Mida peavad CISO-d uute SEC-määruste täitmiseks tegema?

Küsimus: Kuidas saavad CISOd muutuvate küberjulgeoleku eeskirjadega sammu pidada?

Ilona Cohen, HackerOne'i õigus- ja poliitikajuht: Kunagi pole lihtne olla infoturbe juht (CISO), kuid viimased kuud on tundunud eriti rasked. Tööga kaasnevatele tavalistele stressiteguritele – nagu lunavararünnakute pidev sagenemine ja siseringi ohtude levik – saame nüüd lisada kõrgendatud regulatiivse jõustamise kontrolli.

hiljutine USA julgeoleku- ja börsikomisjonilt (SEC) SolarWindsi CISO vastu on esimene kord, kui agentuur on CISO-d sel viisil esile tõstnud. See viitab suuremale vastutuse suurenemise trend organisatsioonide turvaprogrammide haldamise eest vastutavatele isikutele.

Lisaks peavad USA börsidel kaubeldavad ettevõtted järgima SECi uut küberjulgeolekualast avalikustamist ja intsidentidest teatamise reeglid, mis algavad kohe, ja kvalifitseeruvad väiksemad ettevõtted peavad 2024. aasta kevadel järgima intsidentidest teatamise reegleid. Need muudatused panevad organisatsiooni turvaprogrammid veelgi suurema tähelepanu alla ja suurendavad vastutust, mida CISOd peavad jälgima.

Pole üllatav, et paljud CISOd tunnevad suuremat survet kui kunagi varem.

Need uued reeglid ja kohustused ei pea tingimata CISO tööd takistama – tegelikult võivad need olla CISO-de toe allikaks. SEC-i eeskirju küberturvalisuse avalikustamise ja intsidentide kohta on ajalooliselt olnud mõnevõrra raske märgata. Täpsustades turvariskide juhtimise programmide, valitsemise ja küberintsidentide avalikustamise nõudeid, pakub SEC CISO-dele juhendit.

Lisaks võivad SECi suurenenud ootused riskijuhtimisele ja juhtimisele anda CISO-dele parem maine nõuda sisemisi ressursse ja protsesse nende ootuste täitmiseks. Uued nõuded börsil noteeritud ettevõtetele avalikustada investoritele riskijuhtimise tavasid loovad täiendavaid stiimuleid ennetava küberturvalisuse kaitse tugevdamiseks. Juba enne nende jõustumist on SEC-i uued reeglid suurendanud ettevõtete juhatuste ja mitte-CISO ettevõtete juhtkonna teadlikkust küberturvalisuse tavadest, mis tõenäoliselt tähendab küberturvalisuse ressursside laiendamist.

Avalik-õiguslikud ettevõtted, millel on tugevad turvaprogrammid, mis hõlmavad haavatavuste pidevat tuvastamist ja leevendamist, võivad olla investoritele atraktiivsemad riskijuhtimise, turvalisuse küpsuse ja ettevõtte juhtimise vaatenurgast. Samal ajal on ettevõtetel, kes võtavad turvariski vähendamiseks ennetava hoiaku – näiteks rakendavad ja eraldavad asjakohaselt küberturvalisuse parimaid tavasid, nagu need, mis sisalduvad standardites ISO 27001, 29147 ja 30111 –, vähem tõenäoline, et nad kannatavad materiaalsete küberrünnakute all, mis kahjustavad ettevõtte kaubamärki. .

See uus regulatiivne maastik annab CISO-dele võimaluse teha ülevaade oma sisemistest aruandlusprotseduuridest ja veenduda, et need on tasemel. Kui börsil kaubeldavatel ettevõtetel ei ole veel protseduure oluliste turvaprobleemide eskaleerimiseks tegevjuhtkonnani, tuleks need protsessid kohe sisse seada. CISO-d peaksid aitama ette valmistada avalikustamisi ettevõtte riskijuhtimisprotsesside kohta ja aitama tagada ettevõtte avalikud avaldused turvalisuse kohta on täpsed, põhjalikud ega ole eksitavad.

Uue SEC-reegli kohaselt peavad riigiettevõtted nelja tööpäeva jooksul avalikustama kõik küberjulgeolekuintsidendid, mida peetakse oluliseks. Kuid paljud intsidentidele reageerijad mõtlevad, mida tähendab olla "oluline", eriti kui SEC keeldus reeglis vastu võtmast küberturvalisusega seotud "olulisuse" määratlust ja jättis standardi investoritele ja avalikele ettevõtetele tuttavaks. Juhtum on "oluline", kui selle juhtumi kohta käiv teave on midagi, millele mõistlik aktsionär oleks tuginenud teadlike investeerimisotsuste tegemisel või kui see oleks oluliselt muutnud aktsionärile kättesaadava teabe kogumit.

Praktiliselt rääkides, kindlaks teha, mis on ja mis ei ole materiaalne pole alati ilmne. Kuigi intsidendile reageerijat võidakse kasutada intsidendi turvamõjude hindamiseks, näiteks kui palju kirjeid see mõjutas, kui paljudel volitamata kasutajatel oli juurdepääs või mis tüüpi teave oli ohus, võivad nad olla vähem harjunud mõtlema laiemale teabele. mõju ettevõttele. Seetõttu kehtestavad paljud ettevõtted hindamiseks protokolle – näiteks suunavad need sisekomiteele, mis koosneb turvaspetsialistidest, juristidest ja C-suite’i liikmetest. mitte ainult turvarisk põhjustatud vahejuhtumist, vaid mõju ettevõttele üldiselt. Interdistsiplinaarne meeskond suudab tõenäolisemalt hinnata, kas juhtum seab ettevõtte vastutusele, mõjutab ettevõtte finantsseisundit, häirib suhteid ettevõtte ja klientide vahel või mõjutab ettevõtte tegevust volitamata juurdepääsu või teenuse katkemise tõttu, kõik mis on olulised olulisuse kindlaksmääramisel.

Standardsete tööprotseduuride kohusetundliku kohandamisega saavad CISOd selle uue regulatiivse kliimaga tõhusalt kohaneda, ilma et see suurendaks drastiliselt töökoormust või suurendaks niigi suurt stressi.

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
• Allikas: https://www.darkreading.com/cybersecurity-operations/what-do-cisos-have-to-do-to-meet-new-sec-regulations-