Pregunta: ¿Cómo pueden los CISO mantenerse al día con las cambiantes regulaciones de ciberseguridad?
Ilona Cohen, directora jurídica y de políticas de HackerOne: Nunca es un momento fácil para ser director de seguridad de la información (CISO), pero los últimos meses han resultado particularmente desafiantes. A los factores estresantes habituales del trabajo, como el aumento continuo de los ataques de ransomware y la omnipresencia de las amenazas internas, ahora podemos agregar un mayor escrutinio regulatorio.
La reciente cargos de la Comisión de Bolsa y Seguridad de EE. UU. (SEC) contra el CISO de SolarWinds es la primera vez que la agencia señala a un CISO de esta manera. Esto sugiere una mayor tendencia a una mayor rendición de cuentas para personas encargadas de gestionar los programas de seguridad organizacional.
Además, las empresas que cotizan en bolsas de EE. UU. deben cumplir con la nueva divulgación de ciberseguridad de la SEC y reglas de notificación de incidentes a partir de ahoray las empresas más pequeñas que califiquen deben cumplir con las reglas de notificación de incidentes en la primavera de 2024. Estos cambios someten a los programas de seguridad organizacional a un escrutinio aún mayor y aumentan la carga de responsabilidades que los CISO deben rastrear.
No sorprende que muchos CISO sientan más presión que nunca.
Estas nuevas reglas y responsabilidades no necesariamente tienen que ser un obstáculo para el trabajo de un CISO; de hecho, pueden ser una fuente de apoyo para los CISO. Históricamente, las reglas de la SEC sobre divulgaciones e incidentes de ciberseguridad han sido algo difíciles de discernir. Al aclarar los requisitos para la divulgación de programas de gestión de riesgos de seguridad, gobernanza e incidentes cibernéticos, la SEC proporciona a los CISO una guía.
Además, las mayores expectativas de la SEC para la gestión de riesgos y la gobernanza pueden dar a los CISO una mayor reputación exigir recursos y procesos internos para satisfacer esas expectativas. Los nuevos requisitos para que las empresas que cotizan en bolsa revelen prácticas de gestión de riesgos a los inversores crean incentivos adicionales para fortalecer las defensas proactivas de ciberseguridad. Incluso antes de que entraran en vigor, las nuevas reglas de la SEC han aumentado la conciencia sobre las prácticas de ciberseguridad entre las juntas directivas de las empresas y los líderes de las empresas que no son CISO, lo que probablemente se traducirá en recursos de ciberseguridad más amplios.
Las empresas públicas con programas de seguridad sólidos que incluyen la identificación y mitigación continua de vulnerabilidades pueden ser más atractivas para los inversores desde las perspectivas de gestión de riesgos, madurez de la seguridad y gobierno corporativo. Al mismo tiempo, las empresas que adoptan una postura proactiva para reducir los riesgos de seguridad (por ejemplo, implementando y dotando de los recursos adecuados las mejores prácticas de ciberseguridad como las contenidas en las ISO 27001, 29147 y 30111) tienen menos probabilidades de sufrir ciberataques materiales que dañen la marca de la empresa. .
Este nuevo panorama regulatorio representa una oportunidad para que los CISO hagan un balance de sus procedimientos de presentación de informes internos y se aseguren de que estén a la altura. Si las empresas que cotizan en bolsa aún no cuentan con procedimientos para elevar los problemas de seguridad importantes a la gerencia ejecutiva, estos procesos deben establecerse de inmediato. Los CISO deben ayudar a preparar divulgaciones sobre los procesos de gestión de riesgos de la empresa y también ayudar a garantizar la declaraciones públicas de la empresa sobre seguridad son precisos, completos y no engañosos.
Según la nueva norma de la SEC, las empresas públicas deben revelar en un plazo de cuatro días hábiles cualquier incidente de ciberseguridad que se considere "material". Pero muchos de los que responden a incidentes se preguntan qué significa ser “material”, especialmente cuando la SEC se negó a adoptar una definición de “materialidad” relacionada con la ciberseguridad en la norma y mantuvo el estándar familiar para los inversores y las empresas públicas. Un incidente es “material” si la información sobre ese incidente es algo en lo que un accionista razonable habría confiado para tomar decisiones de inversión informadas o cuando habría alterado significativamente la “combinación total” de información disponible para el accionista.
Hablando practicamente, determinar qué es y qué no es material no siempre es obvio. Si bien un respondedor de incidentes puede estar acostumbrado a evaluar las implicaciones de seguridad de un incidente, como cuántos registros se vieron afectados, cuántos usuarios no autorizados tuvieron acceso o qué tipo de información estaba en riesgo, es posible que esté menos acostumbrado a pensar en el panorama más amplio. implicaciones para la empresa. Es por eso que muchas empresas están implementando protocolos, como la remisión a un comité interno compuesto por profesionales de seguridad, abogados y miembros de la alta dirección, para evaluar no sólo el riesgo de seguridad causado por un incidente, sino el impacto en la empresa en general. Es más probable que un equipo interdisciplinario pueda evaluar si el incidente expone a una empresa a responsabilidad, afecta la posición financiera de la empresa, perturba la relación entre la empresa y sus clientes o afecta las operaciones de la empresa debido a un acceso no autorizado o interrupción del servicio, todo ello cuales son relevantes para la determinación de la materialidad.
Con algunos ajustes concienzudos a los procedimientos operativos estándar, los CISO pueden adaptarse eficazmente a este nuevo clima regulatorio sin aumentar drásticamente las cargas de trabajo ni agravar los ya altos niveles de estrés.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://www.darkreading.com/cybersecurity-operations/what-do-cisos-have-to-do-to-meet-new-sec-regulations-
- :posee
- :es
- :no
- $ UP
- 2024
- 27001
- 7
- a
- Poder
- Nuestra Empresa
- de la máquina
- preciso
- adaptar
- add
- adición
- Adicionales
- ajustes
- adoptar
- en contra
- Todos
- ya haya utilizado
- también
- alterado
- hacerlo
- entre
- an
- y
- cualquier
- adecuadamente
- somos
- en torno a
- AS
- evaluar
- Evaluación
- At
- ataques
- atractivo
- Hoy Disponibles
- conciencia
- BE
- esto
- antes
- MEJOR
- y las mejores prácticas
- entre
- marca
- más amplio
- pero
- by
- C-suite
- PUEDEN
- causado
- desafiante
- Cambios
- cambio
- CHARGE
- jefe
- director de seguridad de la información
- CISO
- Clima
- Cohen
- comité
- Empresas
- compañía
- cumplir
- contenida
- continuamente
- Sector empresarial
- Para crear
- Clientes
- ciber
- Ataques ciberneticos
- La Ciberseguridad
- dañar
- Días
- decisiones
- juzgado
- definición
- Demanda
- determinación
- discernir
- Revelar
- Revelar
- revelación
- Interrupción
- do
- drásticamente,
- dos
- de forma sencilla
- efecto
- de manera eficaz
- cumplimiento
- garantizar
- escalar
- especialmente
- se establece
- Incluso
- NUNCA
- ejemplo
- Intercambio
- Cambios
- ejecutivos
- dirección ejecutiva
- expansivo
- las expectativas
- hecho
- familiar
- sensación
- error
- pocos
- financiero
- Nombre
- primer vez
- Digital XNUMXk
- Desde
- gobierno
- mayor
- tenido
- Difícil
- Tienen
- aumentado
- ayuda
- Alta
- obstáculo
- históricamente
- Cómo
- HTTPS
- identificar
- if
- inmediatamente
- Impacto
- impactados
- implementación
- implicaciones
- in
- Incentivos
- incidente
- incluir
- aumente
- aumentado
- creciente
- individuos
- información
- seguridad de la información
- informó
- Amenaza
- interno
- dentro
- inversión extranjera
- Inversionistas
- ISN
- cuestiones
- IT
- SUS
- Trabajos
- jpg
- solo
- Guardar
- mantenido
- paisaje
- mayores
- empresas
- Liderazgo
- Legal
- menos
- fiscal
- como
- que otros
- carga
- hecho
- para lograr
- Management
- administrar
- muchos
- materiales
- madurez
- Puede..
- significa
- Conoce a
- Miembros
- engañoso
- mitigar
- mezcla
- meses
- más,
- debe
- necesariamente
- ¿ Necesita ayuda
- nunca
- Nuevo
- no
- ahora
- obvio
- of
- Oficial
- on
- en marcha
- funcionamiento
- Operaciones
- Oportunidad
- or
- organizativo
- salir
- total
- particularmente
- pasado
- perspectivas
- Colocar
- Platón
- Inteligencia de datos de Platón
- PlatónDatos
- política
- posición
- prácticas
- Preparar
- presión
- Proactiva
- procedimientos
- en costes
- profesionales
- Programas
- protocolos
- proporcionando
- público
- empresas públicas
- en público
- poner
- Poniendo
- calificativo
- ransomware
- Ataques de ransomware
- RE
- mejor
- reciente
- archivos
- la reducción de
- Programa de referencia
- reglamentos
- regulador
- panorama regulatorio
- relación
- Informes
- representa
- Requisitos
- Recursos
- responsabilidades
- Riesgo
- Gestión sistemática del riesgo,
- robusto
- Regla
- reglas
- s
- mismo
- escrutinio
- SEG
- EN LINEA
- gestión de riesgos de seguridad
- de coches
- accionista
- tienes
- importante
- significativamente
- menores
- Vientos solares
- algo
- algo
- algo
- Fuente
- hablar
- primavera
- postura
- estándar
- Comience a
- declaraciones
- en stock
- FORTALECIMIENTO
- estrés
- tal
- Sugiere
- SOPORTE
- seguro
- sorpresa
- ¡Prepárate!
- equipo
- que
- esa
- La
- su
- Estas
- ellos
- Ideas
- así
- aquellos
- amenazas
- equipo
- a
- Total
- seguir
- negocian
- la traducción
- tipo
- no autorizado
- bajo
- us
- usado
- usuarios
- usual
- Vulnerabilidades
- fue
- Camino..
- we
- fuimos
- tuvieron
- ¿
- Que es
- cuando
- sean
- que
- mientras
- porque
- seguirá
- dentro de
- sin
- preguntando
- Actividades:
- se
- zephyrnet
