Mitä CISO:n on tehtävä täyttääkseen uudet SEC-määräykset?

Kysymys: Miten CISO:t voivat pysyä kyberturvallisuusmääräysten muutosten mukana?

Ilona Cohen, laki- ja politiikkajohtaja, HackerOne: Tietoturvajohtajana (CISO) oleminen ei ole koskaan helppoa, mutta viimeiset kuukaudet ovat tuntuneet erityisen haastavilta. Työn tavanomaisiin stressitekijöihin – kuten kiristysohjelmahyökkäysten jatkuvaan lisääntymiseen ja sisäpiiriuhkien leviämiseen – voimme nyt lisätä tehostetun sääntelyn valvontaa.

Viime Yhdysvaltain turvallisuus- ja vaihtokomission maksuja (SEC) SolarWindsin CISO:ta vastaan ​​on ensimmäinen kerta, kun virasto on valinnut CISO:n tällä tavalla. Tämä ehdottaa suurempaa lisääntynyt vastuullisuus henkilöille, jotka vastaavat organisaation turvallisuusohjelmien hallinnasta.

Lisäksi Yhdysvaltojen pörsseissä kaupankäynnin kohteena olevien yritysten on noudatettava SEC:n uutta kyberturvallisuusilmoitusta ja tapahtumaraportointisäännöt alkavat nyt, ja pätevien pienempien yritysten tulee noudattaa tapaturmaraportointisääntöjä keväällä 2024. Muutokset asettavat organisaation tietoturvaohjelmat entistä enemmän tarkastelun kohteeksi ja lisäävät CISO:n seurattavia vastuita.

Ei ole yllätys, että monet CISO:t tuntevat enemmän painetta kuin koskaan.

Nämä uudet säännöt ja vastuut Niiden ei välttämättä tarvitse olla esteenä CISO:n työlle – itse asiassa ne voivat olla CISO:n tuen lähde. SEC:n sääntöjä kyberturvallisuusilmoituksista ja -tapauksista on ollut historiallisesti vaikea havaita. Selventämällä vaatimuksia tietoturvariskien hallintaohjelmien, hallinnon ja kybertapahtumien julkistamisesta SEC tarjoaa CISO:ille oppaan.

Lisäksi SEC:n lisääntyneet odotukset riskienhallinnasta ja hallinnoinnista voivat antaa CISO:lle paremman aseman vaatia sisäisiä resursseja ja prosesseja näiden odotusten täyttämiseksi. Uudet vaatimukset julkisesti noteeratuille yrityksille paljastaa riskienhallintakäytännöt sijoittajille luovat lisäkannustimia ennakoivan kyberturvallisuuden vahvistamiseen. Jo ennen niiden voimaantuloa SEC:n uudet säännöt ovat lisänneet tietoisuutta kyberturvallisuuskäytännöistä yritysten hallitusten ja ei-CISO-yritysjohtajien keskuudessa, mikä todennäköisesti johtaa entistä laajemmalle kyberturvallisuuden resurssointiin.

Julkiset yhtiöt, joilla on vankat tietoturvaohjelmat, jotka sisältävät jatkuvan haavoittuvuuksien tunnistamisen ja lieventämisen, voivat olla sijoittajille houkuttelevampia riskienhallinnan, turvakysymysten ja hallintotavan näkökulmasta. Samaan aikaan yritykset, jotka ottavat ennakoivan asenteen tietoturvariskin vähentämiseksi – esimerkiksi ottavat käyttöön ja resursoivat asianmukaisesti kyberturvallisuuden parhaita käytäntöjä, kuten ISO-standardeihin 27001, 29147 ja 30111 sisältyvät –, joutuvat vähemmän todennäköisesti kärsimään aineellisista kyberhyökkäyksistä, jotka vahingoittavat yrityksen brändiä. .

Tämä uusi sääntelyympäristö tarjoaa CISO:lle tilaisuuden arvioida sisäiset raportointimenettelynsä ja varmistaa, että ne ovat tasolla. Jos julkisesti noteeratuilla yrityksillä ei vielä ole menetelmiä merkittävien turvallisuusongelmien eskaloimiseksi johdolle, nämä prosessit tulisi ottaa käyttöön välittömästi. CISO:n tulee auttaa valmistelemaan julkistamista yrityksen riskienhallintaprosesseista ja myös varmistamaan yhtiön julkiset lausunnot turvallisuudesta ovat tarkkoja, täyteläisiä eivätkä ole harhaanjohtavia.

Uuden SEC-säännön mukaan julkisten yhtiöiden on ilmoitettava neljän arkipäivän kuluessa kaikista "olennaisiksi katsotuista" kyberturvallisuustapauksista. Mutta monet tapauksiin reagoijat ihmettelevät, mitä tarkoittaa olla "aineellinen", varsinkin kun SEC kieltäytyi ottamasta käyttöön kyberturvallisuuteen liittyvää "olennaisuuden" määritelmää säännössä ja piti standardin tutun sijoittajille ja julkisille yrityksille. Tapahtuma on "olennainen", jos tieto siitä tapahtumasta on jotain, johon järkevä osakkeenomistaja olisi tukeutunut tehdessään tietoisia sijoituspäätöksiä tai jos se olisi merkittävästi muuttanut osakkeenomistajan käytettävissä olevien tietojen "kokonaisvalikoimaa".

Käytännössä määrittää, mikä on materiaalia ja mikä ei ei ole aina ilmeistä. Vaikka tapahtumavastaajaa voidaan käyttää arvioimaan tapahtuman turvallisuusvaikutuksia, kuten kuinka moneen tietueeseen se vaikutti, kuinka monella luvattomalla käyttäjällä oli pääsy tai minkä tyyppiset tiedot olivat vaarassa, he saattavat olla vähemmän tottuneet ajattelemaan laajempaa seurauksia yritykselle. Tästä syystä monet yritykset ottavat käyttöön protokollia – kuten ohjaamisen sisäiseen komiteaan, joka koostuu turvallisuusalan ammattilaisista, lakimiehistä ja C-sarjan jäsenistä – arvioidakseen. ei vain turvallisuusriski tapahtuman aiheuttama, mutta vaikutus yhtiöön kokonaisuudessaan. Tieteidenvälinen tiimi pystyy todennäköisemmin arvioimaan, altistaako tapahtuma yrityksen vastuulle, vaikuttaako se yrityksen taloudelliseen asemaan, häiritseekö se yrityksen ja asiakkaiden välistä suhdetta vai vaikuttaako se yrityksen toimintaan luvattoman pääsyn tai palveluhäiriön vuoksi, kaikki jotka ovat olennaisuuden määrittämisen kannalta olennaisia.

Tiettyjen standardien toimintatapojen mukauttamisen avulla CISO:t voivat sopeutua tehokkaasti tähän uuteen sääntely-ilmapiiriin ilman, että työmäärät kasvavat rajusti tai jo ennestään korkea stressitaso.

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.darkreading.com/cybersecurity-operations/what-do-cisos-have-to-do-to-meet-new-sec-regulations-