التنقل في العصر الجديد لإنفاذ الأمن السيبراني

التعليق

في 30 أكتوبر 2023، هزت هيئة الأوراق المالية والبورصات (SEC) افتراضات قادة الأمن عبر الصناعات عندما رفعت دعوى قضائية تاريخية ضد سولارويندز ورئيس أمن المعلومات (CISO). يعتبر الكثيرون هذه الخطوة بمثابة انفجار قنبلة للأشخاص الذين يعملون في دور CISO. وهذه أيضًا هي المرة الأولى التي تستدعي فيها دعوى قضائية لدى هيئة الأوراق المالية والبورصات فردًا من شركة بهذه الطريقة.

مع تطور القضية الآن، هل تفهم مسؤوليتك الشخصية كرئيس أمن المعلومات؟ هناك شيء واحد واضح: هذه الحالة تبعث برسالة. ويواجه مدراء تكنولوجيا المعلومات الآن مخاطر مسؤولية محتملة غير مسبوقة، مما يدفع إلى الحاجة إلى اتباع نهج استباقي تجاه التعرض القانوني للمسؤولين التنفيذيين في مجال الأمن. لتسليط الضوء على هذه القضية المعقدة، جمعنا أكثر من 60 من كبار مسؤولي أمن المعلومات وأعضاء سابقين في هيئة الأوراق المالية والبورصة وخبراء قانونيين في حلقة نقاش. وكانت الخلفية والمصداقية أمرين حيويين في تعيين أعضاء اللجنة لمناقشة هذا الموضوع عالي المخاطر. كان هدفنا بسيطًا: تزويد مجتمع CISO بالتوجيه الرسمي والوضوح بشأن إدارة المسؤولية.

قامت اللجنة بتحليل قضية SolarWinds، مشيرة إلى أن تركيز هيئة الأوراق المالية والبورصة يبدو أنه ينصب على الإهمال وليس الاحتيال الفاضح. وفي حين يتم تصوير القضية على أنها عدوانية، إلا أن جوهرها قد لا يكون قويًا. ويشير الخبراء إلى أن مسؤولي أمن المعلومات يعتبرون هذه الحالة بمثابة دعوة للاستيقاظ، مع التركيز على الحاجة إلى اتخاذ تدابير استباقية ونهج حسن النية تجاه الأمن السيبراني.

تقدم الأفكار التي تم جمعها من هذه المناقشة خارطة طريق لرؤساء أمن المعلومات للتنقل في هذا العصر الجديد من إنفاذ الأمن السيبراني. فيما يلي بعض أهم النصائح التي تعلمناها من اللجنة.

بناء تحالفات قوية مع المستشار العام

إحدى أولى النتائج - وربما الأكثر أهمية - التي تم استخلاصها من حلقة النقاش هي أهمية قيام مسؤولي أمن المعلومات ببناء علاقات قوية مع المستشار العام (GC). وفقًا للخبراء، يمكن أن يكون GC حليفًا حاسمًا في أوقات الأزمات، حيث يوفر التوجيه والدعم القانونيين القيمين. في أعقاب قضية SolarWinds، يُنصح كبار مسؤولي تكنولوجيا المعلومات بمواءمة أنفسهم بشكل استباقي مع GC الخاص بهم، مما يضمن استجابة تعاونية ومعدة جيدًا للتحديات القانونية المحتملة.

إنشاء اتصالات مكتب التحقيقات الفيدرالي

نصيحة أساسية أخرى من اللجنة هي إقامة علاقة مع المكتب الميداني المحلي لمكتب التحقيقات الفيدرالي في أقرب وقت ممكن. وشدد أحد ممثلي مكتب التحقيقات الفيدرالي في المناقشة على أهمية العلاقات الموجودة مسبقًا مع مكتب التحقيقات الفيدرالي. يمكن أن يكون وجود جهة اتصال داخل مكتب التحقيقات الفيدرالي مفيدًا في التعامل مع المواقف المشابهة لحالة SolarWinds. الأمر كله يتعلق بعامل الثقة، وفقًا لممثل مكتب التحقيقات الفيدرالي في اللجنة. وأشاروا أيضًا إلى أن مكتب التحقيقات الفيدرالي ينظر إلى الشركات في مثل هذه المواقف باعتبارها ضحايا، ولهذا السبب يتم تشجيع مسؤولي أمن المعلومات على إقامة علاقة مع مكتبهم الميداني المحلي التابع لمكتب التحقيقات الفيدرالي قبل فترة طويلة من حدوث الأزمة.

احرص على الالتزام بالمعايير

كما سلطت الجلسة الضوء على أهمية مواءمة ممارسات الأمن السيبراني مع المعايير الموضوعية، مثل تلك التي حددها المعهد الوطني للمعايير والتكنولوجيا (NIST). قد تطلب هيئة الأوراق المالية والبورصة، كما هو موضح في قضية SolarWinds، دليلاً على الالتزام بهذه المعايير. وأشار أحد ممثلي هيئة الأوراق المالية والبورصة لدينا إلى أنه "في أي وقت تلتزم فيه بمعيار موضوعي، مثل NIST، ستحتاج هيئة الأوراق المالية والبورصات إلى دليل على ذلك". لذا، إذا كنت ستعلن علنًا أنك تستخدم مجموعة من المعايير، فتأكد أيضًا من التزامك بالمعايير التي تختارها. يجب على CISOs الاحتفاظ بوثائق شاملة لتقديم الأدلة إذا لزم الأمر.

تنسيق المستشار القانوني والتحقيقات الداخلية

عندما يتعلق الأمر بالمستشار القانوني، فإن موضوع ما إذا كان رئيس أمن المعلومات يحتاج إلى مستشار خاص به أم لا قد أثار آراء متباينة من اللجنة. إذًا، ما الذي يجب على CISO فعله؟ اتفقت اللجنة على أنه من المحتمل أن تكون هناك حاجة إلى محامٍ شخصي، خاصة عند إجراء مقابلة مع لجنة الأوراق المالية والبورصات أو وزارة العدل (DOJ). قد يكون الحصول على تمثيل قانوني أثناء التحقيقات الداخلية والتفاعلات مع المحامي الداخلي خطوة ذكية أيضًا.

فكر في تأمين D&O

كان الفهم والاستثمار في تأمين المديرين والموظفين (D&O) جانبًا مهمًا آخر أكدت عليه اللجنة. في مواجهة الإجراءات القانونية المحتملة، يمكن أن يوفر الحصول على تغطية D&O الحماية المالية لرؤساء أمن المعلومات. يوصي الخبراء بالتعرف على التغطية، والتحقق من أي مطالبات موجودة، وحتى النظر في التغطية المستقلة لمزيد من الحماية.

احتضان الركائز الثلاث: المحاذاة، والتوضيح، والتصعيد

في هذا العصر الجديد من إنفاذ الأمن السيبراني المشدد، يُنصح كبار مسؤولي أمن المعلومات بالالتزام بثلاثة ركائز أساسية: المواءمة والتوضيح والتصعيد. مواءمة ممارسات الأمن السيبراني مع المعايير المعترف بها، وتوضيح التواصل مع جهات الاتصال القانونية ومكتب التحقيقات الفيدرالي، وتصعيد المخاوف إلى أعلى سلسلة القيادة. تشكل هذه الركائز الأساس لنهج استباقي ووقائي لمواجهة التحديات المتطورة التي يواجهها المسؤولون التنفيذيون في مجال الأمن السيبراني.

يجب على CISOs اتخاذ تدابير استباقية الآن

سلطت الدعوى القضائية التي رفعتها شركة SolarWinds SEC الضوء على المخاطر المحتملة التي يواجهها المسؤولون التنفيذيون في مجال الأمن السيبراني. ونحث CISOs على اتخاذ تدابير استباقية لحماية أنفسهم من التعرض القانوني. يعد بناء تحالفات قوية مع المستشار العام، وإقامة اتصالات مع مكتب التحقيقات الفيدرالي، والالتزام بمعايير الأمن السيبراني، والحصول على تأمين المديرين والعملاء، وتبني الركائز الثلاث للمواءمة والتوضيح والتصعيد، خطوات أساسية في التغلب على تحديات هذا العصر الجديد لإنفاذ الأمن السيبراني. ومع استمرار تطور المشهد، يجب على مسؤولي أمن المعلومات البقاء يقظين ومستعدين جيدًا لضمان أمن مؤسساتهم وحماية مكانتهم المهنية.

• محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
• PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
• أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
• أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
• أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
• المصدر https://www.darkreading.com/cyberattacks-data-breaches/navigating-new-age-cybersecurity-enforcement