تطالب هيئة الأوراق المالية والبورصات بمزيد من الشفافية بشأن حوادث الأمن السيبراني في الشركات العامة
أدخلت هيئة الأوراق المالية والبورصة (SEC) قاعدة جديدة للشركات العامة تتطلب منها أن تكون أكثر شفافية بشأن حوادث الأمن السيبراني. تتطلب القاعدة الجديدة من الشركات الكشف عن أي حوادث جوهرية تتعلق بالأمن السيبراني خلال أربعة أيام عمل من هذا القرار. ويجب أن يصف الإفصاح الجوانب المادية للحادث، بما في ذلك طبيعة الحادث وتأثيره على الشركة واستجابة الشركة.
تتضمن القواعد المقترحة من هيئة الأوراق المالية والبورصات سياسات وإجراءات مكتوبة للأمن السيبراني، وتقييمات مخاطر تكنولوجيا المعلومات، وأمن المستخدم، وضوابط الوصول، وإدارة التهديدات والثغرات الأمنية، والاستجابة للحوادث وخطط التعافي، ومراقبة مجلس الإدارة، وحفظ السجلات، والإبلاغ عن حوادث الأمن السيبراني والإفصاح عنها.
ولمساعدة CISOs على دمج هذا المطلب بسلاسة في خطة الاستجابة للحوادث الحالية، إليك بعض النصائح القابلة للتنفيذ:
قم بإعادة النظر في خطة الاستجابة للحوادث: خطة الاستجابة للحوادث هي نهج منظم يحدد الخطوات التي ستتخذها أثناء حدوث خرق أمني أو أي حدث آخر غير متوقع. قد يكون عملك غير مستعد لمواجهة أي حادث أمني بدون خطة استجابة. تساعدك الخطة الفعالة على تحديد التهديدات واحتوائها بسرعة، وحماية المعلومات الحساسة، وتقليل وقت التوقف عن العمل، وتقليل التأثير المالي للهجوم أو أي حدث آخر غير متوقع.
تحديث إجراء الإخطار والتخطيط الاستباقي للإخطار: قم بصياغة إجراء إخطار محدد جيدًا يوضح الخطوات اللازمة للامتثال لمتطلبات لجنة الأوراق المالية والبورصات. تعيين الأدوار والمسؤوليات لصياغة الإخطارات والموافقة عليها وإعادة توجيهها إلى الأطراف ذات الصلة. قم بتطوير قوالب الاتصال بمحتوى معتمد مسبقًا، مما يترك مجالًا لملء التفاصيل الخاصة بالحادث أثناء الأزمة.
تحديد الحوادث المادية وتأثيرها: تحديد معايير تحديد الأهمية النسبية، بما في ذلك الآثار المالية والتشغيلية والمتعلقة بالسمعة. تعتبر هذه الخطوة حاسمة في الوفاء بالموعد النهائي الضيق لتقديم التقارير وهو أربعة أيام.
حماية البيانات وتوازن الإفصاح: تطوير بروتوكولات لحماية المعلومات السرية أثناء الإفصاحات العامة والتعاون بشكل وثيق مع المستشار القانوني لضمان الامتثال للوائح الإفصاح.
مراجعات الخطة المنتظمة وتقييمات الطرف الثالث: قم بتحديث خطة الاستجابة للحوادث بانتظام لمواكبة التهديدات المتطورة ومتطلبات الامتثال. قم بإشراك خبراء الأمن السيبراني الخارجيين لإجراء تقييمات شاملة وتحديد الثغرات ونقاط الضعف المحتملة التي تحتاج إلى اهتمام فوري.
إجراء تمارين الطاولة: قم بتنظيم تمارين الطاولة التي تحاكي حوادث الأمن السيبراني في العالم الحقيقي. تأكد من أن هذه التدريبات تشمل الجانب التجاري، مع التركيز على اتخاذ القرار، والاتصالات، وتقييم تأثير الحادث. ستعمل هذه التدريبات على صقل مهارات فريقك وتعزيز الاستعداد للموعد النهائي الجديد لمدة 4 أيام.
تعزيز ثقافة الوعي بالأمن السيبراني: تنمية ثقافة على مستوى الشركة تعطي الأولوية للوعي بالأمن السيبراني والإبلاغ عن الحوادث. شجع الموظفين على الإبلاغ عن التهديدات المحتملة على الفور، وتمكين فريقك من الاستجابة بسرعة للتخفيف من المخاطر.
لتحديد وضع الاستعداد الخاص بك، اسأل نفسك الأسئلة التالية:
الإبلاغ عن الحوادث وأسئلة الإدارة
- ما هي العملية التي تتبعونها للإبلاغ عن حوادث الأمن السيبراني؟
- كيف يمكنك تحديد مدى أهمية الانتهاك أو الهجوم بشكل فعال؟
- هل عملياتك لتحديد الأهمية النسبية موثقة بدقة؟
- هل حددت المستوى المناسب من المعلومات التي يجب الكشف عنها؟
- هل يمكنك تقديم تقرير خلال أربعة أيام؟
- كيف ستلتزم بمتطلبات الإبلاغ عن الأحداث ذات الصلة التي تعتبر “جوهرية”؟
سياسات وإجراءات إدارة الحوادث
- هل سياسات مؤسستك وإجراءاتها، وتقييمات المخاطر، والضوابط، ومراقبة الضوابط قوية بما يكفي للكشف عنها علنًا؟
- هل تتماشى سياساتك وإجراءاتك مع المواصفات الموجودة في إطار صناعي واحد معترف به على الأقل؟ هل يتم تحديثها بانتظام؟ هل يعرف كل فرد في المنظمة ما هم وكيف يتحملون مسؤولية متابعتهم؟ هل يتم تنفيذها بشكل جيد؟
الحوكمة وإدارة المخاطر
- هل تقييم المخاطر الخاص بك قوي، وهل يتم تطبيقه في جميع أنحاء المنظمة، مع التركيز على أهم المخاطر التي تواجه العمل؟
- كم مرة تقوم بتقييم المخاطر؟ هل تم دمج نتائج التقييم في الإستراتيجية الإلكترونية لمؤسستك، وبرنامج إدارة المخاطر، وتخصيصات رأس المال؟
- هل قمت بإشراك طرف ثالث لتقييم برنامج الأمن السيبراني الخاص بك؟
توعية مجلس الإدارة والقيادة
- كيف تقوم مؤسستك بمراقبة فعالية أنشطة وضوابط تخفيف المخاطر؟ ما مدى نضج قدراتك، عند تقييمها وفقًا لإطار الصناعة؟
- كيف يتم إبلاغ القيادة ومجلس الإدارة بفعالية هذه الضوابط؟
- هل يحصل المسؤولون التنفيذيون على المستوى C على المعلومات اللازمة للإشراف على الأمن السيبراني على مستوى مجلس الإدارة؟
خاتمة
في الختام، تتطلب قاعدة هيئة الأوراق المالية والبورصة الجديدة للشركات العامة وحوادث الأمن السيبراني من الشركات أن تكون أكثر شفافية بشأن حوادث الأمن السيبراني المادية. للامتثال لهذا المطلب، يجب على الشركات إعادة النظر في خطة الاستجابة للحوادث، وتحديث إجراءات الإخطار الخاصة بها، وإجراء تحديد الحوادث المادية وتقييمات الأثر، وتطوير بروتوكولات لحماية البيانات وتوازن الإفصاح، وإجراء مراجعات منتظمة للخطة وتقييمات من طرف ثالث، وإجراء تمارين الطاولة، وتعزيز ثقافة الوعي بالأمن السيبراني. ومن خلال طرح الأسئلة الصحيحة واتخاذ الخطوات اللازمة، يمكن للشركات التأكد من استعدادها للامتثال لقاعدة الكشف عن حوادث الأمن السيبراني الجديدة الصادرة عن هيئة الأوراق المالية والبورصات.
