ليس من السهل على الشركات أن تفهم كيفية الالتزام بها تنظيم الأمن العالمي والمرونة; لا يوجد مكان واحد تجتمع فيه كل اللوائح التنظيمية، وغالبًا ما يعود الأمر إلى فرق الامتثال الإقليمية وقادة الأمن لتفسير السياسات، مما يؤدي إلى الافتقار إلى التفكير المشترك والأساليب المنعزلة للغاية.
ومع ذلك، على الرغم من وجود فروق دقيقة دائمًا بناءً على الاختصاص الجغرافي الذي تعمل فيه الشركة، إلا أن هناك العديد من المواضيع التنظيمية العالمية الناشئة:
- إن المرونة التشغيلية والأمن أصبحت الآن لا تقل أهمية عن المرونة المالية
- الشفافية وتقديم التقارير في الوقت المناسب هي المفتاح
- التركيز على الضوابط السيبرانية الأساسية
- افعل الشيء الصحيح لعملائك وسيتبعه الباقي.
أصبحت المرونة التشغيلية والأمن الآن لا تقل أهمية عن المرونة المالية
يركز عدد من اللوائح على ضرورة تحديد أهم الخدمات التي تقدمها الشركة لعملائها والأسواق وجعلها آمنة قبل كل شيء. وتشمل الأمثلة بناء المرونة التشغيلية اللوائح في المملكة المتحدة و قانون المرونة التشغيلية الرقمية (DORA) في الاتحاد الأوروبي.
لقد نشأت هذه اللوائح بسبب وجود اعتقاد بأن الشركات غالبًا ما تركز على المرونة المالية، ولكن الانقطاعات الناجمة عن استغلال نقاط الضعف أو الفشل التشغيلي كانت تحدث بشكل متكرر للغاية وتعطل حياة العملاء. كانت هناك العديد من الأمثلة على الانقطاعات الكبيرة في السنوات الأخيرة بسبب المشكلات السيبرانية وكذلك التشغيلية وسلسلة التوريد، بما في ذلك إضراب جماعي, واناكراي وانقطاعات متعددة تؤثر على صناعة الطيران.
تحتاج الشركات إلى تحديد أهم خدماتها وحماية البنية التحتية اللازمة لتشغيلها. يتم تحقيق ذلك عادةً من خلال تحديد مقدار الضرر الذي قد يحدث نتيجة لانقطاع الخدمة ثم تصنيف الخدمات وفقًا لذلك. يجب أن تحصل الخدمات الأكثر أهمية على أكبر قدر من الاستثمار والحماية.
الشفافية وتقديم التقارير في الوقت المناسب هي المفتاح
عندما تسوء الأمور، يحرص المنظمون على فهم التفاصيل. يركز عدد من اللوائح التنظيمية عالميًا على ضرورة الإبلاغ عن مشكلات الأمن والإنترنت والمرونة في الوقت المناسب. وتشمل الأمثلة الإبلاغ عن الحوادث السيبرانية لقانون البنية التحتية الحيوية (CIRCIA) في الولايات المتحدة، متطلبات إعداد التقارير بموجب دورا في الاتحاد الأوروبي وإخطار الانتهاك للحوادث المتعلقة بالخصوصية على مستوى العالم، كما هو الحال بموجب اللائحة العامة لحماية البيانات.
ويجب على الشركات التأكد من قدرتها على الإبلاغ عن الحوادث السيبرانية والتشغيلية في الوقت المناسب، بما في ذلك فهم من سيقوم بصياغة الإخطار والموافقة عليه ومن سيتواصل مع كل هيئة تنظيمية. بعد ذلك، يجب أن يظل المنظمون على اطلاع مع تقدم الحادث، بما في ذلك ما تفعله المنظمة لحل الحادث.
قد يكون لكل ولاية قضائية جداول زمنية مختلفة لتقديم التقارير، لذا من المهم الاحتفاظ بسجل للوائح ومتطلبات إعداد التقارير (يتم تحديثه شهريًا على الأقل). هناك أدوات يمكنها أتمتة ذلك مما قد يقلل من الجهد المطلوب للمؤسسات العالمية الكبيرة لمواكبة متطلبات إعداد التقارير التنظيمية.
التركيز على الضوابط السيبرانية الأساسية
تؤيد بعض الولايات القضائية بشدة التركيز على الضوابط السيبرانية الأساسية. على سبيل المثال، في الولايات المتحدة، يجب على أي شركة ترغب في تقديم خدمات سحابية للحكومة الفيدرالية أن تكون معتمدة بموجب قانون فيدرامب مخطط لضمان وجود الضوابط السيبرانية الأساسية.
المعايير المعترف بها مثل ISO27001 و نيست CSF أصبحت محط اهتمام الشركات التي ترغب في إثبات أنها تعمل باستمرار على تحسين ضوابطها السيبرانية. كما أنها مفيدة أيضًا لإعداد تقارير مجلس الإدارة حيث يحتاج أعضاء مجلس الإدارة إلى فهم النضج الإلكتروني النسبي لشركتهم.
يجب على الشركات مراجعة مدى نضج ضوابطها السيبرانية سنويًا على الأقل ومقابل معيار معترف به. وهذا لا يقل أهمية بالنسبة للضوابط غير الفنية؛ على سبيل المثال، التأكد من أن الفرق مدربة على اكتشاف هجمات التصيد الاحتيالي، وأن هناك تدريبًا ومحاكاة منتظمة للاستجابة للحوادث وأن سلوكيات القيادة السيبرانية والمرونة تتماشى تمامًا مع حماية الشركة وعملائها.
افعل الشيء الصحيح من قبل عملائك وسيتبعه الباقي
من الواضح في معظم اللوائح الجديدة أن التركيز على حماية العملاء سيؤدي إلى نتائج أمنية أفضل بشكل عام. وقد ذهبت بعض الولايات القضائية إلى أبعد من ذلك وأصدرت لوائح لحماية هذه النتائج (مثل واجبات المستهلك في صناعة الخدمات المالية في المملكة المتحدة).
في كثير من الأحيان، عندما يحدث الأسوأ، تكون كيفية مساعدة الشركة لعملائها على التعامل مع الاضطراب جزءًا حاسمًا (لكنه غالبًا ما يُنسى) من الاستجابة. يمكن أن تستمر آثار الهجوم السيبراني لأشهر وسنوات مع ما يليه من تحقيقات شبه حتمية (بعضها مدفوع بمتطلبات تنظيمية).
في حين أن القول المأثور “دائما التعامل مع البنك الذي تعرض للسرقة للتو” قد يكون مفتعلا بعض الشيء، إلا أن هناك عنصر “مكافحة الهشاشة” في أن عمليات الشركة تكتسب قوة من خلال الضغط عليها من وقت لآخر. غالبًا ما يتم الحكم على الشركات بناءً على قوة استجابتها للعملاء والأسواق؛ وأولئك الذين يقومون بالأمر بشكل صحيح غالبًا ما يكونون قادرين على الظهور بشكل أقوى وأكثر مرونة.
وتحرص الحكومات دائماً على التأكيد على أهمية الحد من الأعباء التنظيمية، ولا يستطيع أحد أن يزعم أن التنظيم لا ينبغي له أن يؤدي إلى إبطاء الابتكار. ومع ذلك، هناك تصور عام بأن الجمهور والمستهلكين والأسواق لم يتمتعوا بالحماية الكافية من التأثيرات السيبرانية والتشغيلية، وتقوم الجهات التنظيمية الآن بمعالجة هذه المخاوف. وهذا يعني أنه من غير المرجح أن نرى تحول التركيز بعيدًا عن المرونة السيبرانية والتشغيلية وتنظيم سلسلة التوريد في أي وقت قريب.
آدم سترينجر هو رئيس قسم الأمن السيبراني والخصوصية والمرونة التشغيلية في الخدمات المالية في استشارات السلطة الفلسطينية
