ما الذي يجب على مدراء أمن المعلومات استبعاده من ملفات الأمن السيبراني لهيئة الأوراق المالية والبورصات

مع استمرار الشركات في تقييم الحوادث الأمنية التي تشكل شيئًا جوهريًا بما يكفي للإبلاغ عنها بموجب القانون الجديد قواعد SEC، يواجه مدراء تكنولوجيا المعلومات التحدي المتمثل في تحديد التفاصيل التي يجب الإبلاغ عنها، والأهم من ذلك بكثير، أي التفاصيل يجب حذفها.

"تضع قاعدة [هيئة الأوراق المالية والبورصة] هذه كبار مسؤولي أمن المعلومات في موقف حساس للغاية، وهم كذلك ليس يقول ميريت مكسيم، نائب الرئيس ومدير الأبحاث في شركة Forrester: "يحصلون على الكثير من التوجيه والتوجيه". "أنت تعلم أنك قد تعرضت للخطر، ولكن ليس لديك كل الحقائق في اليوم الأول."

في حالة أ حادث مادي، سيتعين على CISO، جنبًا إلى جنب مع مركز العمليات الأمنية، إعداد مذكرة تحتوي على جميع تفاصيل الحادث وإرسالها إلى علاقات المستثمرين والشؤون القانونية. وبمجرد قيام تلك الإدارات بمراجعتها، سيتم استخدام المذكرة لإعداد الملف المقدم إلى لجنة الأوراق المالية والبورصات.

على الرغم من أن قواعد هيئة الأوراق المالية والبورصات الجديدة ستدخل حيز التنفيذ في 18 ديسمبر، إلا أنها موجودة بالفعل الإفصاحات من ثلاث مؤسسات يمكن لرؤساء أمن المعلومات الاطلاع عليها للحصول على فكرة عن كيفية الالتزام بالقواعد الجديدة: سيزار, MGM، و اثنان برادة تبدأ من كلوروكس.

وبما أن التسجيلات تتعامل مع حوادث مختلفة جدًا، فمن المنطقي أن تكون المعلومات الواردة مختلفة جدًا أيضًا. ومع ذلك، فإن التسجيلات متسقة من حيث أنها تركز على ما هو معروف وتتجنب التكهنات والتنبؤات. لا تشارك التسجيلات أيضًا أي تفاصيل من المحتمل أن تتغير.

الالتزامات المتنافسة

هناك ثلاثة أهداف متنافسة يعمل عليها كبار مسؤولي تكنولوجيا المعلومات في وقت واحد:

• تقرير بقدر ما تستطيع. من الناحية القانونية، الهدف هو مشاركة أكبر قدر ممكن من المعلومات مع المستثمرين والمستثمرين المحتملين.
• الإبلاغ عن أقل ما تستطيع. من منظور الأمن السيبراني، الهدف هو إخبار المهاجمين المحتملين بأقل قدر ممكن عن مشهد التهديد ودفاعاتك، خاصة عندما لا يتم احتواء الهجوم بشكل كامل بعد.
• قم بالإبلاغ فقط عما أنت واثق منه. معظم التفاصيل الأولية خاطئة، ويتم تحديث التقارير بشكل متكرر مع مرور الأيام والأسابيع والأشهر. ويثير هذا سؤالا شائكا: هل الشركة ملزمة بالكشف عن المعلومات التي تعتبرها - في البداية، على الأقل - ذات موثوقية منخفضة للغاية؟

يقول ديرك هودجسون، كبير مسؤولي أمن المعلومات في شركة NTT Australia: "لا تبلغ إلا عما تعرفه بنسبة يقين تبلغ 80-90%". "بعد أيام قليلة من وقوع الحادث، لن تعرف الكثير ببساطة. من المحتمل أنك لا تزال غير قريب حتى من نقطة إجراء مسح لبيئتك العالمية بأكملها.

يؤكد دوغلاس برش، وهو خبير خاص في المحاكم الفيدرالية الأمريكية والمسؤول الرئيسي في شركة Accel Consulting، على أن اختيار تفاصيل الحوادث الأمنية التي تعتبر جوهرية قد يكون أمرًا صعبًا. ويقول إنه أمر واحد أن نستنتج أن الحادث جوهري، لكن اختيار التفاصيل المحددة ذات الصلة وذات المغزى للجمهور الاستثماري أمر مختلف تمامًا.

يقول براش: "ليس لدى معظم الشركات أي فكرة عن التأثير الذي ستحدثه العمليات السيبرانية في نهاية المطاف على أعمالها".

يقول فيل نيراي، نائب رئيس استراتيجية الدفاع السيبراني في شركة Gem Security، إن ملفات Clorox لدى هيئة الأوراق المالية والبورصة توضح جيدًا نقطة "الإبلاغ عما أنت واثق منه". ويقول إنهم "ساروا بشكل صحيح على خط رفيع بين قول ما يعرفونه ووضع تقديرات أساسية حول المدة التي ستستغرقها استعادة العمليات".

يجب أن تظل عمليات الإفصاح بسيطة ومرتبطة بالحقائق، كما يوافق على ذلك ريكس بوث، كبير مسؤولي أمن المعلومات في شركة Sailpoint. يقول: "احتفظ بالأمر على مستوى ملخص للغاية". "الأشياء الملموسة والقابلة للقياس: ما هي العمليات التي توقفت، وما هي الأنظمة التي تم اختراقها. تحدث عن التأثير الملحوظ وليس السببية. ونقول إننا سنواصل التحقيق مع كيانات خارجية».

ما ليس عليك أن تقوله

هناك عنصر مهم آخر وهو ما إذا كانت المعلومات ستكون ذات قيمة قابلة للتنفيذ للمساهمين والمستثمرين المحتملين. ينصح بوث بضرورة موازنة قيمة الكشف عن ثغرة أمنية معينة مع إمكانية تزويد المهاجمين بمزيد من المعلومات التي يمكنهم استخدامها ضدك.

يجب أن يكون CISOs أيضًا على دراية بالتفاصيل المعلنة بالفعل. في حادثتي Caesars وMGM، على سبيل المثال، كانت هناك معلومات متاحة عبر وسائل التواصل الاجتماعي أكثر من تلك الواردة من التسجيلات، مثل حقيقة أن الضيوف المقيمين في الكازينوين كانوا غير قادرين على الدخول إلى غرفهم. هذا هو نوع التفاصيل التي لا يمكنك الاحتفاظ بها سرًا، حتى لو أردت ذلك.

في حين أنه من المنطقي الإبلاغ عن الأشياء المؤكدة فقط، فإن هذه النصيحة قد لا تكون بالضرورة هي القرار الصحيح دائمًا. يقول ناج أديب، مدير المخاطر والمالية للمخاطر السيبرانية والاستراتيجية في شركة ديلويت: "من ناحية، يتعين عليك إصدار حكم على مادة المعلومات". "لكن التزامك هو الكشف."

يقول أديب إنه يجب على مسؤولي أمن المعلومات أن يفصلوا ما حدث عما ستفعله المنظمة حيال ذلك. ويضيف: "ليس هناك أي شرط للخروج ومناقشة العلاج".

الملف الشخصي العالي للخروقات

ومن الناحية العملية، لم يتغير شيء فيما يتعلق ماذا يجب الإبلاغ عنه، حيث أن هيئة الأوراق المالية والبورصة تطلب دائمًا من كل شركة مملوكة للقطاع العام الإبلاغ عن أي شيء جوهري إلى هيئة الأوراق المالية والبورصة. التغيير يتعلق بالتوقيت – في غضون أربعة أيام - والتركيز على الإفصاحات. إن حقيقة أن هيئة الأوراق المالية والبورصة لديها الآن وثيقة مخصصة فقط للإبلاغ عن حوادث الأمن السيبراني ستجعل الحوادث في المقدمة مع كل مجلس إدارة، وبالتالي، مع كل مدير تنفيذي ومدير مالي.

"سيؤدي هذا إلى مزيد من الاهتمام الداخلي. يقول بوث: "لم يعد هذا خطًا مدفونًا في مئات الآلاف من الخطوط في مسافة 10 آلاف".

يجب على CISOs أيضًا إحضار مستشاري الشركة أو المستشارين القانونيين الخارجيين إلى مناقشات وقرارات الإفصاح، كما يقول Accel's Brush. يجلب هذا الإجراء المشورة القانونية اللازمة إلى المناقشة و يحمي المحادثات من أن تكون قابلة للاكتشاف قانونيًا بسبب امتياز المحامي وموكله.

يقول براش: "من المحتمل أن تكون اتصالات CISO مع فريق الأمن الداخلي قابلة للاكتشاف". ويضيف قائلاً: مع وجود محامٍ وبالتالي حمايته، "بينما تقوم بإعداد بيانك النهائي، يمكنك إجراء مناقشات مفتوحة وصريحة".

• محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
• PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
• أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
• أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
• أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
• المصدر https://www.darkreading.com/edge/what-cisos-should-exclude-from-sec-cybersecurity-filings