هل استوفيت قواعد الأمن السيبراني والإفصاح الخاصة بهيئة الأوراق المالية والبورصات؟
لقد مر عام منذ أن اعتمدت لجنة الأوراق المالية والبورصة (SEC) قواعد إدارة مخاطر الأمن السيبراني والاستراتيجية والحوكمة والإفصاح عن الحوادث، وحوالي ستة أشهر منذ دخولها حيز التنفيذ. تتطلب هذه التفويضات من المنظمات الكشف عن أي حوادث أمنية سيبرانية جوهرية تعرضت لها بالإضافة إلى الإبلاغ عن معلومات جوهرية تتعلق بإدارة مخاطر الأمن السيبراني والاستراتيجية والحوكمة سنويًا.
في حين تهدف هذه القواعد إلى المساعدة في توفير قدر أكبر من الشفافية لأصحاب المصلحة، فإن المنظمات التي يتعين عليها الامتثال لا تزال تواجه العديد من التحديات عندما يتعلق الأمر بالتقديم والإفصاح. ومع ذلك، لا ينبغي أن تظل كل الأسئلة دون إجابة. إن النظر إلى ما نجح مع الشركات الأخرى حتى الآن يمكن أن يعطي نظرة ثاقبة لأفضل الممارسات ويساعد الآخرين على السير على المسار الصحيح لضمان التزامهم بلوائح لجنة الأوراق المالية والبورصات.
توثيق استراتيجية الأمن السيبراني الخاصة بك
السؤال الشائع الذي لا يزال يخطر على بال العديد من المؤسسات هو من أين تبدأ عند توثيق استراتيجية الأمن السيبراني الخاصة بها. يتعين على المؤسسات استكمال العديد من النماذج والتقارير، مثل نموذجي 8-K و10-K. نموذج 10-K مطلوب لإظهار العمليات، إن وجدت، التي تتبعها المؤسسة لتقييم وتحديد وإدارة المخاطر والتهديدات السيبرانية. بالإضافة إلى ذلك، يتضمن النموذج مساحة لتوثيق التأثيرات المادية للمخاطر الناجمة عن تهديدات الأمن السيبراني الحالية وحوادث الأمن السيبراني السابقة. يجب على المؤسسات أيضًا وصف إشراف مجلس إدارتها على المخاطر الناجمة عن تهديدات الأمن السيبراني ودور إدارتها وخبرتها في تقييم وإدارة مخاطر الأمن السيبراني.
الخطوة الأولى التي يجب على أي منظمة اتخاذها هي إجراء تدقيق لفهم الفجوات الموجودة حتى تتمكن من الإبلاغ عنها بدقة واتخاذ خطوات لمعالجتها وتلبية جميع المتطلبات في النهاية. إحدى الطرق للقيام بذلك هي من خلال تقييمات الجاهزية القائمة على لجنة الأوراق المالية والبورصات، والتي يمكن أن تساعد في تحديد توافق امتثال تكنولوجيا المعلومات مع قواعد لجنة الأوراق المالية والبورصات وتوفير الوضوح لتطوير الاستراتيجية حول أي مجالات للتحسين. ستساعد هذه العملية في تحديد المجالات التي قد تكون فيها تدابير الأمن السيبراني مفقودة وإرساء الأساس لاستراتيجيات الامتثال الفعالة.
ما الذي يشكل أهمية مادية؟
تشير الأهمية إلى أهمية حادث الأمن السيبراني من حيث تأثيره المحتمل على الوضع المالي لمنظمتك أو عملياتها أو سمعتها. غالبًا ما يتضمن تحديد الأهمية تقييم عوامل مختلفة، بما في ذلك:
-
الأثر المالي: الخسائر المالية المحتملة أو الفعلية لمنظمتك، بما في ذلك التكاليف المتعلقة بانتهاكات البيانات، ونشاط برامج الفدية، واستعادة النظام، والرسوم القانونية، والغرامات التنظيمية، وخسارة الإيرادات.
-
التأثير التشغيلي: الاضطرابات التي تطرأ على العمليات التجارية، بما في ذلك عدم القدرة على الوصول إلى الأنظمة الحرجة، وفقدان البيانات، وانقطاع الخدمات. ويمكن حساب هذه الاضطرابات باستخدام مؤشرات الأداء الرئيسية لمتوسط الوقت اللازم للكشف (MTTD) ومتوسط الوقت اللازم للحل (MTTR).
-
التأثير على السمعة: الضرر المحتمل لسمعة المنظمة وعلامتها التجارية، والذي يمكن أن يؤدي إلى خسارة الإيرادات، وثقة العملاء، والتغطية الإعلامية السلبية، وحتى التأثيرات طويلة المدى على العلاقات التجارية.
-
التأثيرات القانونية والتنظيمية: الامتثال للمتطلبات القانونية والتنظيمية لصناعتك، بما في ذلك الالتزامات بالإبلاغ عن الانتهاكات ضمن أطر زمنية محددة وإمكانية فرض عقوبات تنظيمية.
-
التأثير على العملاء وأصحاب المصلحة: التأثيرات على عملائك ومورديك وأصحاب المصلحة الآخرين، بما في ذلك خروقات البيانات التي تعرض المعلومات الشخصية للخطر.
متطلبات 8-K وكيفية البقاء في نافذة الأيام الأربعة
كجزء من قواعد لجنة الأوراق المالية والبورصات، يتعين على المؤسسات ملء نموذج 8-K، الذي يوضح بالتفصيل حوادث الأمن السيبراني التي تعرضت لها. يجب ملء نموذج 8-K وتقديمه في غضون أربعة أيام عمل، وهو ما قد يكون صعبًا على المؤسسات التي لا تمتلك مسؤول أمن معلومات داخليًا أو إطار عمل منظم للأمن السيبراني. لضمان امتثال مؤسستك لنافذة الأيام الأربعة وامتلاكها مجموعة قوية من أدوات تكنولوجيا المعلومات للتعامل مع أي حوادث مدرجة في نموذج 8-K، يجب على المؤسسات:
-
قم بإجراء تقييم أولي لقياس التأثير المحتمل للحادث. حتى لو كانت التفاصيل الكاملة غير معروفة، فإن التقييم الأولي يمكن أن يوفر مؤشرًا مبكرًا لأهمية الأمر.
-
اتبع المتطلبات التنظيمية للإبلاغ عن حوادث الأمن السيبراني. تسمح العديد من اللوائح بالإبلاغ الأولي مع التحديثات اللاحقة عند توفر المزيد من المعلومات.
-
التواصل مع أصحاب المصلحة الرئيسيين، بما في ذلك الجهات التنظيمية والعملاء والشركاء، وإبلاغهم بالحادث. تقديم تحديثات دورية مع تقدم التحقيق. الشفافية أمر بالغ الأهمية في إدارة المخاطر المتعلقة بالسمعة.
-
اطلب التوجيه من الخبراء القانونيين لضمان الامتثال للقوانين واللوائح ذات الصلة. يمكنهم تقديم المشورة الحاسمة بشأن التزامات الإبلاغ ومساعدة مؤسستك في التعامل مع تعقيدات الحادث.
-
احتفظ بسجلات تفصيلية للحادث الإلكتروني، والخطوات التي اتخذتها مؤسستك لتقييم وتخفيف تأثير الحادث، وأي اتصالات مع أصحاب المصلحة. يعد التوثيق الجيد أمرًا ضروريًا للامتثال التنظيمي والرجوع إليه في المستقبل.
إن معالجة قواعد هيئة الأوراق المالية والبورصات فيما يتعلق بإدارة المخاطر والتدريب والحوكمة داخل مؤسستك ليس أمرًا مطلوبًا فحسب، بل يمكن أن يؤدي في النهاية إلى تحسين وضع الأمن وزيادة المرونة. تلعب إدارة المخاطر الفعّالة وبرامج التدريب الشاملة للموظفين والسياسات والإجراءات الواضحة دورًا في ترسيخ ثقافة الأمن أولاً والتي تعزز الشفافية والمساءلة. من خلال الأدوات والشركاء والعمليات المناسبة، يمكن للمؤسسات إنشاء أساس قوي للأمن والنجاح، مما يمكنها من التعامل مع التحديات بثقة والحفاظ على ثقة أصحاب المصلحة.