प्रश्न: सीआईएसओ बदलते साइबर सुरक्षा नियमों के साथ कैसे तालमेल बिठा सकते हैं?
इलोना कोहेन, मुख्य कानूनी और नीति अधिकारी, हैकरवन: मुख्य सूचना सुरक्षा अधिकारी (सीआईएसओ) बनना कभी भी आसान समय नहीं है, लेकिन पिछले कुछ महीने विशेष रूप से चुनौतीपूर्ण लगे हैं। काम के सामान्य तनावों में - जैसे कि रैंसमवेयर हमलों में लगातार वृद्धि और अंदरूनी खतरों की व्यापकता - हम अब बढ़ी हुई नियामक प्रवर्तन जांच जोड़ सकते हैं।
हाल का अमेरिकी सुरक्षा और विनिमय आयोग से शुल्क (एसईसी) सोलरविंड्स सीआईएसओ के खिलाफ पहली बार है जब किसी सीआईएसओ को एजेंसी द्वारा इस तरह से चुना गया है। यह एक बड़ा सुझाव देता है उत्तरदायित्व में वृद्धि की प्रवृत्ति संगठनात्मक सुरक्षा कार्यक्रमों के प्रबंधन के प्रभारी व्यक्तियों के लिए।
इसके अलावा, अमेरिकी एक्सचेंजों पर कारोबार करने वाली कंपनियों को एसईसी के नए साइबर सुरक्षा प्रकटीकरण का अनुपालन करना होगा घटना रिपोर्टिंग नियम अब शुरू हो रहे हैं, और योग्य छोटी कंपनियों को वसंत 2024 में घटना रिपोर्टिंग नियमों का पालन करना होगा। ये परिवर्तन संगठनात्मक सुरक्षा कार्यक्रमों को और भी अधिक जांच के दायरे में लाते हैं और सीआईएसओ को ट्रैक करने वाली जिम्मेदारियों के भार को बढ़ाते हैं।
इसमें कोई आश्चर्य की बात नहीं है कि कई सीआईएसओ पहले से कहीं अधिक दबाव महसूस कर रहे हैं।
इन नए नियम और देनदारियाँ जरूरी नहीं कि वे सीआईएसओ के काम में बाधा बनें - वास्तव में, वे वास्तव में सीआईएसओ के लिए समर्थन का एक स्रोत हो सकते हैं। साइबर सुरक्षा खुलासे और घटनाओं से संबंधित एसईसी नियमों को ऐतिहासिक रूप से समझना कुछ हद तक कठिन रहा है। सुरक्षा जोखिम प्रबंधन कार्यक्रमों, शासन और साइबर घटनाओं का खुलासा करने के लिए आवश्यकताओं को स्पष्ट करके, एसईसी सीआईएसओ को एक गाइडबुक प्रदान कर रहा है।
इसके अलावा, जोखिम प्रबंधन और प्रशासन के लिए एसईसी की उम्मीदें बढ़ सकती हैं सीआईएसओ को बेहतर दर्जा दें उन अपेक्षाओं को पूरा करने के लिए आंतरिक संसाधनों और प्रक्रियाओं की मांग करना। सार्वजनिक रूप से कारोबार करने वाली कंपनियों के लिए निवेशकों को जोखिम प्रबंधन प्रथाओं का खुलासा करने की नई आवश्यकताएं सक्रिय साइबर सुरक्षा सुरक्षा को मजबूत करने के लिए अतिरिक्त प्रोत्साहन प्रदान करती हैं। प्रभावी होने से पहले ही, एसईसी के नए नियमों ने कंपनी बोर्डों और गैर-सीआईएसओ कंपनी नेतृत्व के बीच साइबर सुरक्षा प्रथाओं के बारे में जागरूकता बढ़ा दी है, जो संभवतः अधिक व्यापक साइबर सुरक्षा संसाधनों में तब्दील हो जाएगी।
मजबूत सुरक्षा कार्यक्रमों वाली सार्वजनिक कंपनियां जिनमें कमजोरियों को लगातार पहचानना और कम करना शामिल है, जोखिम प्रबंधन, सुरक्षा परिपक्वता और कॉर्पोरेट प्रशासन के दृष्टिकोण से निवेशकों के लिए अधिक आकर्षक हो सकती हैं। साथ ही, जो कंपनियां सुरक्षा जोखिम को कम करने के लिए सक्रिय रुख अपनाती हैं - उदाहरण के लिए, आईएसओ 27001, 29147 और 30111 में निहित साइबर सुरक्षा सर्वोत्तम प्रथाओं को लागू करना और उचित रूप से संसाधन करना - उन्हें कंपनी के ब्रांड को नुकसान पहुंचाने वाले भौतिक साइबर हमलों का सामना करने की संभावना कम होती है। .
यह नया नियामक परिदृश्य सीआईएसओ के लिए अपनी आंतरिक रिपोर्टिंग प्रक्रियाओं का जायजा लेने और यह सुनिश्चित करने का अवसर दर्शाता है कि वे बराबर हैं। यदि सार्वजनिक रूप से कारोबार करने वाली कंपनियों के पास पहले से ही महत्वपूर्ण सुरक्षा मुद्दों को कार्यकारी प्रबंधन तक पहुंचाने की प्रक्रियाएं नहीं हैं, तो इन प्रक्रियाओं को तुरंत स्थापित किया जाना चाहिए। सीआईएसओ को कंपनी जोखिम प्रबंधन प्रक्रियाओं के बारे में खुलासे तैयार करने में मदद करनी चाहिए, और यह सुनिश्चित करने में भी मदद करनी चाहिए सुरक्षा के बारे में कंपनी के सार्वजनिक वक्तव्य सटीक, संपूर्ण और भ्रामक नहीं हैं।
नए एसईसी नियम के तहत, सार्वजनिक कंपनियों को "महत्वपूर्ण" समझी जाने वाली किसी भी साइबर सुरक्षा घटना का चार व्यावसायिक दिनों के भीतर खुलासा करना होगा। लेकिन कई घटना उत्तरदाता सोच रहे हैं कि "भौतिक" होने का क्या मतलब है, खासकर जब एसईसी ने नियम में "भौतिकता" की साइबर सुरक्षा-संबंधी परिभाषा को अपनाने से इनकार कर दिया और मानक को निवेशकों और सार्वजनिक कंपनियों से परिचित रखा। एक घटना "महत्वपूर्ण" होती है यदि उस घटना के बारे में जानकारी कुछ ऐसी होती है जिस पर एक उचित शेयरधारक ने सूचित निवेश निर्णय लेने के लिए भरोसा किया होगा या जब इसने शेयरधारक के लिए उपलब्ध जानकारी के "कुल मिश्रण" को महत्वपूर्ण रूप से बदल दिया होगा।
व्यावहारिक रूप से बोल रहा हूँ, यह निर्धारित करना कि क्या भौतिक है और क्या नहीं है हमेशा स्पष्ट नहीं होता. जबकि एक घटना प्रत्युत्तरकर्ता का उपयोग किसी घटना के सुरक्षा निहितार्थों का आकलन करने के लिए किया जा सकता है, जैसे कि कितने रिकॉर्ड प्रभावित हुए, कितने अनधिकृत उपयोगकर्ताओं की पहुंच थी, या किस प्रकार की जानकारी खतरे में थी, वे व्यापक के बारे में सोचने के कम आदी हो सकते हैं कंपनी के लिए निहितार्थ. यही कारण है कि कई कंपनियां मूल्यांकन के लिए प्रोटोकॉल लागू कर रही हैं - जैसे कि सुरक्षा पेशेवरों, वकीलों और सी-सूट के सदस्यों से बनी आंतरिक समिति को रेफर करना। सिर्फ सुरक्षा जोखिम नहीं एक घटना के कारण, लेकिन कुल मिलाकर कंपनी पर प्रभाव पड़ा। एक अंतःविषय टीम यह आकलन करने में सक्षम होने की अधिक संभावना है कि क्या घटना किसी कंपनी को दायित्व में लाती है, कंपनी की वित्तीय स्थिति को प्रभावित करती है, कंपनी और उसके ग्राहकों के बीच संबंधों को परेशान करती है, या अनधिकृत पहुंच या सेवा में व्यवधान के कारण कंपनी के संचालन को प्रभावित करती है, ये सभी जिनमें से भौतिकता निर्धारण के लिए प्रासंगिक हैं।
मानक संचालन प्रक्रियाओं में कुछ ईमानदार समायोजन के साथ, सीआईएसओ कार्यभार में अत्यधिक वृद्धि किए बिना या पहले से ही उच्च स्तर के तनाव को बढ़ाए बिना इस नए नियामक माहौल को प्रभावी ढंग से अनुकूलित कर सकते हैं।
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
- प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
- प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
- स्रोत: https://www.darkreading.com/cybersecurity-operations/what-do-cisos-have-to-do-to-meet-new-sec-regulations-
- :हैस
- :है
- :नहीं
- $यूपी
- 2024
- 27001
- 7
- a
- योग्य
- About
- पहुँच
- सही
- वास्तव में
- अनुकूलन
- जोड़ना
- इसके अलावा
- अतिरिक्त
- समायोजन
- अपनाना
- के खिलाफ
- एजेंसी
- सब
- पहले ही
- भी
- बदल
- हमेशा
- के बीच में
- an
- और
- कोई
- उचित रूप से
- हैं
- चारों ओर
- AS
- आकलन
- आकलन
- At
- आक्रमण
- आकर्षक
- उपलब्ध
- जागरूकता
- BE
- किया गया
- से पहले
- BEST
- सर्वोत्तम प्रथाओं
- के बीच
- ब्रांड
- व्यापक
- व्यापार
- लेकिन
- by
- सी-सूट
- कर सकते हैं
- के कारण होता
- चुनौतीपूर्ण
- परिवर्तन
- बदलना
- प्रभार
- प्रमुख
- मुख्य सूचना सुरक्षा अधिकारी
- सीआईएसओ
- जलवायु
- कोहेन
- समिति
- कंपनियों
- कंपनी
- पालन करना
- निहित
- लगातार
- कॉर्पोरेट
- बनाना
- ग्राहक
- साइबर
- साइबर हमले
- साइबर सुरक्षा
- क्षति
- दिन
- निर्णय
- समझा
- परिभाषा
- मांग
- दृढ़ संकल्प
- देख लेना
- खुलासा
- का खुलासा
- प्रकटीकरण
- विघटन
- do
- काफी
- दो
- आसान
- प्रभाव
- प्रभावी रूप से
- प्रवर्तन
- सुनिश्चित
- ख़राब करना
- विशेष रूप से
- स्थापित
- और भी
- कभी
- उदाहरण
- एक्सचेंज
- एक्सचेंजों
- कार्यकारी
- कार्यकारी प्रबंधन
- प्रशस्त
- उम्मीदों
- तथ्य
- परिचित
- भावना
- त्रुटि
- कुछ
- वित्तीय
- प्रथम
- पहली बार
- के लिए
- चार
- से
- शासन
- अधिक से अधिक
- था
- कठिन
- है
- बढ़
- मदद
- हाई
- बाधा
- ऐतिहासिक दृष्टि से
- कैसे
- HTTPS
- पहचान
- if
- तुरंत
- प्रभाव
- असर पड़ा
- कार्यान्वयन
- निहितार्थ
- in
- प्रोत्साहन राशि
- घटना
- शामिल
- बढ़ना
- वृद्धि हुई
- बढ़ती
- व्यक्तियों
- करें-
- सूचना सुरक्षा
- सूचित
- अंदरूनी सूत्र
- आंतरिक
- में
- निवेश
- निवेशक
- प्रतिसाद नहीं
- मुद्दों
- IT
- आईटी इस
- काम
- जेपीजी
- केवल
- रखना
- रखा
- परिदृश्य
- बड़ा
- वकीलों
- नेतृत्व
- कानूनी
- कम
- स्तर
- दायित्व
- पसंद
- संभावित
- भार
- बनाया गया
- बनाना
- प्रबंध
- प्रबंध
- बहुत
- सामग्री
- परिपक्वता
- मई..
- साधन
- मिलना
- सदस्य
- भ्रामक
- कम करने
- मिश्रण
- महीने
- अधिक
- चाहिए
- अनिवार्य रूप से
- आवश्यकता
- कभी नहीँ
- नया
- नहीं
- अभी
- स्पष्ट
- of
- अफ़सर
- on
- चल रहे
- परिचालन
- संचालन
- अवसर
- or
- संगठनात्मक
- आउट
- कुल
- विशेष रूप से
- अतीत
- दृष्टिकोण
- जगह
- प्लेटो
- प्लेटो डेटा इंटेलिजेंस
- प्लेटोडाटा
- नीति
- स्थिति
- प्रथाओं
- तैयार करना
- दबाव
- प्रोएक्टिव
- प्रक्रिया
- प्रक्रियाओं
- पेशेवरों
- प्रोग्राम्स
- प्रोटोकॉल
- प्रदान कर
- सार्वजनिक
- सार्वजनिक कंपनियों
- सार्वजनिक रूप से
- रखना
- लाना
- क्वालीफाइंग
- Ransomware
- रैंसमवेयर अटैक
- RE
- उचित
- हाल
- अभिलेख
- को कम करने
- रेफरल
- नियम
- नियामक
- नियामक परिदृश्य
- संबंध
- प्रासंगिक
- रिपोर्टिंग
- का प्रतिनिधित्व करता है
- आवश्यकताएँ
- उपयुक्त संसाधन चुनें
- जिम्मेदारियों
- जोखिम
- जोखिम प्रबंधन
- मजबूत
- नियम
- नियम
- s
- वही
- संवीक्षा
- एसईसी
- सुरक्षा
- सुरक्षा जोखिम प्रबंधन
- सेवा
- शेयरहोल्डर
- चाहिए
- महत्वपूर्ण
- काफी
- छोटे
- ओरियन
- कुछ
- कुछ
- कुछ हद तक
- स्रोत
- बोल रहा हूँ
- वसंत
- मुद्रा
- मानक
- शुरुआत में
- बयान
- स्टॉक
- मजबूत बनाना
- तनाव
- ऐसा
- पता चलता है
- समर्थन
- निश्चित
- आश्चर्य
- लेना
- टीम
- से
- कि
- RSI
- लेकिन हाल ही
- इन
- वे
- विचारधारा
- इसका
- उन
- धमकी
- पहर
- सेवा मेरे
- कुल
- ट्रैक
- कारोबार
- अनुवाद करना
- टाइप
- अनधिकृत
- के अंतर्गत
- us
- प्रयुक्त
- उपयोगकर्ताओं
- सामान्य
- कमजोरियों
- था
- मार्ग..
- we
- चला गया
- थे
- क्या
- एचएमबी क्या है?
- कब
- या
- कौन कौन से
- जब
- क्यों
- मर्जी
- साथ में
- अंदर
- बिना
- सोच
- काम
- होगा
- जेफिरनेट