ما الذي يتعين على CISOs فعله للوفاء بلوائح هيئة الأوراق المالية والبورصات الجديدة؟

سؤال: كيف يمكن لرؤساء أمن المعلومات مواكبة لوائح الأمن السيبراني المتغيرة؟

إيلونا كوهين، كبير المسؤولين القانونيين والسياسيين، HackerOne: ليس من السهل أبدًا أن تكون رئيسًا لأمن المعلومات (CISO)، ولكن الأشهر القليلة الماضية كانت مليئة بالتحديات بشكل خاص. إلى جانب الضغوطات المعتادة للوظيفة - مثل الزيادة المستمرة في هجمات برامج الفدية وانتشار التهديدات الداخلية - يمكننا الآن إضافة تدقيق شديد في إنفاذ القوانين التنظيمية.

في الآونة الأخيرة رسوم من لجنة الأمن والبورصة الأمريكية (SEC) ضد CISO الخاص بشركة SolarWinds هي المرة الأولى التي يتم فيها تمييز CISO بهذه الطريقة من قبل الوكالة. وهذا يوحي بوجود أكبر الاتجاه نحو زيادة المساءلة للأفراد المسؤولين عن إدارة برامج الأمن التنظيمي.

بالإضافة إلى ذلك، يجب على الشركات المتداولة في البورصات الأمريكية الالتزام بالإفصاح الجديد للأمن السيبراني الصادر عن هيئة الأوراق المالية والبورصات قواعد الإبلاغ عن الحوادث تبدأ الآن، ويجب على الشركات الصغيرة المؤهلة الالتزام بقواعد الإبلاغ عن الحوادث في ربيع عام 2024. وتضع هذه التغييرات برامج الأمن التنظيمي تحت قدر أكبر من التدقيق وتزيد من عبء المسؤوليات التي يجب على مدراء أمن المعلومات تتبعها.

ليس من المستغرب أن يشعر العديد من مسؤولي أمن المعلومات بضغوط أكبر من أي وقت مضى.

تشبه القواعد والالتزامات الجديدة لا يلزم بالضرورة أن تكون عائقًا أمام عمل CISO - في الواقع، يمكن أن تكون في الواقع مصدرًا لدعم CISOs. تاريخيًا، كان من الصعب إلى حد ما تمييز قواعد هيئة الأوراق المالية والبورصة (SEC) المتعلقة بالإفصاحات والحوادث المتعلقة بالأمن السيبراني. ومن خلال توضيح متطلبات الكشف عن برامج إدارة المخاطر الأمنية والحوكمة والحوادث السيبرانية، تقوم هيئة الأوراق المالية والبورصات بتزويد مدراء أمن المعلومات بدليل إرشادي.

بالإضافة إلى ذلك، فإن توقعات هيئة الأوراق المالية والبورصة المتزايدة لإدارة المخاطر والحوكمة قد تكون كذلك إعطاء CISOs مكانة أكبر للمطالبة بالموارد والعمليات الداخلية لتلبية تلك التوقعات. إن المتطلبات الجديدة للشركات المتداولة علنًا للكشف عن ممارسات إدارة المخاطر للمستثمرين تخلق حوافز إضافية لتعزيز دفاعات الأمن السيبراني الاستباقية. وحتى قبل أن تدخل حيز التنفيذ، أدت القواعد الجديدة التي أصدرتها هيئة الأوراق المالية والبورصة إلى زيادة الوعي بممارسات الأمن السيبراني بين مجالس إدارة الشركات وقيادات الشركات غير المعتمدة على أمن المعلومات، وهو ما من المرجح أن يترجم إلى موارد أكثر اتساعًا للأمن السيبراني.

قد تكون الشركات العامة التي لديها برامج أمنية قوية تتضمن تحديد نقاط الضعف وتخفيفها بشكل مستمر أكثر جاذبية للمستثمرين من حيث إدارة المخاطر والنضج الأمني ​​ومنظورات حوكمة الشركات. وفي الوقت نفسه، فإن الشركات التي تتخذ موقفًا استباقيًا للحد من المخاطر الأمنية - على سبيل المثال، تنفيذ أفضل ممارسات الأمن السيبراني وتوفير الموارد لها بشكل مناسب مثل تلك الواردة في معايير ISO 27001 و29147 و30111 - تكون أقل عرضة للمعاناة من الهجمات السيبرانية المادية التي تلحق الضرر بالعلامة التجارية للشركة. .

يمثل هذا المشهد التنظيمي الجديد فرصة لرؤساء أمن المعلومات لتقييم إجراءات إعداد التقارير الداخلية الخاصة بهم والتأكد من أنها على قدم المساواة. إذا لم يكن لدى الشركات المتداولة علنًا إجراءات لتصعيد المشكلات الأمنية الهامة إلى الإدارة التنفيذية، فيجب إنشاء هذه العمليات على الفور. يجب على CISOs المساعدة في إعداد الإفصاحات حول عمليات إدارة مخاطر الشركة، وكذلك المساعدة في ضمان البيانات العامة للشركة حول الأمن دقيقة وكاملة وغير مضللة.

وبموجب القاعدة الجديدة لهيئة الأوراق المالية والبورصة، يجب على الشركات العامة الكشف في غضون أربعة أيام عمل عن أي حادث يتعلق بالأمن السيبراني يعتبر "جوهريا". لكن العديد من المستجيبين للحوادث يتساءلون عما يعنيه أن تكون "ماديًا"، خاصة عندما رفضت هيئة الأوراق المالية والبورصات اعتماد تعريف "مادي" متعلق بالأمن السيبراني في القاعدة وأبقت المعيار مألوفًا للمستثمرين والشركات العامة. يعتبر الحادث "جوهريًا" إذا كانت المعلومات المتعلقة بهذا الحادث شيئًا كان من الممكن أن يعتمد عليه المساهم المعقول لاتخاذ قرارات استثمارية مستنيرة أو عندما يكون من شأنه أن يغير بشكل كبير "المزيج الإجمالي" من المعلومات المتاحة للمساهم.

عمليا ، تحديد ما هو مادي وما هو غير مادي ليس واضحا دائما. في حين أنه يمكن استخدام المستجيب للحوادث لتقييم الآثار الأمنية لحادث ما، مثل عدد السجلات التي تأثرت، أو عدد المستخدمين غير المصرح لهم الذين تمكنوا من الوصول، أو نوع المعلومات التي كانت معرضة للخطر، إلا أنهم قد يكونون أقل اعتيادًا على التفكير في الأمور الأوسع نطاقًا. الآثار المترتبة على الشركة. ولهذا السبب تقوم العديد من الشركات بوضع بروتوكولات - مثل الإحالة إلى لجنة داخلية مكونة من متخصصين في مجال الأمن ومحامين وأعضاء من الإدارة العليا - لتقييم وليس فقط المخاطر الأمنية ناجمة عن حادث، ولكن التأثير على الشركة بشكل عام. من المرجح أن يكون الفريق متعدد التخصصات قادرًا على تقييم ما إذا كان الحادث يعرض الشركة للمسؤولية، أو يؤثر على الوضع المالي للشركة، أو يزعج العلاقة بين الشركة وعملائها، أو يؤثر على عمليات الشركة بسبب الوصول غير المصرح به أو انقطاع الخدمة، كل ذلك والتي تكون ذات صلة بتحديد الأهمية النسبية.

ومن خلال بعض التعديلات الدقيقة على إجراءات التشغيل القياسية، يستطيع كبار مسؤولي أمن المعلومات التكيف بشكل فعال مع هذا المناخ التنظيمي الجديد دون زيادة أعباء العمل بشكل كبير أو تفاقم مستويات التوتر المرتفعة بالفعل.

• محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
• PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
• أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
• أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
• أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
• المصدر https://www.darkreading.com/cybersecurity-operations/what-do-cisos-have-to-do-to-meet-new-sec-regulations-