في مارس 2022، أعلنت هيئة الأوراق المالية والبورصة (SEC) اقترح قاعدة بشأن الكشف عن الأمن السيبراني والحوكمة وإدارة المخاطر للشركات العامة، والمعروفة باسم القاعدة المقترحة للشركات العامة (PRPC). ستتطلب هذه القاعدة من الشركات الإبلاغ عن حوادث الأمن السيبراني "الجوهرية" في غضون أربعة أيام. وسيتطلب ذلك أيضًا أن تتمتع مجالس الإدارة بخبرة في مجال الأمن السيبراني.
ليس من المستغرب أن يكون الأمر كذلك يقابل بكل أنواع التراجع. في شكلها الحالي، تترك القاعدة المقترحة مجالًا كبيرًا للتفسير، وهي غير عملية في بعض المجالات.
أولاً، ستؤدي فترة الإفصاح المشددة إلى فرض ضغوط هائلة على كبار مسؤولي أمن المعلومات (CISOs) للكشف عن الحوادث الجوهرية قبل حصولهم على جميع التفاصيل. يمكن أن تستغرق الحوادث أسابيع وأحيانًا أشهر لفهمها وعلاجها بشكل كامل. ومن المستحيل معرفة تأثير الثغرة الأمنية الجديدة حتى يتم تخصيص موارد كافية لعلاجها. قد ينتهي الأمر أيضًا برؤساء أمن المعلومات إلى الكشف عن نقاط الضعف التي، مع مرور المزيد من الوقت، تصبح مشكلة أقل وبالتالي ليست جوهرية. وهذا يمكن أن يؤثر بدوره على سعر الشركة على المدى القصير.
الحوادث هي شيء حي - وليست صفقة فردية
قد تبدو متطلبات الإفصاح لمدة أربعة أيام جيدة في ظاهرها. لكنها ليست واقعية وستؤدي في نهاية المطاف إلى صرف انتباه كبار مسؤولي تكنولوجيا المعلومات عن إطفاء الحرائق.
سأستخدم اللائحة العامة لحماية البيانات (GDPR) للاتحاد الأوروبي على سبيل المقارنة. وبموجب اللائحة، يجب على الشركات الإبلاغ عن حوادث عدم الامتثال خلال 72 ساعة. ومع ذلك، في حالة اللائحة العامة لحماية البيانات، والحاجة إلى الإبلاغ محددة بشكل جيد. في حين أن 72 ساعة غالبًا ما تكون مبكرة جدًا لمعرفة تفاصيل التأثير الإجمالي لحادث ما، فإن المؤسسات على الأقل ستعرف ما إذا كانت المعلومات الشخصية قد تم اختراقها.
قارن هذا مع متطلبات الإفصاح المقترحة من قبل PRPC. سيكون لدى المؤسسات 24 ساعة إضافية، ولكن - بناءً على ما تم نشره حتى الآن - يجب أن تكون مؤهلة داخليًا إذا تم الانتهاك مادة. وبموجب اللائحة العامة لحماية البيانات، يمكن للشركة القيام بذلك بناءً على حساسية البيانات وحجمها والمكان الذي ذهبت إليه. بموجب PRPC، يتم تعريف "الأهمية النسبية" من قبل هيئة الأوراق المالية والبورصات على أنها أي شيء "يعتبره المساهم العقلاني مهمًا". قد يكون هذا أي شيء يعتبره المساهمون جوهريًا لأعمالهم. إنها واسعة إلى حد ما وغير محددة بوضوح.
تعريفات ضعيفة أخرى
وهناك قضية أخرى تتلخص في مطالبة الاقتراح بالكشف عن الظروف التي لا يكون فيها الحادث الأمني جوهرياً في حد ذاته ولكنه أصبح كذلك "في مجمله". كيف يعمل هذا في الممارسة العملية؟ هل هناك ثغرة أمنية لم يتم إصلاحها منذ ستة أشهر في نطاق الكشف عنها (نظرًا لأن الشركة لم تقم بتصحيحها) إذا تم استخدامها لتوسيع نطاق حادث لاحق؟ لقد قمنا بالفعل بدمج التهديدات ونقاط الضعف وتأثير الأعمال. إن الثغرة الأمنية التي لم يتم استغلالها لا تعتبر جوهرية لأنها لا تحدث تأثيرًا على الأعمال. ما الذي ستحتاج إلى الكشف عنه عندما يلزم الإبلاغ عن حوادث مجمعة، وهل يزيد شرط التجميع من صعوبة تمييز ذلك؟
ولجعل الأمر أكثر تعقيدًا، ستتطلب القاعدة المقترحة من المؤسسات الكشف عن أي تغييرات في السياسة نتجت عن حوادث سابقة. ما مدى دقة قياس ذلك، وبصراحة، لماذا نفعل ذلك؟ من المفترض أن تكون السياسات عبارة عن بيانات نوايا، وليس من المفترض أن تكون أدلة تكوين جنائية منخفضة المستوى. يعد تحديث مستند ذي مستوى أدنى (معيار) لتكليف خوارزمية تشفير محددة للبيانات الحساسة أمرًا منطقيًا، ولكن هناك عدد قليل من المستندات ذات المستوى الأعلى التي يمكن تحديثها بسبب وقوع حادث. قد تتطلب الأمثلة مصادقة متعددة العوامل أو تغيير اتفاقية مستوى خدمة التصحيح (SLA) للثغرات الأمنية الحرجة داخل النطاق.
وأخيرًا، يقول الاقتراح أن تقارير الأرباح الفصلية ستكون بمثابة منتدى للإفصاحات. شخصيًا، لا تبدو مكالمات الأرباح ربع السنوية بمثابة المنتدى المناسب للتعمق في تحديثات السياسة والحوادث الأمنية. من سيعطي التحديثات؟ قد لا يكون المدير المالي أو الرئيس التنفيذي، الذي يقدم عادةً تقارير الأرباح، على علم كافٍ لتقديم تلك التقارير المهمة. إذن، هل ينضم CISO الآن إلى المكالمات؟ وإذا كان الأمر كذلك، فهل سيجيبون أيضًا على أسئلة المحللين الماليين؟ يبدو كل هذا غير عملي، ولكن علينا أن ننتظر ونرى.
أسئلة حول تجربة مجلس الإدارة
تطلب الإصدار الأول من PRPC إفصاحات حول إشراف مجلس الإدارة على سياسات إدارة مخاطر الأمن السيبراني. وشمل ذلك إفصاحات حول أعضاء مجلس الإدارة الفرديين وخبراتهم السيبرانية. تقول هيئة الأوراق المالية والبورصة إنها أبقت التعريف واسعًا عن قصد، نظرًا لنطاق المهارات والخبرة الخاصة بكل مجلس إدارة.
ولحسن الحظ، وبعد الكثير من التدقيق، قرروا إزالة هذا الشرط. لا تزال PRPC تدعو الشركات إلى وصف عملية مجلس الإدارة للإشراف على مخاطر الأمن السيبراني، ودور الإدارة في التعامل مع تلك المخاطر.
سيتطلب هذا بعض التعديلات في التواصل والوعي العام. مؤخرًا، قام الدكتور كيري بيرلسون، المدير التنفيذي للأمن السيبراني في معهد ماساتشوستس للتكنولوجيا سلون، ولوسيا ميليتشا، رئيس قسم تكنولوجيا المعلومات في شركة ستانلي بلاك آند ديكر، تم استطلاع آراء 600 عضو مجلس إدارة حول الأنشطة المحيطة بالأمن السيبراني. وقد وجدوا أن "أقل من النصف (47%) من الأعضاء يعملون في مجالس الإدارة التي تتفاعل مع كبار مسؤولي تكنولوجيا المعلومات بشكل منتظم، وحوالي ثلثهم لا يرون سوى مسؤولي أمن المعلومات في العروض التقديمية التي يقدمها مجلس الإدارة". ويشير هذا بوضوح إلى وجود فجوة في الاتصالات.
والخبر السار هو أن معظم مجالس الإدارة لديها بالفعل لجنة للتدقيق والمخاطر، والتي يمكن أن تكون بمثابة مجموعة فرعية من مجلس الإدارة لهذا الغرض. ومع ذلك، ليس من غير المألوف أن يقدم مدراء أمن المعلومات ومنظمات المجتمع المدني مسائل تتعلق بالأمن السيبراني لا يفهمها بقية أعضاء مجلس الإدارة بشكل كامل. ولسد هذه الفجوة، يجب أن يكون هناك قدر أكبر من التوافق بين مجلس الإدارة والمسؤولين التنفيذيين في مجال الأمن.
عدم اليقين يسود
كما هو الحال مع أي لائحة جديدة، هناك أسئلة وشكوك حول PRPC. علينا فقط أن ننتظر ونرى كيف يتطور كل شيء وما إذا كانت الشركات قادرة على تلبية المتطلبات المقترحة.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون السيارات / المركبات الكهربائية ، كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- تشارت بريم. ارفع مستوى لعبة التداول الخاصة بك مع ChartPrime. الوصول هنا.
- BlockOffsets. تحديث ملكية الأوفست البيئية. الوصول هنا.
- المصدر https://www.darkreading.com/risk/proposed-sec-cybersecurity-rule-will-put-unnecessary-strain-on-cisos
- :لديها
- :يكون
- :ليس
- :أين
- $ UP
- 2022
- 24
- 7
- 72
- a
- من نحن
- أنشطة
- تعديلات
- تؤثر
- بعد
- مجموع
- تجميع
- منذ
- اتفاقية
- خوارزمية
- انحياز
- الكل
- تقريبا
- سابقا
- أيضا
- المبالغ
- an
- المحللين
- و
- أي وقت
- اى شى
- هي
- المناطق
- AS
- At
- التدقيق
- التحقّق من المُستخدم
- وعي
- على أساس
- BE
- لان
- أصبح
- كان
- قبل
- يجري
- ما بين
- اسود
- مجلس
- خرق
- واسع
- الأعمال
- لكن
- by
- دعوة
- دعوات
- CAN
- حقيبة
- الرئيس التنفيذي
- المدير المالي
- التغييرات
- متغير
- رئيس
- ظروف
- CISO
- بوضوح
- اغلاق
- عمولة
- لجنة
- Communication
- مجال الاتصالات
- الشركات
- حول الشركة
- مقارنة
- معقد
- تسوية
- الاعداد
- نظر
- استطاع
- خلق
- حرج
- حالياًّ
- الانترنت
- الأمن السيبراني
- البيانات
- حماية البيانات
- أيام
- قررت
- مخصصة
- عميق
- تعريف
- تعريف
- وصف
- تفاصيل
- ديدن
- مدير المدارس
- الإدارة
- كشف
- إفشاء
- do
- وثيقة
- هل
- لا توجد الآن
- لا
- dr
- اثنان
- كل
- أرباح
- مكالمات الأرباح
- التشفير
- النهاية
- المجلة الأوروبية
- الإتحاد الأوربي
- حتى
- يتطور
- أمثلة
- تبادل
- تنفيذي
- المدير التنفيذي
- مُديرين تنفيذيين
- الخبره في مجال الغطس
- خبرة
- استغلال
- مد
- احتفل على
- الوجه
- بعيدا
- قليل
- أقل
- مالي
- نهاية
- حرائق
- الاسم الأول
- في حالة
- الطب الشرعي
- النموذج المرفق
- المنتدى
- وجدت
- أربعة
- تبدأ من
- تماما
- فجوة
- GDPR
- العلاجات العامة
- البيانات العامة
- تنظيم حماية البيانات عام
- منح
- معطى
- Go
- خير
- الحكم
- أكبر
- دليل
- نصفي
- معالجة
- أصعب
- يملك
- وجود
- بكل صراحه
- ساعات العمل
- كيفية
- لكن
- HTTPS
- if
- التأثير
- أهمية
- مستحيل
- in
- حادث
- شامل
- فرد
- معلومات
- امن المعلومات
- وأبلغ
- نية
- تفاعل
- داخليا
- ترجمة
- تنطوي
- يسن
- قضية
- IT
- تكرير
- انها
- الانضمام
- JPG
- م
- أبقى
- علم
- معروف
- الأقل
- أقل
- مثل
- الذين يعيشون
- ll
- الكثير
- جعل
- يصنع
- إدارة
- تفويض
- مارس
- هائل
- مادة
- المسائل
- مايو..
- تعرف علي
- الأعضاء
- قابل
- ربما
- معهد ماساتشوستس للتكنولوجيا
- المقبلة.
- الأكثر من ذلك
- أكثر
- كثيرا
- مصادقة متعددة العوامل
- يجب
- حاجة
- إحتياجات
- جديد
- أخبار
- الآن
- of
- ضباط
- غالبا
- on
- ONE
- فقط
- or
- المنظمات
- خارج
- الكلي
- الإشراف
- مراقبة
- الخاصة
- خاص
- بقعة
- الترقيع
- الشخصية
- شخصيا
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- نقاط
- سياسات الخصوصية والبيع
- سياسة
- ممارسة
- يقدم
- بريزنتشين
- الضغط
- سابق
- السعر
- عملية المعالجة
- مقترح
- المقترح
- الحماية
- ويوفر
- جمهور
- الشركات العامة
- غرض
- وضع
- وضع
- التأهل
- الأسئلة المتكررة
- نطاق
- بدلا
- RE
- واقعي
- معقول
- مؤخرا
- بانتظام
- اللائحة
- إزالة
- تقرير
- وذكرت
- التقارير
- تطلب
- مطلوب
- المتطلبات
- المتطلبات الأساسية
- الموارد
- هؤلاء
- الرد
- REST
- حق
- المخاطرة
- نماذج إدارة المخاطر
- المخاطر
- النوع
- غرفة
- قاعدة
- s
- قال
- يقول
- نطاق
- فحص دقيق
- ثانية
- ضمانات
- الأوراق المالية وهيئة الأوراق المالية
- أمن
- انظر تعريف
- بدا
- يبدو
- إحساس
- حساس
- حساسية
- خدمة
- المساهم
- المساهمين
- المدى القصير
- SIX
- ستة أشهر
- مهارة
- سلون
- So
- بعض
- قريبا
- محدد
- تفاصيل
- معيار
- ستانلي
- البيانات
- لا يزال
- لاحق
- مفترض
- المحيط
- أخذ
- من
- أن
- •
- من مشاركة
- منهم
- هناك.
- وبالتالي
- هم
- شيء
- الثالث
- هؤلاء
- التهديدات
- وهكذا
- الوقت
- إلى
- جدا
- منعطف أو دور
- عادة
- في النهاية
- الشكوك
- غير مألوف
- مع
- فهم
- الاتحاد
- غير ضروري
- حتى
- تحديث
- آخر التحديثات
- تحديث
- تستخدم
- مستعمل
- قيمنا
- جدا
- عمليا
- حجم
- نقاط الضعف
- الضعف
- انتظر
- وكان
- we
- أسابيع
- ذهب
- ابحث عن
- متى
- سواء
- التي
- في حين
- من الذى
- لماذا
- سوف
- نافذة
- مع
- في غضون
- للعمل
- سوف
- أنت
- زفيرنت