شماره: 6004
1399/07/23
راهبری شرکت‌ها در زمانه‌ی کووید 19: ملاحظات امنیت سایبری و فناوری
راهبری شرکت‌ها در  زمانه‌ی کووید 19: ملاحظات امنیت سایبری و فناوری

________________

نظارت بر امنیت سایبری مسئولیت اصلی هیأت مدیره است و حتی قبل از همه‌گیری ویروس کووید 19 نگرانی بسیاری برای شرکت‌ها ایجاد می‌كرد، اما اكنون كه بسیاری از سازمان‌ها به طور ناگهانی مجبور شدند وضعیت‌شان را به کار از راه دور تغییر دهند، این نگرانی بیش‌تر جلوه كرده است. شكاف در داده‌ها و سایر تهدیدات سایبری موقعیت رقابتی، اعتبار و ریسك‌های دعاوی حقوقی را به‌شدت تحت تاثیر قرار می‌دهد و جلوگیری، شناسایی و پاسخ‌گویی به آن‌ها، به سرمایه گذاری‌های هنگفت نیاز  دارد. تغییرات محیطی در نتیجه‌ی همه‌گیری ویروس كووید 19 ریسك‌های جدیدی ایجاد کرده است که باید با نظارت هیأت مدیره، مدیریت شوند.

با توجه به نظر اکثر کارشناسان، تخلف سایبری اجتناب‌ناپذیر است، ریسك سایبری باید بخشی از نظارت کلی هیأت مدیره بر ریسک باشد. این را به خاطر بسپارید که برای داشتن نقشی مؤثر در نظارت بر ریسک سایبری، نیازی نیست که مدیران كارشناس فناوری باشند. هر هیأت مدیره‌ای می‌تواند از فرصت استفاده کرده و اثربخشی اقدامات نظارت سایبری خود را بهبود بخشد.

هیأت مدیره باید سوالات عمومی زیر را برای درک ریسك امنیت سایبری مطرح کند:

•         پنج ریسك اصلی امنیت سایبری سازمان‌ چیست؟

•         چگونه این ریسك‌ها را مدیریت می‌کنیم؟

•         راهبری امنیتی چگونه مدیریت می‌شود؟

•         آیا در صورت نقض جدی، مدیریت یک پروتکل واکنشی قوی ایجاد کرده است؟

هیأت مدیره همچنین باید سؤالات زیر را در رابطه با فناوری و همه‌گیری  ویروس كووید 19 مطرح کند که به چهار دسته تقسیم شده‌اند: تعهدات، کار كردن از راه دور، انطباق و برنامه‌ها.

تعهدات:

شرکت (و هیأت مدیره)  چه میزان اطمینان دارد که علی‌رغم اختلال ایجاد شده برای كاركنان و فناوری به دلیل شیوع بیماری، تعهدات فناوری - محور به درستی انجام می شوند؟

کار كردن از راه دور:

با توجه به کار کردن کاركنان و پیمانکاران شركت از راه دور، چگونه شرکت امنیت اطلاعات را تأمین می‌کند؟

آیا شرکت برای کار از راه دور، امنیت محیط كار از راه دور را فراهم كرده است؟

انطباق:

چگونه شرکت مطابقت خود با الزامات قانونی و نظارتی را حفظ و اعتباربخشی می‌کند؟

برنامه‌ها:

برنامه‌های شرکت برای «بدترین حالت» در حوادث یا اتفاقات مربوط به همه‌گیری ویروس چیست؟ آیا تمرینات شبیه‌سازی انجام شده است؟( فعالیتی است که در آن پرسنل کلیدی که وظایف و مسئولیتهای مدیریت بحران را بر عهده دارند، دور هم جمع می‌شوند تا در شرایط امن، در مورد شرایط اضطراری شبیه‌سازی شده مختلف بحث کنند).

این شرکت چه معیارهای جدیدی را برای هیأت مدیره جهت نظارت بر ریسك‌ها از جمله توانایی ادامه‌ی فعالیت شرکت در نظر گرفته است؟ آیا ابزارهای ارتباطی مناسب برای موارد اختلال غیر منتظره در دسترس هستند؟

این شرکت چگونه برای آماده سازی خود در موقعیت‌هایی مانند شرایط اخیر یا موقعیت‌های دیگران در صنعت خود، آموزش دیده است؟

چه تغییراتی در برنامه‌ریزی سناریو‌ها برای بهبود انعطاف پذیری شرکت در آینده باید ایجاد شود؟

برای مدیریت ریسک در آینده آیا منابع مناسبی از جمله بودجه و پرسنل اختصاص داده شده است؟

نقش گسترده برای هیأت مدیره

انجمن ملی راهبری شركتی دو نقش اساسی را برای هیأت مدیره‌های شرکت‌ها تعریف کرده است،(1) « نظارت بر مدیریت از طرف سهام‌داران و سایر هیأت‌های مؤسس» و (2) « مشاوره‌ی مدیریت، البته با مشارکت محدود در عملیات روزمره‌ی شرکت». در زمان همه‌گیری ویروس كرونا، هیأت مدیره مسئول ارائه‌ی مشاوره بر اساس تجربیات گذشته، در سراسر صنایع و ارائه‌ی مشاوره بر اساس تجربیات فعلی در سراسر سازمان است. برای حمایت از این مسئولیت گسترده، هیأت مدیره مسئول موارد زیر است:

•         افزودن مدیرانی برای نظارت بر ریسك‌های نوظهور فناوری به دلایلی همچون، امکان کار کردن از راه دور

•         ایجاد کمیته‌ی فناوری و امنیت سایبری برای کار با تیم‌ مدیریت بحران شرکت در شرایط كرونا

•         درخواست جلسات تخصصی فناوری و ملاحظات امنیت سایبری برای مدیریت شرایط در زمان شیوع ویروس همه‌گیر.

•         داشتن ذهن پرسش‌گر پیرامون مسائل امنیتی و فناوری در زنجیره‌ی تأمین.

نقش شرکت

در بحث‌های هیأت مدیره، شرکت نیز مسئولیت‌هایی دارد. در اینجا برخی از موارد مرتبط با فناوری وجود دارد که  شركت باید آن‌ها را با هیأت مدیره مطرح کند.

شرکت‌ها باید آماده باشند تا آن‌چه را از گذشته آموخته‌اند برای هیأت مدیره شرح دهند، تمرینات شبیه سازی و برنامه‌ریزی برای سناریوهای متنوع را انجام دهند، در صورت لزوم برنامه‌های استراتژیک خود را به روز کنند و در مواجهه با تغییرات و چالش‌های جدید آماده باشند.

شرکت‌ها باید برای «شرایط عادی آتی» برنامه‌های استراتژیک داشته باشند و برای برنامه‌ریزی سناریو موارد زیر را مدنظر قرار دهند:

چه کسی:

•         برنامه‌ریزی برای جایگزینی كاركنان كلیدی

•         تعهداتی که برای مشتریان و الزامات نظارتی وجود دارند مانند امنیت، در دسترس بودن، رازداری و انطباق.

•         وابستگی تأمین كننده‌ی اصلی، شركای تجاری و خدمات سازمان به فناوری و تعهدات امنیتی (با علم بر این که برون‌سپاری مسئولیت پاسخ‌گویی شرکت را از بین نمی‌برد).

چه چیزی:

•         چرخش کاركنان و در دسترس نبودن پیمانکار.

•         در دسترس نبودن زنجیره‌ی تأمین فعال.

•         در دسترس نبودن امكانات اضطراری

•         ورشکستگی مشتری یا شكست زنجیره‌ی تأمین یا سایر مسائل مربوط به توانایی تداوم فعالیت.

•         فناوری و تعهدات وابسته به فناوری که از طریق قراردادها یا سایر توافق نامه‌ها ایجاد شده است.

سپس، شرکت‌ها باید آماده‌ی پاسخ‌گویی به سوالات مربوط به موارد ذکر شده در بالا باشند.

دركنار داشتن استراتژی کلی و برنامه‌ریزی سناریو، فناوری عامل موفقیت است. رهبران فناوری مانند مدیر ارشد اطلاعات و رئیس امنیت اطلاعات باید ریسك‌های امنیت سایبری را به هیأت مدیره منتقل کنند.

این موضوع بیش‌تر از این‌که علم باشد، هنر است. رهبران فناوری نباید در دام ارائه‌ی جزئیات فنی درباره‌ی آسیب پذیری‌ها قرار بگیرند. در عوض، آن‌ها باید برای بحث در مورد مسائل مربوط به ریسك‌های تجاری و گزینه‌هایی که شرکت برای مدیریت ریسك‌ها در اختیار دارد، آماده شوند تا مدیران و هیأت مدیره بتوانند تصمیم بگیرند.

به عنوان مثال، برای حفظ رقابت و تداوم فعالیت كسب و كار خود، باید قادر باشیم در هر زمان و هر مکان در زمینه‌ی مسائل مربوط به مشتری ورود پیدا كرده و مشاركت كنیم و برای تحقق چنین امری، سه گزینه در اختیارداریم:

گزینه‌ی الف: کاری نکنیم.

گزینه‌ی ب: برای رفع ریسك‌های مربوط به امنیت، انطباق، حفظ اطلاعات و غیره، یک راه حل ابری پیاده سازی کنیم.

گزینه‌ی پ: برای حمایت از تعهدات قانونی، نظارتی و مدیریت ریسک، یک راه حل ابری پیاده سازی کنیم یا پیشرفت‌های امنیتی مانند احراز هویت چند عاملی، رمزگذاری برای ارتباط با مشتری و پشتیبان‌گیری از منابع برای بازیابی سریعتر را پیاده سازی کنیم.

ملاحظات کمیته‌ی حسابرسی برای نظارت بر مسئولیت‌های حسابرس

در پایان، حسابرسان مستقل نیز برای نظارت بر فعالیت‌های هیأت‌ مدیره و بررسی صورتجلسات مسئولیت دارند. این نظارت شامل ارزیابی ریسک‌های بررسی شده، ارزیابی برنامه‌های استراتژیک تدوین شده و سناریوهای برنامه‌ریزی شده است. حسابرسان مستقل باید بر افشای عمومی در مورد همه‌گیری و تأثیر کلی آن بر واحد گزارشگر و موضوعات زیر تمركز نمایند:

کاهش ارزش دارایی

تداوم فعالیت

استفاده از برآوردها

امتیازات اجاره

تجدید ساختار

  استفاده از برنامه‌ی وام‌های‌ پرداخت حقوق و دستمزد و وام‌های حمایتی دولت برای آسیب‌های اقتصادی ویروس همه‌گیر به كسب و كارهای تجاری

مالیات بر درآمد و

رویدادهای پس از تاریخ ترازنامه

نقش اصلی راهبری

راهبری هیأت مدیره موضوع حیاتی است و باید در واکنش به همه‌گیر ویروس كووید 19 به تکامل خود ادامه دهد. فناوری و امنیت حوزه‌های اساسی برای نظارت بر موفقیت شرکت هستند. محافظت از اطلاعات سازمانی در حال حاضر مهم‌ترین و همچون گذشته پیچیده‌ترین مسئله است.

www.journalofaccountancy.com، 18 سپتامبر 2020

 

حق انتشار محفوظ است ©