थी
• 95% ने अपने जोखिम निरीक्षण में साइबर सुरक्षा पर ध्यान केंद्रित किया।
• लगभग सभी, 99%, ने स्थापित प्रक्रियाओं और प्रणालियों के माध्यम से साइबर सुरक्षा जोखिमों को कम करने के प्रयासों का उल्लेख किया।

पिछले खुलासों के बावजूद, एसईसी के नए साइबर सुरक्षा नियमों के अनुसार, सार्वजनिक रूप से कारोबार करने वाली कंपनियों से शुरू करके विस्तृत और संभावित रूप से परिवर्तनकारी रिपोर्टिंग प्रथाओं को अपनाया जाना आवश्यक है। हालाँकि ये नियम मुख्य रूप से सार्वजनिक रूप से सूचीबद्ध कंपनियों पर लक्षित हैं, अन्य निजी और छोटी कंपनियों को इन नए नियमों से परिचित होना चाहिए और अपनी साइबर सुरक्षा संबंधी लचीलेपन और तैयारियों के लिए अपने संचालन की तैयारी और निगरानी शुरू कर देनी चाहिए।

घटना प्रकटीकरण और भौतिकता का प्रश्न

कंपनियों को यह निर्धारित करने की चुनौती से जूझना होगा कि "सामग्री" प्रकटीकरण उद्देश्यों के लिए साइबर सुरक्षा घटना, जैसा कि SEC द्वारा अपेक्षित है। SEC द्वारा एक महत्वपूर्ण घटना को इस प्रकार परिभाषित किया गया है, "जिसे निवेश निर्णय लेने वाले एक उचित निवेशक द्वारा महत्वपूर्ण माना जाएगा"यह निर्धारण वित्तीय सीमाओं से परे है और मात्रात्मक और गुणात्मक, दोनों तरह के आंकड़ों पर विचार करता है। इसमें प्रतिष्ठा को नुकसान पहुँचाने वाली या जानकारी की चोरी करने वाली घटनाएँ शामिल हैं, जिनका वित्तीय रूप से मात्रात्मक होना संभव नहीं है, लेकिन जिनका व्यक्तियों या कंपनी पर महत्वपूर्ण प्रभाव पड़ता है।

एसईसी का सुझाव है कि वित्तीय प्रभाव पर सामान्यतः विचार किया जाता है, लेकिन नुकसान के दायरे और प्रकृति का भी मूल्यांकन किया जाना चाहिए। संभावित प्रभावों को पूरी तरह से समझने के लिए, कंपनियों को साइबर जोखिमों का वित्तीय परिमाणीकरण करने के लिए प्रोत्साहित किया जाता है। इस विश्लेषण से कार्यक्रम की कमज़ोरियों, निवेश आवश्यकताओं और जोखिम न्यूनीकरण रणनीतियों का पता चल सकता है।

सीआईएसओ, हालांकि आमतौर पर भौतिकता के अंतिम निर्णायक नहीं होते, फिर भी उन्हें मूल्यांकन प्रक्रिया और सक्रिय जोखिम निवारण रणनीतियों को तैयार करने में गहराई से शामिल होना चाहिए। घटनाओं की भौतिकता का निर्धारण कानूनी सलाहकार, सीईओ और निदेशक मंडल के माध्यम से मामला-दर-मामला किया जाना चाहिए। भौतिकता के निर्णय में कंपनी और उसके हितधारकों के लिए विशिष्ट परिस्थितियों और संभावित प्रभावों को ध्यान में रखा जाना चाहिए।

एक और अप्रत्याशित मोड़: तृतीय पक्ष जोखिम प्रकटीकरण

एसईसी ने तृतीय-पक्ष साइबर जोखिमों के लिए विशिष्ट प्रकटीकरण आवश्यकताओं को अनिवार्य किया है, और साइबर सुरक्षा संबंधी घटनाओं को जन्म देने की उनकी महत्वपूर्ण क्षमता को स्वीकार किया है। दक्षता और प्रतिस्पर्धात्मक लाभ के लिए अधिक से अधिक कंपनियों द्वारा विक्रेताओं को आउटसोर्सिंग करने के साथ, तृतीय-पक्ष और आपूर्ति श्रृंखला की कमजोरियों से होने वाले जोखिम बढ़ गए हैं। सीआईएसओ को एक मज़बूत तृतीय-पक्ष साइबर जोखिम रणनीति बनाने की सलाह दी जाती है जिसमें तृतीय-पक्ष भागीदारों की पहचान और प्राथमिकता (अक्सर उनके पास मौजूद या एक्सेस किए जा सकने वाले डेटा की गंभीरता के आधार पर), जोखिम-आधारित साइबर आकलन करना, और नए खतरों के लिए इन संस्थाओं की निरंतर निगरानी शामिल हो। हितधारकों को प्रभावी जोखिम प्रबंधन और एसईसी प्रकटीकरण आवश्यकताओं के अनुपालन का आश्वासन देने के लिए सीआईएसओ के लिए एक संपूर्ण कार्यक्रम आवश्यक है।

निष्कर्ष

ये घटनाक्रम कॉर्पोरेट प्रशासन में साइबर सुरक्षा के रणनीतिक महत्व और साइबर सुरक्षा निगरानी में नेतृत्व की सुविज्ञता और सक्रियता की आवश्यकता को उजागर करते हैं। यह कंपनियों द्वारा साइबर सुरक्षा के प्रबंधन और रिपोर्टिंग में अधिक पारदर्शिता की ओर रुझान का भी संकेत देता है, जिसमें निवेशकों के हितों और नियामक अपेक्षाओं के अनुरूप सुरक्षा की एक मज़बूत संस्कृति बनाने पर ज़ोर दिया जा रहा है।

साइबरहूट के साथ आज ही अपना व्यवसाय सुरक्षित करें!!!

अभी साइनअप करें

सूत्रों का कहना है:

https://www.sec.gov/news/press-release/2023-139

सार्वजनिक कंपनी साइबर सुरक्षा प्रकटीकरण; अंतिम नियम