من قبل مركز ناسداك لتميز مجلس الإدارة “المخاطر والإشراف الإلكتروني” مجلس الرؤى: دومينيك شيلتون لايبزيغ ، وكريس هيتنر ، وستيف رويكروفت ، وراج دي
هذا هو المنشور الثاني للمدونة من سلسلة من جزأين تشارك تكتيكات المجالس لمعالجة المشكلات السيبرانية. اقرأ الجزء الأول: تتطلب المرونة مسارًا حديثًا لإدارة مخاطر البيانات والخصوصية والإنترنت على مستوى مجلس الإدارة.
في البيئة الحالية التي تلوح في الأفق (ولكن لم يتم الانتهاء منها بعد) المتطلبات القانونية للأمن السيبراني ، ومخاطر التقاضي المشتقة من المساهمين الأمريكيين ، والمخاطر السيبرانية العالمية الجنائية والجيوسياسية المتزايدة وإرشادات المدير التنظيمي العالمي ، قد تنظر مجالس الإدارة في الخطوات الخمس التالية لتوقع قضايا الخصوصية والإنترنت:
الخطوة 1: تأكد من وجود خصوصية كافية وكفاءة إلكترونية في غرفة مجلس الإدارة إما من خلال تعيينات مجلس الإدارة أو مستشاري الطرف الثالث. يجب أن تضمن المجالس أن لديهم خبرة في الأمن السيبراني والخصوصية في غرفة الاجتماعات. إذا لم يكن لدى مجلس الإدارة أعضاء مجلس إدارة يتمتعون بالخصوصية و تجربة الأمن السيبراني ، ينبغي النظر في اتباع توصيات لجنة الأوراق المالية والبورصات الأمريكية وإدارة الخدمات المالية في نيويورك (DFS) للاحتفاظ بمستشارين من الأطراف الثالثة لدعم مجلس الإدارة. كما قال قسم الدعم المالي في نيويورك في تعديلاته المقترحة ، “يجب أن يتمتع مجلس الإدارة أو اللجنة المناسبة من المجلس بالخبرة والمعرفة الكافية أو أن يتم إرشادهم من قبل الأشخاص ذوي الخبرة والمعرفة الكافية ، لممارسة رقابة فعالة على المخاطر الإلكترونية ولجنة أو لجنة فرعية معينة المسؤولية عن الأمن السيبراني. “
الخطوة 2: تنفيذ استراتيجية على مستوى مجلس الإدارة لإدارة مخاطر البيانات والمرونة. يجب أن تحدد القيادة البيانات التي قد تعزز نجاح الشركة ، والعكس بالعكس ، أي البيانات الخارجية. سيرغب المجلس في معرفة ما إذا كانت الإدارة قد أنشأت خطة للتخزين الآمن للبيانات ومشاركتها. قد يؤدي عدم القيام بذلك إلى تعارض الشركات مع التوقعات التنظيمية في الولايات المتحدة والاتحاد الأوروبي. من المهم أن تنظر مجالس الإدارة في كيفية الموازنة بين الأهداف الاستراتيجية وتوقعات المستثمرين المتزايدة حول مقاييس التتبع ، مثل تلك المتعلقة بالمسائل البيئية والاجتماعية والحوكمة (ESG) وإدارة رأس المال البشري وتوقعات المستهلك المتعلقة بالمرونة وخصوصية البيانات الشخصية.
قد لا تدرك الشركات هذا الوكيل تقوم شركات مثل مجموعة خدمات المساهمين المؤسسيين (ISS) بالفعل بتصنيف الشركات على مستوى نضجها السيبراني والخصوصية. تتمثل إحدى طرق تحقيق ذلك في أن تفكر الشركة في البيانات التي تحتاجها لتفعيل خطتها الاستراتيجية وأهدافها. يمكن التخلص من البيانات غير الحاسمة للبعثة لتقليل المخاطر. من ناحية أخرى ، يجب تحديد البيانات الضرورية لتحقيق أهداف العمل ومعالجتها وحمايتها بطريقة تتفق مع توقعات حوكمة البيئة والمجتمع والحوكمة. يجب أن تكون السياسات المتوافقة مع خصوصية البيانات والحفاظ على المرونة من تهديدات الأمن السيبراني متسقة مع العلامة التجارية للشركة. على سبيل المثال ، إذا كانت الشركة معروفة بالثقة ، فيجب أن يعكس الحمض النووي الرقمي الخاص بها ذلك. على مستوى مجلس الإدارة ، تعد السياسات ضرورية لضمان تقييم البيانات مثل أي أصول أخرى للشركة وأن الأسئلة التي تركز على الخصوصية / الأمن السيبراني يتم تطويرها لإثبات الإشراف على الإدارة.
الخطوة 3: وضع سياق للمخاطر السيبرانية على التعرض المالي. يجب دمج الأمن السيبراني وخصوصية البيانات في إستراتيجية إدارة مخاطر المؤسسة (ERM) على مستوى الشركة لتعزيز النمو الكلي. بينما تصل التهديدات الإلكترونية إلى مستويات جديدة من التطور ، تقول 17٪ فقط من الشركات إنها قدمت مقاييس مجدية للمخاطر الإلكترونية للفرق التنفيذية ومجلس الإدارة ، وفقًا للمنتدى الاقتصادي العالمي لعام 2021 (WEF) أبلغ عن. أقر تقرير المنتدى الاقتصادي العالمي بأن مجالس الإدارة بحاجة إلى “مصادر متنوعة” من الخبرة في مجال الأمن السيبراني ، وأنه يجب على المجالس “البحث عن مستشارين ومقيمين من الأطراف الثالثة – يقدمون تقاريرهم إلى مجلس الإدارة بانتظام – لضمان الإشراف الفعال على الإدارة”.
يجب توعية المجالس حول درجة تعرض شركاتهم لأشكال مختلفة من المخاطر الرقمية ، بالإضافة إلى الآثار التجارية والمالية المحتملة. بعض أدوات مفيدة التي قد تستخدمها الإدارة لإدارة المخاطر وتقرير المقاييس إلى مجلس الإدارة بما في ذلك الرابطة الوطنية لمديري الشركات خدمة الإبلاغ عن المخاطر السيبرانية، والتي تشمل مؤشرات المخاطر الرئيسية (KRIs) التي تقيس التعرض للمخاطر المالية المادية للتهديدات السيبرانية التي تؤثر على المنظمة. يجب تقديم هذه الأنواع من التقارير إلى مجالس الإدارة من قبل إدارة إقليم كوردستان الذي يؤثر على الشركة وصناعتها.
قد تنظر المجالس في تأسيس مناقشات حول الأمن السيبراني وخصوصية البيانات من خلال الآثار المالية وتأثيرات الشركة المرتبطة بكل نوع من أنواع المخاطر. يساعد ذلك في ربط تقييم الخصوصية والمخاطر الإلكترونية بالإجهاد الاستراتيجي والميزانية العمومية. في بعض الحالات ، يميل كبار مسؤولي المعلومات (CIOs) وكبار مسؤولي أمن المعلومات (CISOs) إلى الاعتماد على التقارير التكتيكية والفنية الدورية لتبرير الحلول التقنية التي قد تؤدي فقط إلى قمع المخاطر. قد “يضيع هذا في الترجمة” عند إشراك أعضاء مجلس الإدارة والجناح التنفيذي الأوسع ، مما يترك القيادة غير متأكدة مما تموله وأين تبقى الفجوات. تهتم المجالس بماهية المشكلة (أي الخصوصية وأمن البيانات) وكيف سيؤثر ذلك على الشركة. إن ترسيخ المناقشة في المخاطر القابلة للقياس هو خطوة أولى حاسمة لتعظيم الفرص.
الخطوة 4: تأكد من أن مجلس الإدارة على دراية كافية بالمشاركة الفعالة في إستراتيجية البيانات. إن اتباع نهج “ما لا نعرفه لا يمكن أن يؤذينا” للاستراتيجية الرقمية لم يعد خيارًا. بحسب ديلويت أبلغ عن، يشعر 41 ٪ من المديرين التنفيذيين في C Suite أن مجلس إدارتهم يوفر إشرافًا تقنيًا كافيًا. وفي الوقت نفسه ، أشار ثلثا أعضاء مجلس الإدارة إلى أن التثقيف بشأن أحدث الابتكارات الرقمية من شأنه أن يحسن بشكل فعال من قدرتهم على توفير الإشراف. تشمل الضرورات الأخرى رفع مستوى القادة البارعين في قضايا البيانات إلى مجلس الإدارة ، وجلب الخبراء والمستشارين والموردين لتثقيف مجلس الإدارة على أساس ربع سنوي.
من الأهمية بمكان أن يفهم مجلس الإدارة التهديدات المحتملة التي تواجه الشركة. يجب على المجالس والإدارة على المستوى C النظر في التركيز على تحسين الوعي بالموقف مع وضوح الرؤية للمخاطر والتهديدات الناشئة حتى يتمكنوا من إدارة المشكلات المحتملة بشكل استباقي والتخفيف من حدتها. تحتاج المجالس أيضًا إلى وصول أكثر كفاءة إلى الاستخبارات الإلكترونية والخبرة الاستراتيجية ، مما يؤدي إلى توفير الوقت بالإضافة إلى القدرة على إعادة توزيع الموارد المرتبطة بإدارة مخاطر المؤسسة. أخيرًا ، قد تركز المجالس على نتائج أفضل لإدارة المخاطر – قد يصبح التخفيف من المخاطر نقطة تمايز مستدامة للشركة.
الخطوة الخامسة: انظر إلى الصورة الكبيرة. يجلب الابتكار التكنولوجي أ الثورة الصناعية الرابعة. من خلال الاستفادة من البيانات بشكل فعال ، يمكن أن تكون الشركات معطلة بدلاً من أن تكون معطلة. مع تعافي العالم من جائحة الفيروس التاجي ، قد تستخدم الشركات التطلعية البيانات للتخفيف من نقاط الضعف وتحديد مجالات الاستثمار. قد تستفيد المجالس من لحظة التحول العالمي هذه للمساعدة في إعادة وضع علاماتها التجارية كرائدة في الصناعة في مجال الرقمنة.
نحن ننتج 2.5 كوينتيليون بايت من البيانات يوميًا على مستوى العالم. غالبًا ما تصطدم الشركات بالتطورات في البيانات. من المهم للشركات أن تتعامل مع مسألة الخصوصية وأن تنظر حول الزوايا حتى تتمكن من توقع مشكلات جديدة مثل التحيز الخوارزمي وخصوصية البيانات والتمويل الرقمي وغير ذلك الكثير الذي يتماشى مع ابتكار البيانات. تعد قيادة مجلس الإدارة في مجال خصوصية البيانات والأمن السيبراني مكونًا مهمًا لإشراف الشركة. النهج الاستباقي في هذه القضايا هو المفتاح لتعزيز التميز في قاعة مجلس الإدارة وخارجها.
المبدأ السائد لأي مجلس يشرف على خصوصية البيانات هو أنه ينبغي التعامل معها على أنها قضية إدارة مخاطر مؤسسية ، وليس مشكلة تقنية يتعين على فريق تكنولوجيا المعلومات التعامل معها. تعد إدارة مخاطر البيانات مجرد عنصر واحد من عناصر إدارة مخاطر الشركة ويجب أن تكون مراقبة مثل هذه المخاطر جزءًا من إشراف مجلس الإدارة على تنفيذ وأداء برنامج إدارة المخاطر المؤسسية في الشركة. وفقًا لذلك ، في حين أن أعضاء مجلس الإدارة قد لا يفهمون جميع التفاصيل التكنولوجية المحيطة بأنظمة وعمليات حماية البيانات ، فلا يزال من المهم لمجلس الإدارة أن يكون مرتاحًا للإدارة بشكل فعال في معالجة مخاطر بيانات الشركة.
للوفاء بواجب العناية فيما يتعلق بالإشراف على مخاطر بيانات الشركة – وللتمكن من إثبات أنها أوفت بهذا الواجب – يجب على مجلس الإدارة طرح أسئلة مدروسة واستراتيجية لفهم كيفية معالجة الإدارة للرقمنة وخصوصية البيانات وللتأكد من ذلك مريحة ، وأن البروتوكولات المعمول بها أو التي يجري اتخاذها في هذا الصدد كافية ومناسبة. إن طرح الأسئلة وممارسة الحكم الجيد يساعد المديرين في الإشراف بنجاح على مخاطر البيانات التي تواجه الشركة وخطة الشركة للتخفيف من هذه المخاطر والاستجابة لها بثقة.
عن المؤلفين: دومينيك شيلتون لايبزيغ، شريك في الأمن السيبراني وخصوصية البيانات وقائد ابتكار البيانات العالمية في Mayer Brown ؛ كريس هيتنر، مدير تنفيذي ، مدير مجلس إدارة ، رائد في مجال الأمن السيبراني ، ورئيس سابق في المجلس الأعلى للتعليم ، مستشار أول للأمن السيبراني ؛ ستيف رويكروفت، الرئيس التنفيذي لشبكة RANE ؛ راجيش دي ، شريك ورئيس قسم الأمن السيبراني وخصوصية البيانات في Mayer Brown
الآراء والآراء الواردة هنا هي آراء وآراء المؤلف ولا تعكس بالضرورة آراء وآراء Nasdaq، Inc.
لمزيد من رؤى وموارد القيادة ، انضم إلى مركز ناسداك لتميز مجلس الإدارة، بيئة مجتمعية وتعاونية يتم فيها تعميق مشاركة مجلس الإدارة وتبادل الخبرات. سجل اليوم!
