سوال: چگونه سازمان های CISO می توانند با تغییر مقررات امنیت سایبری همگام باشند؟
ایلونا کوهن، مدیر ارشد حقوقی و سیاست گذاری HackerOne: هرگز زمان آسانی برای یک افسر ارشد امنیت اطلاعات (CISO) نیست، اما چند ماه گذشته به ویژه چالش برانگیز بوده است. به عوامل استرسزای معمول کار - مانند افزایش مداوم حملات باجافزار و فراگیر شدن تهدیدات داخلی - اکنون میتوانیم نظارت دقیقتری بر اجرای نظارتی اضافه کنیم.
اخیر اتهامات کمیسیون امنیت و تبادل ایالات متحده (SEC) در برابر CISO SolarWinds اولین بار است که یک CISO به این روش توسط آژانس مورد توجه قرار می گیرد. این نشان دهنده بزرگتر است روند افزایش مسئولیت پذیری برای افراد مسئول مدیریت برنامه های امنیتی سازمانی.
علاوه بر این، شرکتهایی که در صرافیهای ایالات متحده معامله میشوند باید از افشای امنیت سایبری جدید SEC پیروی کنند. قوانین گزارش حادثه از هم اکنون شروع می شودو شرکتهای کوچکتر واجد شرایط باید در بهار 2024 از قوانین گزارشدهی حادثه تبعیت کنند. این تغییرات برنامههای امنیتی سازمانی را تحت نظارت بیشتری قرار میدهد و بر بار مسئولیتهایی که سازمانهای دولتی باید پیگیری کنند میافزاید.
جای تعجب نیست که بسیاری از CISO ها بیش از همیشه تحت فشار هستند.
اینها قوانین و تعهدات جدید لزوماً نیازی نیست که مانعی برای کار CISO باشد - در واقع، آنها در واقع می توانند منبعی برای پشتیبانی برای CISO باشند. تشخیص قوانین SEC در مورد افشای اطلاعات و حوادث امنیت سایبری از لحاظ تاریخی تا حدودی سخت بوده است. SEC با شفاف سازی الزامات مربوط به افشای برنامه های مدیریت ریسک امنیتی، حاکمیت و حوادث سایبری، یک کتاب راهنما به CISO ارائه می کند.
علاوه بر این، افزایش انتظارات SEC برای مدیریت ریسک و حاکمیت ممکن است به CISO ها جایگاه بیشتری بدهد تقاضای منابع و فرآیندهای داخلی برای برآوردن این انتظارات. الزامات جدید برای شرکتهای سهامی عام برای افشای شیوههای مدیریت ریسک برای سرمایهگذاران، انگیزههای بیشتری را برای تقویت دفاعهای پیشگیرانه امنیت سایبری ایجاد میکند. قوانین جدید SEC حتی قبل از اجرایی شدن، آگاهی از شیوه های امنیت سایبری را در میان هیئت مدیره شرکت و رهبری شرکت غیر CISO افزایش داده است، که احتمالاً به منابع امنیت سایبری گسترده تر تبدیل خواهد شد.
شرکتهای دولتی با برنامههای امنیتی قوی که شامل شناسایی و کاهش آسیبپذیریها به طور مداوم است، ممکن است از دیدگاه مدیریت ریسک، بلوغ امنیتی و مدیریت شرکتی برای سرمایهگذاران جذابتر باشند. در عین حال، شرکتهایی که موضعی فعالانه برای کاهش خطرات امنیتی اتخاذ میکنند - به عنوان مثال، بهترین شیوههای امنیت سایبری را اجرا میکنند و به طور مناسب منابع آن را تامین میکنند، مانند موارد مندرج در ISO 27001، 29147 و 30111 - کمتر در معرض حملات سایبری مادی قرار میگیرند که به برند شرکت آسیب میزند. .
این چشمانداز نظارتی جدید، فرصتی را برای سازمانهای دولتی ارائه میدهد تا رویههای گزارشدهی داخلی خود را بررسی کنند و مطمئن شوند که مطابقت دارند. اگر شرکتهای سهامی عام از قبل رویههایی برای تشدید مسائل امنیتی مهم به مدیریت اجرایی نداشته باشند، این فرآیندها باید فوراً ایجاد شوند. CISO ها باید به آماده سازی اطلاعات در مورد فرآیندهای مدیریت ریسک شرکت کمک کنند و همچنین به اطمینان از این امر کمک کنند بیانیه های عمومی شرکت در مورد امنیت دقیق، کامل و گمراه کننده نیستند.
بر اساس قانون جدید SEC، شرکتهای دولتی باید در عرض چهار روز کاری هرگونه حادثه امنیت سایبری را که "مادی" تلقی میشود، افشا کنند. اما بسیاری از پاسخدهندگان حادثه تعجب میکنند که «مادی» بودن به چه معناست، بهویژه زمانی که کمیسیون بورس و اوراق بهادار از پذیرش تعریف مرتبط با امنیت سایبری از «مادی بودن» در قانون خودداری کرد و استاندارد را برای سرمایهگذاران و شرکتهای عمومی آشنا نگه داشت. اگر اطلاعات مربوط به آن حادثه چیزی باشد که یک سهامدار معقول برای اتخاذ تصمیمات سرمایهگذاری آگاهانه به آن تکیه میکرد یا زمانی که «ترکیب کل» اطلاعات در دسترس سهامدار را بهطور قابلتوجهی تغییر داد، «ماده» است.
به طور عملی، تعیین اینکه چه چیزی مادی است و چه چیزی نیست همیشه واضح نیست در حالی که واکنشگر حادثه ممکن است برای ارزیابی پیامدهای امنیتی یک حادثه استفاده شود، مانند تعداد رکوردهایی که تحت تأثیر قرار گرفته اند، تعداد کاربران غیرمجاز دسترسی داشته اند، یا نوع اطلاعاتی که در معرض خطر بوده است، ممکن است کمتر به فکر کردن به موارد گسترده تر عادت کنند. پیامدها برای شرکت به همین دلیل است که بسیاری از شرکتها پروتکلهایی مانند ارجاع به یک کمیته داخلی متشکل از متخصصان امنیتی، وکلا و اعضای C-suite را برای ارزیابی وضع میکنند. نه فقط خطر امنیتی ناشی از یک حادثه، اما تاثیر آن بر شرکت به طور کلی. احتمال بیشتری وجود دارد که یک تیم بین رشته ای بتواند ارزیابی کند که آیا حادثه شرکت را در معرض مسئولیت قرار می دهد، بر وضعیت مالی شرکت تأثیر می گذارد، روابط بین شرکت و مشتریانش را مختل می کند، یا بر عملیات شرکت به دلیل دسترسی غیرمجاز یا اختلال در خدمات تأثیر می گذارد. که مربوط به تعیین مادیت است.
با برخی تعدیلهای وجدانآمیز رویههای عملیاتی استاندارد، CISO میتواند به طور مؤثری با این جو قانونی جدید بدون افزایش شدید بار کاری یا ترکیب سطوح بالای استرس سازگار شود.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/cybersecurity-operations/what-do-cisos-have-to-do-to-meet-new-sec-regulations-
- : دارد
- :است
- :نه
- $UP
- 2024
- 27001
- 7
- a
- قادر
- درباره ما
- دسترسی
- دقیق
- واقعا
- وفق دادن
- اضافه کردن
- اضافه
- اضافی
- تنظیمات
- اتخاذ
- در برابر
- نمایندگی
- معرفی
- قبلا
- همچنین
- تغییر
- همیشه
- در میان
- an
- و
- هر
- به درستی
- هستند
- دور و بر
- AS
- ارزیابی کنید
- ارزیابی
- At
- حمله
- جالب
- در دسترس
- اطلاع
- BE
- بوده
- قبل از
- بهترین
- بهترین شیوه
- میان
- نام تجاری
- گسترده تر
- کسب و کار
- اما
- by
- C- مجموعه
- CAN
- ایجاد می شود
- به چالش کشیدن
- تبادل
- متغیر
- بار
- رئیس
- افسر ارشد امنیت اطلاعات
- CISO
- اقلیم
- کوهن
- کمیسیون
- شرکت
- شرکت
- مطابق
- موجود
- به طور مداوم
- شرکت
- ایجاد
- مشتریان
- سایبر
- حملات سایبری
- امنیت سایبری
- خسارت
- روز
- تصمیم گیری
- تلقی می شود
- تعریف
- تقاضا
- تعیین
- تشخیص دادن
- افشای
- افشا کردن
- افشاء
- قطع
- do
- به شدت
- دو
- ساده
- اثر
- به طور موثر
- اجرای
- اطمینان حاصل شود
- تشدید
- به خصوص
- تاسیس
- حتی
- تا کنون
- مثال
- تبادل
- مبادلات
- اجرایی
- مدیریت اجرایی
- گستردگی
- انتظارات
- واقعیت
- آشنا
- احساس
- خطا
- کمی از
- مالی
- نام خانوادگی
- بار اول
- برای
- چهار
- از جانب
- حکومت
- بیشتر
- بود
- سخت
- آیا
- بالا بردن
- کمک
- زیاد
- مانع
- به لحاظ تاریخی
- چگونه
- HTTPS
- شناسایی
- if
- بلافاصله
- تأثیر
- نهفته
- اجرای
- پیامدهای
- in
- انگیزه
- حادثه
- شامل
- افزایش
- افزایش
- افزایش
- افراد
- اطلاعات
- امنیت اطلاعات
- اطلاع
- محرم راز
- داخلی
- به
- سرمایه گذاری
- سرمایه گذاران
- نیست
- مسائل
- IT
- ITS
- کار
- JPG
- تنها
- نگاه داشتن
- نگه داشته شد
- چشم انداز
- بزرگتر
- وکلا
- رهبری
- قانونی
- کمتر
- سطح
- بدهی
- پسندیدن
- احتمالا
- بار
- ساخته
- ساخت
- مدیریت
- مدیریت
- بسیاری
- ماده
- بلوغ
- ممکن است..
- به معنی
- دیدار
- اعضا
- گمراه کننده
- تسکین دهنده
- مخلوط
- ماه
- بیش
- باید
- لزوما
- نیاز
- هرگز
- جدید
- نه
- اکنون
- واضح
- of
- افسر
- on
- مداوم
- عملیاتی
- عملیات
- فرصت
- or
- سازمانی
- خارج
- به طور کلی
- ویژه
- گذشته
- دیدگاه
- محل
- افلاطون
- هوش داده افلاطون
- PlatoData
- سیاست
- موقعیت
- شیوه های
- آماده
- فشار
- بلادرنگ
- روش
- فرآیندهای
- حرفه ای
- برنامه ها
- پروتکل
- ارائه
- عمومی
- شرکتهای دولتی
- عمومی
- قرار دادن
- قرار دادن
- مقدماتی
- باجافزار
- حملات باج افزار
- RE
- معقول
- اخیر
- سوابق
- کاهش
- مراجعه
- مقررات
- تنظیم کننده
- چشم انداز نظارتی
- ارتباط
- مربوط
- گزارش
- نشان دهنده
- مورد نیاز
- منابع
- مسئولیت
- خطر
- مدیریت ریسک
- تنومند
- قانون
- قوانین
- s
- همان
- بررسی موشکافانه
- SEC
- تیم امنیت لاتاری
- مدیریت ریسک امنیتی
- سرویس
- سهامدار
- باید
- قابل توجه
- به طور قابل توجهی
- کوچکتر
- SolarWinds
- برخی از
- چیزی
- تاحدی
- منبع
- صحبت کردن
- بهار
- حالت
- استاندارد
- راه افتادن
- اظهارات
- موجودی
- تقویت
- فشار
- چنین
- حاکی از
- پشتیبانی
- مطمئن
- تعجب
- گرفتن
- تیم
- نسبت به
- که
- La
- شان
- اینها
- آنها
- تفکر
- این
- کسانی که
- تهدید
- زمان
- به
- جمع
- مسیر
- داد و ستد
- ترجمه کردن
- نوع
- غیر مجاز
- زیر
- us
- استفاده
- کاربران
- معمول
- آسیب پذیری ها
- بود
- مسیر..
- we
- رفت
- بود
- چی
- چه شده است
- چه زمانی
- چه
- که
- در حین
- چرا
- اراده
- با
- در داخل
- بدون
- تعجب کردم
- مهاجرت کاری
- خواهد بود
- زفیرنت