Que doivent faire les RSSI pour respecter les nouvelles réglementations de la SEC ?

Question : Comment les RSSI peuvent-ils suivre l'évolution des réglementations en matière de cybersécurité ?

Ilona Cohen, directrice juridique et politique, HackerOne : Ce n'est jamais une période facile pour être responsable de la sécurité de l'information (RSSI), mais les derniers mois ont été particulièrement difficiles. Aux facteurs de stress habituels du travail – tels que l’augmentation continue des attaques de ransomwares et l’omniprésence des menaces internes – nous pouvons désormais ajouter une surveillance accrue de l’application des réglementations.

La récente frais de la US Security and Exchange Commission (SEC) contre le RSSI de SolarWinds est la première fois qu’un RSSI est ainsi pointé du doigt par l’agence. Cela suggère une plus grande tendance à une responsabilisation accrue pour les personnes chargées de gérer les programmes de sécurité organisationnels.

En outre, les sociétés cotées sur les bourses américaines doivent se conformer aux nouvelles informations de la SEC en matière de cybersécurité et règles de déclaration d'incidents à partir de maintenant, et les petites entreprises éligibles doivent se conformer aux règles de déclaration d'incidents au printemps 2024. Ces changements soumettent les programmes de sécurité organisationnels à un examen encore plus minutieux et alourdissent la charge de responsabilités que les RSSI doivent suivre.

Il n’est pas surprenant que de nombreux RSSI ressentent plus de pression que jamais.

Ces nouvelles règles et responsabilités ne doivent pas nécessairement constituer un obstacle au travail du RSSI ; en fait, ils peuvent en fait être une source de soutien pour le RSSI. Les règles de la SEC concernant les divulgations et les incidents de cybersécurité ont toujours été quelque peu difficiles à discerner. En clarifiant les exigences en matière de divulgation des programmes de gestion des risques de sécurité, de gouvernance et de cyberincidents, la SEC fournit un guide aux RSSI.

En outre, les attentes accrues de la SEC en matière de gestion des risques et de gouvernance pourraient donner une plus grande visibilité aux RSSI exiger des ressources et des processus internes pour répondre à ces attentes. Les nouvelles exigences obligeant les sociétés cotées en bourse à divulguer leurs pratiques de gestion des risques aux investisseurs créent des incitations supplémentaires au renforcement des défenses proactives en matière de cybersécurité. Avant même leur entrée en vigueur, les nouvelles règles de la SEC ont sensibilisé davantage les conseils d’administration et les dirigeants d’entreprises non RSSI aux pratiques de cybersécurité, ce qui se traduira probablement par des ressources plus étendues en matière de cybersécurité.

Les sociétés ouvertes dotées de programmes de sécurité robustes comprenant l'identification et l'atténuation continues des vulnérabilités peuvent être plus attrayantes pour les investisseurs du point de vue de la gestion des risques, de la maturité de la sécurité et de la gouvernance d'entreprise. Dans le même temps, les entreprises qui adoptent une attitude proactive pour réduire les risques de sécurité – par exemple en mettant en œuvre et en ressources appropriées les meilleures pratiques en matière de cybersécurité telles que celles contenues dans les normes ISO 27001, 29147 et 30111 – sont moins susceptibles de subir des cyberattaques importantes qui nuisent à la marque de l'entreprise. .

Ce nouveau paysage réglementaire représente une opportunité pour les RSSI de faire le point sur leurs procédures de reporting interne et de s’assurer qu’elles sont à la hauteur. Si les sociétés cotées en bourse ne disposent pas déjà de procédures permettant de signaler les problèmes de sécurité importants à la direction, ces processus doivent être établis immédiatement. Les RSSI doivent aider à préparer les informations sur les processus de gestion des risques de l'entreprise, et également contribuer à garantir la les déclarations publiques de l’entreprise sur la sécurité sont précis, complets et non trompeurs.

En vertu de la nouvelle règle de la SEC, les entreprises publiques doivent divulguer dans les quatre jours ouvrables tout incident de cybersécurité jugé « important ». Mais de nombreux intervenants se demandent ce que signifie être « important », en particulier lorsque la SEC a refusé d'adopter une définition de « matérialité » liée à la cybersécurité dans la règle et a conservé la norme familière aux investisseurs et aux entreprises publiques. Un incident est « important » si les informations concernant cet incident sont quelque chose sur lequel un actionnaire raisonnable se serait appuyé pour prendre des décisions d'investissement éclairées ou lorsqu'elles auraient modifié de manière significative la « combinaison totale » d'informations dont dispose l'actionnaire.

Pratiquement parlant, déterminer ce qui est important et ce qui ne l'est pas n'est pas toujours évident. Même si un intervenant en cas d'incident peut être habitué à évaluer les implications d'un incident en matière de sécurité, comme le nombre d'enregistrements touchés, le nombre d'utilisateurs non autorisés qui y ont eu accès ou le type d'informations menacées, il peut être moins habitué à réfléchir à l'ensemble du problème. implications pour l’entreprise. C’est pourquoi de nombreuses entreprises mettent en place des protocoles – comme le renvoi à un comité interne composé de professionnels de la sécurité, d’avocats et de membres de la haute direction – pour évaluer pas seulement le risque pour la sécurité causés par un incident, mais l'impact sur l'entreprise dans son ensemble. Une équipe interdisciplinaire est plus susceptible d'être en mesure d'évaluer si l'incident expose une entreprise à des responsabilités, affecte la situation financière de l'entreprise, perturbe la relation entre l'entreprise et ses clients, ou affecte les opérations de l'entreprise en raison d'un accès non autorisé ou d'une interruption du service, le tout dont sont pertinents pour la détermination de l’importance relative.

En apportant quelques ajustements consciencieux aux procédures opérationnelles standard, les RSSI peuvent s'adapter efficacement à ce nouveau climat réglementaire sans augmenter considérablement la charge de travail ni aggraver les niveaux de stress déjà élevés.

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
• PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
• PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
• PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
• La source: https://www.darkreading.com/cybersecurity-operations/what-do-cisos-have-to-do-to-meet-new-sec-regulations-