Τι πρέπει να κάνουν οι CISO για να συμμορφωθούν με τους νέους κανονισμούς SEC;

Ερώτηση: Πώς μπορούν οι CISO να συμβαδίζουν με τους μεταβαλλόμενους κανονισμούς για την ασφάλεια στον κυβερνοχώρο;

Ilona Cohen, Chief Legal and Policy Officer, HackerOne: Ποτέ δεν είναι εύκολη στιγμή να είσαι επικεφαλής της ασφάλειας πληροφοριών (CISO), αλλά οι τελευταίοι μήνες αισθάνθηκαν ιδιαίτερα προκλητικοί. Στους συνήθεις στρεσογόνους παράγοντες της δουλειάς - όπως η συνεχιζόμενη αύξηση των επιθέσεων ransomware και η διάχυση των εσωτερικών απειλών - μπορούμε τώρα να προσθέσουμε ενισχυμένο έλεγχο επιβολής των κανονισμών.

Η πρόσφατη χρεώσεις από την Επιτροπή Ασφάλειας και Ανταλλαγών των ΗΠΑ (SEC) ενάντια στο CISO της SolarWinds είναι η πρώτη φορά που ένα CISO ξεχωρίζει με αυτόν τον τρόπο από τον οργανισμό. Αυτό υποδηλώνει μεγαλύτερο τάση αυξημένης λογοδοσίας για άτομα που είναι υπεύθυνα για τη διαχείριση προγραμμάτων οργανωτικής ασφάλειας.

Επιπλέον, οι εταιρείες που διαπραγματεύονται σε χρηματιστήρια των ΗΠΑ πρέπει να συμμορφώνονται με τη νέα γνωστοποίηση κυβερνοασφάλειας της SEC και κανόνες αναφοράς περιστατικών που ξεκινούν τώρα, και οι μικρότερες εταιρείες που πληρούν τις προϋποθέσεις πρέπει να συμμορφώνονται με τους κανόνες αναφοράς συμβάντων την άνοιξη του 2024. Αυτές οι αλλαγές θέτουν τα προγράμματα οργανωτικής ασφάλειας υπό ακόμη μεγαλύτερο έλεγχο και προσθέτουν στο φόρτο των ευθυνών που πρέπει να παρακολουθούν οι CISO.

Δεν αποτελεί έκπληξη το γεγονός ότι πολλοί CISO αισθάνονται μεγαλύτερη πίεση από ποτέ.

Αυτοί νέους κανόνες και υποχρεώσεις δεν χρειάζεται απαραιτήτως να αποτελούν εμπόδιο στο έργο ενός CISO — στην πραγματικότητα, μπορούν στην πραγματικότητα να αποτελέσουν πηγή υποστήριξης για τους CISO. Οι κανόνες της SEC σχετικά με τις αποκαλύψεις και τα περιστατικά κυβερνοασφάλειας ήταν ιστορικά κάπως δύσκολο να διακριθούν. Διευκρινίζοντας τις απαιτήσεις για την αποκάλυψη προγραμμάτων διαχείρισης κινδύνων ασφαλείας, διακυβέρνησης και συμβάντων στον κυβερνοχώρο, η SEC παρέχει στους CISO έναν οδηγό.

Επιπλέον, οι αυξημένες προσδοκίες της Επιτροπής Κεφαλαιαγοράς για τη διαχείριση κινδύνων και τη διακυβέρνηση ενδέχεται να δώσει στους CISO μεγαλύτερο κύρος να απαιτήσει εσωτερικούς πόρους και διαδικασίες για την ικανοποίηση αυτών των προσδοκιών. Οι νέες απαιτήσεις για τις εισηγμένες εταιρείες να αποκαλύπτουν πρακτικές διαχείρισης κινδύνου στους επενδυτές δημιουργούν πρόσθετα κίνητρα για την ενίσχυση της προληπτικής άμυνας στον κυβερνοχώρο. Ακόμη και πριν τεθούν σε ισχύ, οι νέοι κανόνες της SEC έχουν αυξήσει τη συνειδητοποίηση των πρακτικών κυβερνοασφάλειας μεταξύ των διοικητικών συμβουλίων των εταιρειών και της ηγεσίας εταιρειών εκτός CISO, κάτι που πιθανότατα θα μεταφραστεί σε πιο εκτεταμένους πόρους για την ασφάλεια στον κυβερνοχώρο.

Οι δημόσιες εταιρείες με ισχυρά προγράμματα ασφάλειας που περιλαμβάνουν συνεχή εντοπισμό και μετριασμό τρωτών σημείων μπορεί να είναι πιο ελκυστικές για τους επενδυτές από προοπτικές διαχείρισης κινδύνου, ωριμότητας ασφάλειας και εταιρικής διακυβέρνησης. Ταυτόχρονα, οι εταιρείες που λαμβάνουν προληπτική στάση για τη μείωση του κινδύνου ασφάλειας — για παράδειγμα, εφαρμόζοντας και προμηθεύοντας κατάλληλα τις βέλτιστες πρακτικές κυβερνοασφάλειας όπως αυτές που περιέχονται στα ISO 27001, 29147 και 30111 — είναι λιγότερο πιθανό να υποστούν υλικές επιθέσεις στον κυβερνοχώρο που βλάπτουν το εμπορικό σήμα της εταιρείας .

Αυτό το νέο ρυθμιστικό τοπίο αντιπροσωπεύει μια ευκαιρία για τους CISO να κάνουν απολογισμό των εσωτερικών διαδικασιών υποβολής εκθέσεων και να βεβαιωθούν ότι είναι στο ίδιο επίπεδο. Εάν οι εισηγμένες εταιρείες δεν διαθέτουν ήδη διαδικασίες για την κλιμάκωση σημαντικών ζητημάτων ασφάλειας στην εκτελεστική διοίκηση, αυτές οι διαδικασίες θα πρέπει να καθιερωθούν αμέσως. Οι CISO θα πρέπει να βοηθούν στην προετοιμασία γνωστοποιήσεων σχετικά με τις διαδικασίες διαχείρισης κινδύνων της εταιρείας και επίσης να συμβάλλουν στη διασφάλιση της δημόσιες δηλώσεις της εταιρείας για την ασφάλεια είναι ακριβείς, πληρείς και όχι παραπλανητικές.

Σύμφωνα με τον νέο κανόνα SEC, οι δημόσιες εταιρείες πρέπει να αποκαλύπτουν εντός τεσσάρων εργάσιμων ημερών οποιοδήποτε περιστατικό ασφάλειας στον κυβερνοχώρο κρίνεται «ουσιώδες». Ωστόσο, πολλοί ανταποκριτές σε περιστατικά αναρωτιούνται τι σημαίνει να είσαι «υλικό», ειδικά όταν η Επιτροπή Κεφαλαιαγοράς αρνήθηκε να υιοθετήσει έναν ορισμό που σχετίζεται με την κυβερνοασφάλεια για την «υλικότητα» στον κανόνα και διατήρησε το πρότυπο γνωστό στους επενδυτές και τις δημόσιες εταιρείες. Ένα περιστατικό είναι «ουσιώδες» εάν οι πληροφορίες σχετικά με αυτό το συμβάν είναι κάτι στο οποίο θα βασιζόταν ένας λογικός μέτοχος για να λάβει τεκμηριωμένες επενδυτικές αποφάσεις ή όταν θα είχε αλλάξει σημαντικά το «συνολικό μείγμα» πληροφοριών που διαθέτει ο μέτοχος.

Πρακτικά μιλώντας, τον προσδιορισμό του τι είναι και τι δεν είναι υλικό δεν είναι πάντα προφανές. Ενώ ένας ανταποκριτής συμβάντων μπορεί να χρησιμοποιηθεί για την αξιολόγηση των επιπτώσεων στην ασφάλεια ενός περιστατικού, όπως πόσα αρχεία επηρεάστηκαν, πόσοι μη εξουσιοδοτημένοι χρήστες είχαν πρόσβαση ή ποιος τύπος πληροφοριών κινδύνευε, μπορεί να είναι λιγότερο συνηθισμένοι να σκέφτονται το ευρύτερο επιπτώσεις για την εταιρεία. Αυτός είναι ο λόγος για τον οποίο πολλές εταιρείες εφαρμόζουν πρωτόκολλα - όπως παραπομπή σε μια εσωτερική επιτροπή που αποτελείται από επαγγελματίες ασφαλείας, δικηγόρους και μέλη του C-suite - για την αξιολόγηση όχι μόνο τον κίνδυνο ασφάλειας προκλήθηκε από ένα περιστατικό, αλλά ο αντίκτυπος στην εταιρεία συνολικά. Μια διεπιστημονική ομάδα είναι πιο πιθανό να είναι σε θέση να αξιολογήσει εάν το περιστατικό εκθέτει μια εταιρεία σε ευθύνη, επηρεάζει την οικονομική θέση της εταιρείας, διαταράσσει τη σχέση μεταξύ της εταιρείας και των πελατών της ή επηρεάζει τις λειτουργίες της εταιρείας λόγω μη εξουσιοδοτημένης πρόσβασης ή διακοπής στην υπηρεσία. εκ των οποίων σχετίζονται με τον προσδιορισμό της ουσιαστικότητας.

Με ορισμένες ευσυνείδητες προσαρμογές στις τυπικές διαδικασίες λειτουργίας, οι CISO μπορούν να προσαρμοστούν αποτελεσματικά σε αυτό το νέο ρυθμιστικό κλίμα χωρίς να αυξάνουν δραστικά τον φόρτο εργασίας ή να επιδεινώνουν ήδη υψηλά επίπεδα άγχους.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/cybersecurity-operations/what-do-cisos-have-to-do-to-meet-new-sec-regulations-