در مارس 2022، کمیسیون بورس و اوراق بهادار (SEC) یک قانون پیشنهاد کرد در مورد افشای امنیت سایبری، حاکمیت و مدیریت ریسک برای شرکت های دولتی، معروف به قانون پیشنهادی برای شرکت های دولتی (PRPC). این قانون شرکتها را ملزم میکند تا حوادث امنیت سایبری «مادی» را ظرف چهار روز گزارش کنند. همچنین مستلزم آن است که هیئت مدیره دارای تخصص امنیت سایبری باشد.
جای تعجب نیست، این است با انواع فشارها مواجه می شود. در شکل فعلی، قانون پیشنهادی جای زیادی برای تفسیر باقی می گذارد و در برخی زمینه ها غیر عملی است.
برای مثال، پنجره فشرده افشا فشار زیادی بر افسران ارشد امنیت اطلاعات (CISOs) وارد می کند تا قبل از اینکه تمام جزئیات را در اختیار داشته باشند، حوادث مهم را افشا کنند. حوادث ممکن است هفته ها و گاهی ماه ها طول بکشد تا درک شوند و به طور کامل اصلاح شوند. تا زمانی که منابع کافی به اصلاح اختصاص داده نشود، نمیتوان تأثیر یک آسیبپذیری جدید را دانست. CISO ها همچنین ممکن است در نهایت مجبور به افشای آسیب پذیری هایی شوند که با گذشت زمان بیشتر، در نهایت مشکل کمتر و در نتیجه مهم نیستند. این به نوبه خود می تواند بر قیمت کوتاه مدت یک شرکت تأثیر بگذارد.
حوادث یک چیز زنده هستند - نه یک معامله یک و چند انجام شده
الزامات افشای چهار روزه ممکن است در ارزش اسمی خوب به نظر برسد. اما آنها واقع بینانه نیستند و در نهایت تمرکز CISO را از خاموش کردن آتش منحرف می کنند.
من از مقررات عمومی حفاظت از داده های اتحادیه اروپا (GDPR) به عنوان مقایسه استفاده خواهم کرد. بر اساس این مقررات، شرکت ها باید موارد عدم انطباق را ظرف 72 ساعت گزارش کنند. با این حال، در مورد GDPR، نیاز به گزارش به خوبی تعریف شده است. در حالی که 72 ساعت برای دانستن جزئیات تأثیر کلی یک حادثه خیلی زود است، سازمانها حداقل میدانند که آیا اطلاعات شخصی به خطر افتاده است یا خیر.
این را با الزامات افشای پیشنهادی PRPC مقایسه کنید. سازمانها 24 ساعت اضافی خواهند داشت، اما - بر اساس آنچه تاکنون منتشر شده است - در صورت وجود نقض، باید واجد شرایط داخلی باشند. ماده. تحت GDPR، یک شرکت می تواند این کار را بر اساس حساسیت داده ها، حجم آن و جایی که رفته انجام دهد. طبق PRPC، "ماده" توسط SEC به عنوان هر چیزی که یک "سهامدار معقول مهم تلقی می کند" تعریف می شود. این می تواند تقریباً هر چیزی باشد که سهامداران برای کسب و کار خود در نظر می گیرند. نسبتاً گسترده است و به وضوح تعریف نشده است.
سایر تعاریف ضعیف
موضوع دیگر، الزام پیشنهاد برای افشای شرایطی است که در آن یک حادثه امنیتی به خودی خود مهم نبوده است، اما «مجموع» شده است. این در عمل چگونه کار می کند؟ آیا آسیبپذیری اصلاحنشده شش ماه پیش در صورتی که برای گسترش دامنه رویدادهای بعدی استفاده شود، اکنون قابل افشای است (با توجه به اینکه شرکت آن را اصلاح نکرده است)؟ ما در حال حاضر تهدیدها، آسیبپذیریها و تأثیرات تجاری را با هم ترکیب میکنیم. آسیبپذیری که مورد سوء استفاده قرار نمیگیرد، مادی نیست، زیرا تأثیر تجاری ایجاد نمیکند. هنگامی که رویدادهای انبوه باید گزارش شوند، چه چیزی را باید فاش کنید، و آیا بند تجمیع تشخیص این موضوع را سختتر میکند؟
برای پیچیدهتر کردن این موضوع، قانون پیشنهادی سازمانها را ملزم میکند تا هرگونه تغییر خطمشی ناشی از حوادث قبلی را افشا کنند. چقدر این امر با دقت اندازه گیری می شود و صادقانه بگویم چرا این کار انجام می شود؟ قرار است خطمشیها بیانیههای قصد باشند - قرار نیست آنها راهنمای پیکربندی پزشکی قانونی سطح پایین باشند. به روز رسانی یک سند سطح پایین (استاندارد) برای الزام الگوریتم رمزگذاری خاص برای داده های حساس منطقی است، اما اسناد سطح بالاتری وجود دارد که به دلیل یک حادثه به روز می شوند. به عنوان مثال ممکن است نیاز به احراز هویت چند عاملی یا تغییر توافق نامه وصله خدمات سطح سرویس (SLA) برای آسیب پذیری های حیاتی در محدوده باشد.
در نهایت، این پیشنهاد میگوید که گزارشهای سود سه ماهه، انجمنی برای افشا خواهد بود. شخصاً به نظر نمیرسد که تماسهای درآمد سهماهه انجمن مناسبی برای پرداختن به بهروزرسانیهای خطمشی و حوادث امنیتی باشد. چه کسی به روز رسانی را خواهد داد؟ ممکن است مدیر مالی یا مدیر عامل، که معمولاً گزارشهای درآمدی را ارائه میکنند، به اندازه کافی برای ارائه آن گزارشهای مهم مطلع نباشند. بنابراین، آیا CISO اکنون به فراخوان ها می پیوندد؟ و اگر چنین است، آیا آنها به سؤالات تحلیلگران مالی نیز پاسخ خواهند داد؟ همه چیز غیرعملی به نظر می رسد، اما باید منتظر ماند و دید.
سوالات در مورد تجربه هیئت مدیره
اولین تکرار PRPC مستلزم افشاگری در مورد نظارت هیئت مدیره بر سیاست های مدیریت ریسک امنیت سایبری بود. این شامل افشاگری در مورد تک تک اعضای هیئت مدیره و تخصص سایبری مربوطه آنها بود. SEC می گوید با توجه به دامنه مهارت و تجربه خاص هر هیئت مدیره، به طور هدفمند این تعریف را گسترده نگه داشته است.
خوشبختانه، پس از بررسی های فراوان، آنها تصمیم گرفتند این الزام را حذف کنند. PRPC هنوز از شرکتها میخواهد که فرآیند هیئت مدیره برای نظارت بر ریسکهای امنیت سایبری و نقش مدیریت در رسیدگی به این خطرات را شرح دهند.
این به برخی تنظیمات در ارتباطات و آگاهی عمومی نیاز دارد. اخیراً دکتر کری پرلسون، مدیر اجرایی امنیت سایبری در MIT Sloan، و لوسیا میلیکا، CISO در Stanley Black & Decker، از 600 عضو هیئت مدیره نظرسنجی کرد در مورد فعالیت های پیرامون امنیت سایبری آنها دریافتند که "کمتر از نیمی (47٪) از اعضا در هیئتهایی خدمت میکنند که به طور منظم با CISO آنها تعامل دارند و تقریباً یک سوم از آنها فقط CISO خود را در سخنرانیهای هیئت مدیره میبینند. این به وضوح به یک شکاف ارتباطی اشاره می کند.
خبر خوب این است که اکثر هیئتها در حال حاضر یک کمیته حسابرسی و ریسک دارند که میتواند به عنوان زیرمجموعه هیئت مدیره برای این منظور عمل کند. با این اوصاف، غیرمعمول نیست که CISOها و CSOها موضوعات مربوط به امنیت سایبری را ارائه دهند که بقیه اعضای هیئت مدیره کاملاً آن را درک نمی کنند. برای رفع این شکاف، باید هماهنگی بیشتری بین هیئت مدیره و مدیران امنیتی وجود داشته باشد.
عدم اطمینان حاکم است
مانند هر مقررات جدید، سؤالات و عدم قطعیت هایی در مورد PRPC وجود دارد. ما فقط باید منتظر بمانیم و ببینیم که چگونه همه چیز تکامل می یابد و آیا شرکت ها می توانند الزامات پیشنهادی را برآورده کنند.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. خودرو / خودروهای الکتریکی، کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- ChartPrime. بازی معاملاتی خود را با ChartPrime ارتقا دهید. دسترسی به اینجا.
- BlockOffsets. نوسازی مالکیت افست زیست محیطی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/risk/proposed-sec-cybersecurity-rule-will-put-unnecessary-strain-on-cisos
- : دارد
- :است
- :نه
- :جایی که
- $UP
- 2022
- 24
- 7
- 72
- a
- درباره ما
- فعالیت ها
- تنظیمات
- اثر
- پس از
- تجمیع
- تجمع
- پیش
- توافق
- الگوریتم
- هم ترازی
- معرفی
- تقریبا
- قبلا
- همچنین
- مقدار
- an
- تحلیلگران
- و
- هر
- هر چیزی
- هستند
- مناطق
- AS
- At
- حسابرسی
- تصدیق
- اطلاع
- مستقر
- BE
- زیرا
- شدن
- بوده
- قبل از
- بودن
- میان
- سیاه پوست
- تخته
- شکاف
- پهن
- کسب و کار
- اما
- by
- صدا
- تماس ها
- CAN
- مورد
- مدیر عامل شرکت
- cfo
- تبادل
- متغیر
- رئیس
- موقعیت
- CISO
- به وضوح
- نزدیک
- کمیسیون
- کمیسیون
- ارتباط
- ارتباطات
- شرکت
- شرکت
- مقایسه
- بغرنج
- در معرض خطر
- پیکر بندی
- در نظر بگیرید
- میتوانست
- ایجاد
- بحرانی
- جاری
- سایبر
- امنیت سایبری
- داده ها
- حفاظت از داده ها
- روز
- مصمم
- اختصاصی
- عمیق
- مشخص
- تعریف
- توصیف
- جزئیات
- نشد
- مدیر
- مدیران
- افشای
- افشاء
- do
- سند
- میکند
- ندارد
- آیا
- dr
- دو
- هر
- درامد
- تماس های درآمد
- رمزگذاری
- پایان
- اروپایی
- اتحادیه اروپا
- حتی
- تکامل می یابد
- مثال ها
- تبادل
- اجرایی
- مدیر اجرایی
- مدیران
- تجربه
- تخصص
- سوء استفاده قرار گیرد
- گسترش
- اضافی
- چهره
- بسیار
- کمی از
- کمتر
- مالی
- پایان
- آتش سوزی
- نام خانوادگی
- برای
- پزشک قانونی
- فرم
- انجمن
- یافت
- چهار
- از جانب
- کاملا
- شکاف
- GDPR
- سوالات عمومی
- داده های عمومی
- مقررات حفاظت از اطلاعات عمومی
- دادن
- داده
- Go
- خوب
- حکومت
- بیشتر
- راهنما
- نیم
- اداره
- سخت تر
- آیا
- داشتن
- صادقانه
- ساعت ها
- چگونه
- اما
- HTTPS
- if
- تأثیر
- مهم
- غیر ممکن
- in
- حادثه
- مشمول
- فرد
- اطلاعات
- امنیت اطلاعات
- اطلاع
- قصد
- تعامل
- داخلی
- تفسیر
- شامل
- نیست
- موضوع
- IT
- تکرار
- ITS
- پیوستن
- JPG
- تنها
- نگه داشته شد
- دانستن
- شناخته شده
- کمترین
- کمتر
- پسندیدن
- زندگی
- ll
- خیلی
- ساخت
- باعث می شود
- مدیریت
- حکم
- مارس
- عظیم
- ماده
- مسائل
- ممکن است..
- دیدار
- اعضا
- با
- قدرت
- MIT
- ماه
- بیش
- اکثر
- بسیار
- احراز هویت چند عاملی
- باید
- نیاز
- نیازهای
- جدید
- اخبار
- اکنون
- of
- مامورین
- غالبا
- on
- ONE
- فقط
- or
- سازمان های
- خارج
- به طور کلی
- نظارت
- نظارت
- خود
- ویژه
- وصله
- پچ کردن
- شخصی
- شخصا
- افلاطون
- هوش داده افلاطون
- PlatoData
- نقطه
- سیاست
- سیاست
- تمرین
- در حال حاضر
- ارایهها در همایشهای علمی
- فشار
- قبلی
- قیمت
- روند
- طرح پیشنهادی
- پیشنهاد شده
- حفاظت
- فراهم می کند
- عمومی
- شرکتهای دولتی
- هدف
- قرار دادن
- قرار دادن
- واجد شرایط شدن
- سوالات
- محدوده
- نسبتا
- RE
- واقع بینانه
- معقول
- تازه
- به طور منظم
- تنظیم
- برداشتن
- گزارش
- گزارش
- گزارش ها
- نیاز
- ضروری
- نیاز
- مورد نیاز
- منابع
- قابل احترام
- پاسخ
- REST
- راست
- خطر
- مدیریت ریسک
- خطرات
- نقش
- اتاق
- قانون
- s
- سعید
- می گوید:
- حوزه
- بررسی موشکافانه
- SEC
- اوراق بهادار
- بورس و اوراق بهادار کمیسیون
- تیم امنیت لاتاری
- دیدن
- به نظر می رسد
- به نظر می رسد
- حس
- حساس
- حساسیت
- خدمت
- سهامدار
- سهامداران
- کوتاه مدت
- شش
- شش ماه
- مهارت
- اسلون
- So
- برخی از
- بزودی
- صدا
- خاص
- جزئیات
- استاندارد
- استنلی
- اظهارات
- هنوز
- متعاقب
- مفروض
- اطراف
- گرفتن
- نسبت به
- که
- La
- شان
- آنها
- آنجا.
- از این رو
- آنها
- چیز
- سوم
- این
- کسانی که
- تهدید
- بدین ترتیب
- زمان
- به
- هم
- دور زدن
- به طور معمول
- در نهایت
- عدم اطمینان
- غیر معمول
- زیر
- فهمیدن
- اتحادیه
- غیر ضروری
- تا
- به روز شده
- به روز رسانی
- به روز رسانی
- استفاده کنید
- استفاده
- ارزش
- بسیار
- عملا
- حجم
- آسیب پذیری ها
- آسیب پذیری
- صبر کنيد
- بود
- we
- هفته
- رفت
- چی
- چه زمانی
- چه
- که
- در حین
- WHO
- چرا
- اراده
- پنجره
- با
- در داخل
- مهاجرت کاری
- خواهد بود
- شما
- زفیرنت