بورڈز قابل نفاذ سائبر رسک ٹالرینس لیولز کیسے سیٹ کر سکتے ہیں۔

بورڈ آف ڈائریکٹرز کے لیے انٹرپرائز کے لیے خطرے کی برداشت کی کم سطح کا انتخاب کرنا عام ہوتا جا رہا ہے۔ مسئلہ یہ ہے کہ کارروائی عام طور پر وہیں رک جاتی ہے، سی ای او یا سی ایف او کو مختلف فیصلے کرنے کے لیے کوئی نئی ہدایات کی عدم موجودگی کے ساتھ جو اس کم خطرے کی رواداری کی حمایت کرتے ہیں۔

زیادہ سے زیادہ اگلے اقدامات میں ضروری نہیں کہ زیادہ رقم شامل ہو، حالانکہ سائبر سیکیورٹی فنڈنگ ​​میں اضافہ سب سے واضح اور اکثر ضروری اقدام ہے۔ اس میں انٹرپرائز کی رسک پوزیشن کو اپ گریڈ کرنے کے لیے درکار تبدیلیاں کرنے کا اختیار دینا بھی شامل ہو سکتا ہے۔

CISO یا CRO کو نئے سیکورٹی حالات کے ساتھ کلاؤڈ معاہدوں کو منظور کرنے کے قابل ہونا چاہیے۔ انہیں اس قابل بھی ہونا چاہیے کہ وہ ممکنہ کاروباری شراکت داروں سے حفاظتی اقدامات کو پورا کریں، جیسے کہ غیر اعلانیہ قلم کی جانچ۔ ہوسکتا ہے کہ CISO BYOD موبائل پالیسی کو ختم کرنا چاہتا ہو اور اس کے بجائے صرف کمپنی کے زیر کنٹرول آلات پر اصرار کرے — ان کے پاس یہ کال کرنے کا اختیار ہونا چاہیے۔ یا ہو سکتا ہے کہ CSO اکاؤنٹس کے قابل ادائیگی اخراجات کی رپورٹس کا آڈٹ کرنے کا حق چاہتا ہو، کسی بھی خریداری (روٹرز، کلاؤڈ وینڈرز، IoT ڈیوائسز، وغیرہ) کی تلاش میں ہو جو اس بات کی نشاندہی کر سکے۔ شیڈو آئی ٹی.

"اس کے بارے میں جو چیز گڑبڑ ہوتی ہے وہ یہ ہے کہ بورڈ کے لیے یہ کہنا بہت آسان ہے کہ اس میں خطرے کی برداشت کم ہے۔ یہ تقریبا ایک مارکیٹنگ پیغام میں بدل جاتا ہے،" جیف پولارڈ، وی پی اور فارسٹر ریسرچ کے پرنسپل تجزیہ کار کہتے ہیں۔ "کیا بورڈ کے اراکین حقیقت میں سمجھتے ہیں کہ کم خطرے کی رواداری کا کیا مطلب ہے؟ یہ صرف یہ کہنے کے لئے بورڈ کو کچھ بھی نہیں خرچ کرتا ہے۔ کم خطرہ رواداری کے اثرات اور مضمرات ہیں۔"

پولارڈ کا کہنا ہے کہ کچھ بورڈز کے لیے، اس اعلان اور اسے حقیقی بنانے کے لیے مناسب تبدیلیوں کے درمیان "کوئی براہ راست تعلق نہیں ہے"۔ وہ مزید کہتے ہیں، "یہ فیصلہ کرتے وقت اور بجٹ کا فیصلہ کرتے وقت بورڈ اکثر منقطع ہو جاتے ہیں۔ 21 ویں صدی میں خطرہ اکثر مقداری ہوتا ہے جو کہ کوالٹیٹیو کے سر پر ہوتا ہے۔ ان کے پاس مقدار ہونے کا یہ بہانا ہے جب وہ نہیں ہیں۔ ہم غلط زبان استعمال کر رہے ہیں گویا یہ بالکل درست ہے۔ خطرہ ناگوار ہے۔ عملی طور پر اس کا کیا مطلب ہے اس کی کوئی حقیقی معنی خیز تعریف نہیں ہے۔

"سب سے تیزی سے بڑھتی ہوئی تقسیم شاید زیادہ خطرہ ہے کیونکہ وہ اتنی تیزی سے بڑھ رہے ہیں اور وہ وہ کر رہے ہیں جو اس تیزی سے بڑھنے کے لیے کرنے کی ضرورت ہے،" وہ کہتے ہیں۔ "کیا بورڈ (سی ای او) کو بریک لگانے کے لیے بااختیار بنا رہا ہے؟ مجھے ایسا نہیں لگتا۔ یہ خطرات کے بارے میں اتنی بات چیت نہیں ہے جتنا کہ یہ تجارت کے بارے میں گفتگو ہے۔

کنکریٹ ایگزیکٹو اتھارٹی کا قیام

McKinsey میں ایک ایسوسی ایٹ پارٹنر سومیا بنرجی کا کہنا ہے کہ آج بورڈز کو بہت زیادہ نفیس سمجھ رکھنے کی ضرورت ہے۔ خطرہ اور اس سے نمٹنے کے ٹھوس طریقے.

"بورڈز کے پاس اب بھی اتنی ہی سمجھ ہے کہ انہیں کیا خطرات درکار ہیں۔ آج خطرات اتنی تیزی سے تیار ہو رہے ہیں،‘‘ بنرجی نے کہا۔ "جب بورڈ کہتا ہے کہ 'کم رسک ٹالرینس'، تو اسے انتہائی ٹھوس کلیدی خطرے کے اشارے کی فہرست مرتب کرنے کی ضرورت ہے۔ خطرے کی رواداری کو خطرے کے اثرات سے بیان کرنے کی ضرورت ہے۔ ایک قطعی رابطہ منقطع ہے۔ بورڈز کو خطرے کی رواداری کے لحاظ سے صحیح طریقے سے سائبرسیکیوریٹی کی نمائندگی کرنی چاہیے — خلاصہ میں نہیں، بلکہ انتہائی ٹھوس طریقوں سے۔ تجارت کیا ہیں؟ کیا ہمارے پاس ایسا کرنے کے لیے پیسے ہیں؟‘‘

اینڈریو موریسن، حکمت عملی، دفاع، اور ڈیلوئٹ میں رسپانس لیڈر، بورڈ کے خطرے کو قبول کرنے کے ساتھ کلیدی چیلنج دیکھتے ہیں۔ اتھارٹی.

"ایک چیز جو واقعی غائب ہے وہ ہے سائبرسیکیوریٹی میں فیصلہ سازی کا مناسب اختیار۔ جہاں ہم دیکھتے ہیں کہ واقعات جنوب کی طرف جاتے ہیں وہیں کمانڈ اور کنٹرول کے فیصلے مشکوک ہوتے ہیں۔ مثال کے طور پر، آن لائن موجودگی کو بند کرنے کا فیصلہ کون کر سکتا ہے؟" موریسن کہتے ہیں۔ "بورڈ یہ سمجھے بغیر کہ تنظیم کے لیے اس کا کیا مطلب ہے، کم خطرے کی رواداری کا اعلان کرے گا۔ اس حد تک بات چیت کی ضرورت ہے کہ CISO اور سیکیورٹی ٹیم کو فیصلے کرنے کا اختیار حاصل ہے۔

ارنسٹ اینڈ ینگ امریکہ کے سائبر سیکیورٹی لیڈر ڈیوڈ برگ کا کہنا ہے کہ میراثی نظام مؤثر طریقے سے انتہائی پرجوش خطرے سے بچنے والے بورڈ کی حکمت عملی کو بھی کمزور کر سکتے ہیں، خاص طور پر مینوفیکچرنگ اور دیگر OT شعبوں میں بہت پرانے، مہنگے سسٹمز کا سب سیٹ۔

"اس میں میراث کا ایک خاص ذائقہ شامل ہے جہاں CISO کو کہا جاتا ہے، 'اس چیز کو مت چھونا۔ یہ بہت حساس اور بہت پرانا ہے، ''برگ کہتے ہیں۔ کوئی بھی سسٹم جو IT اور سیکیورٹی کی حد سے باہر ہے وہ ایک ایسا نظام ہے جسے حملہ آور میلویئر کو چھپانے کے لیے ایک بہترین جگہ کے طور پر دیکھیں گے۔

شیئر ہولڈر کی مناسب توقعات کا تعین کرنا

فیڈرل ریزرو بینک آف کلیولینڈ کے سائبر سیکیورٹی اور آپریشنل رسک مینجمنٹ لیڈر میٹ ٹولبرٹ کا کہنا ہے کہ بورڈز کو سائبر رسک ایپیٹائٹ حکمت عملی تیار کرتے وقت تعمیل کی ضروریات کے بارے میں محتاط اور حکمت عملی اختیار کرنے کی ضرورت ہے۔

ٹولبرٹ، جس نے ایک ڈیلیور کیا۔ 2023 RSA کانفرنس میں گفتگو اس طرح کی پالیسی کا فیصلہ کرنے کے ارد گرد بورڈ کے مسائل کے بارے میں، کہتے ہیں کہ اس طرح کی پالیسیوں کو ترتیب دینا ضروری ہے تاکہ شیئر ہولڈرز خطرے کی سطح کو سمجھیں جو اسٹاک برداشت کرنے کے لئے تیار ہے. ٹولبرٹ کا کہنا ہے کہ "یہ سب پر واضح ہونے کی ضرورت ہے کہ وہ توقعات کیا ہیں۔"

"تیسرے فریق کے لیے کیا کرنا مناسب ہے؟ یا بادل کی طرف بڑھتے وقت؟ یہ رہنمائی ہے کہ آیا یہ قابل قبول ہے،" ٹولبرٹ کہتے ہیں۔ ایک طریقہ یہ ہے کہ ممکنہ شراکت داروں کے ساتھ گہرے خطرے سے متعلق بات چیت کی جائے تاکہ اس بات کا تعین کیا جا سکے کہ آیا دونوں کمپنیاں یکساں خطرے کی رواداری رکھتی ہیں۔

وہ یہ بھی نوٹ کرتا ہے کہ صرف عملی خطرے کو برداشت کرنے کی سطح کم، درمیانی اور زیادہ ہے۔ ایک بورڈ قانونی وجوہات کی بناء پر یہ اعلان نہیں کر سکتا کہ اس کے پاس خطرہ برداشت نہیں ہے۔ اگر ایسا ہوتا ہے، تو یہ کمپنی کو ایک ہی خلاف ورزی کے بعد مقدمہ کرنے کے لیے کھول دے گی۔

• SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
• پلیٹوآئ اسٹریم۔ ویب 3 ڈیٹا انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
• ایڈریین ایشلے کے ساتھ مستقبل کا نقشہ بنانا۔ یہاں تک رسائی حاصل کریں۔
• PREIPO® کے ساتھ PRE-IPO کمپنیوں میں حصص خریدیں اور بیچیں۔ یہاں تک رسائی حاصل کریں۔
• ماخذ: https://www.darkreading.com/edge-articles/how-boards-can-set-enforceable-cyber-risk-tolerance-levels