नए एसईसी विनियमों को पूरा करने के लिए सीआईएसओ को क्या करना होगा?

प्रश्न: सीआईएसओ बदलते साइबर सुरक्षा नियमों के साथ कैसे तालमेल बिठा सकते हैं?

इलोना कोहेन, मुख्य कानूनी और नीति अधिकारी, हैकरवन: मुख्य सूचना सुरक्षा अधिकारी (सीआईएसओ) बनना कभी भी आसान समय नहीं है, लेकिन पिछले कुछ महीने विशेष रूप से चुनौतीपूर्ण लगे हैं। काम के सामान्य तनावों में - जैसे कि रैंसमवेयर हमलों में लगातार वृद्धि और अंदरूनी खतरों की व्यापकता - हम अब बढ़ी हुई नियामक प्रवर्तन जांच जोड़ सकते हैं।

हाल का अमेरिकी सुरक्षा और विनिमय आयोग से शुल्क (एसईसी) सोलरविंड्स सीआईएसओ के खिलाफ पहली बार है जब किसी सीआईएसओ को एजेंसी द्वारा इस तरह से चुना गया है। यह एक बड़ा सुझाव देता है उत्तरदायित्व में वृद्धि की प्रवृत्ति संगठनात्मक सुरक्षा कार्यक्रमों के प्रबंधन के प्रभारी व्यक्तियों के लिए।

इसके अलावा, अमेरिकी एक्सचेंजों पर कारोबार करने वाली कंपनियों को एसईसी के नए साइबर सुरक्षा प्रकटीकरण का अनुपालन करना होगा घटना रिपोर्टिंग नियम अब शुरू हो रहे हैं, और योग्य छोटी कंपनियों को वसंत 2024 में घटना रिपोर्टिंग नियमों का पालन करना होगा। ये परिवर्तन संगठनात्मक सुरक्षा कार्यक्रमों को और भी अधिक जांच के दायरे में लाते हैं और सीआईएसओ को ट्रैक करने वाली जिम्मेदारियों के भार को बढ़ाते हैं।

इसमें कोई आश्चर्य की बात नहीं है कि कई सीआईएसओ पहले से कहीं अधिक दबाव महसूस कर रहे हैं।

इन नए नियम और देनदारियाँ जरूरी नहीं कि वे सीआईएसओ के काम में बाधा बनें - वास्तव में, वे वास्तव में सीआईएसओ के लिए समर्थन का एक स्रोत हो सकते हैं। साइबर सुरक्षा खुलासे और घटनाओं से संबंधित एसईसी नियमों को ऐतिहासिक रूप से समझना कुछ हद तक कठिन रहा है। सुरक्षा जोखिम प्रबंधन कार्यक्रमों, शासन और साइबर घटनाओं का खुलासा करने के लिए आवश्यकताओं को स्पष्ट करके, एसईसी सीआईएसओ को एक गाइडबुक प्रदान कर रहा है।

इसके अलावा, जोखिम प्रबंधन और प्रशासन के लिए एसईसी की उम्मीदें बढ़ सकती हैं सीआईएसओ को बेहतर दर्जा दें उन अपेक्षाओं को पूरा करने के लिए आंतरिक संसाधनों और प्रक्रियाओं की मांग करना। सार्वजनिक रूप से कारोबार करने वाली कंपनियों के लिए निवेशकों को जोखिम प्रबंधन प्रथाओं का खुलासा करने की नई आवश्यकताएं सक्रिय साइबर सुरक्षा सुरक्षा को मजबूत करने के लिए अतिरिक्त प्रोत्साहन प्रदान करती हैं। प्रभावी होने से पहले ही, एसईसी के नए नियमों ने कंपनी बोर्डों और गैर-सीआईएसओ कंपनी नेतृत्व के बीच साइबर सुरक्षा प्रथाओं के बारे में जागरूकता बढ़ा दी है, जो संभवतः अधिक व्यापक साइबर सुरक्षा संसाधनों में तब्दील हो जाएगी।

मजबूत सुरक्षा कार्यक्रमों वाली सार्वजनिक कंपनियां जिनमें कमजोरियों को लगातार पहचानना और कम करना शामिल है, जोखिम प्रबंधन, सुरक्षा परिपक्वता और कॉर्पोरेट प्रशासन के दृष्टिकोण से निवेशकों के लिए अधिक आकर्षक हो सकती हैं। साथ ही, जो कंपनियां सुरक्षा जोखिम को कम करने के लिए सक्रिय रुख अपनाती हैं - उदाहरण के लिए, आईएसओ 27001, 29147 और 30111 में निहित साइबर सुरक्षा सर्वोत्तम प्रथाओं को लागू करना और उचित रूप से संसाधन करना - उन्हें कंपनी के ब्रांड को नुकसान पहुंचाने वाले भौतिक साइबर हमलों का सामना करने की संभावना कम होती है। .

यह नया नियामक परिदृश्य सीआईएसओ के लिए अपनी आंतरिक रिपोर्टिंग प्रक्रियाओं का जायजा लेने और यह सुनिश्चित करने का अवसर दर्शाता है कि वे बराबर हैं। यदि सार्वजनिक रूप से कारोबार करने वाली कंपनियों के पास पहले से ही महत्वपूर्ण सुरक्षा मुद्दों को कार्यकारी प्रबंधन तक पहुंचाने की प्रक्रियाएं नहीं हैं, तो इन प्रक्रियाओं को तुरंत स्थापित किया जाना चाहिए। सीआईएसओ को कंपनी जोखिम प्रबंधन प्रक्रियाओं के बारे में खुलासे तैयार करने में मदद करनी चाहिए, और यह सुनिश्चित करने में भी मदद करनी चाहिए सुरक्षा के बारे में कंपनी के सार्वजनिक वक्तव्य सटीक, संपूर्ण और भ्रामक नहीं हैं।

नए एसईसी नियम के तहत, सार्वजनिक कंपनियों को "महत्वपूर्ण" समझी जाने वाली किसी भी साइबर सुरक्षा घटना का चार व्यावसायिक दिनों के भीतर खुलासा करना होगा। लेकिन कई घटना उत्तरदाता सोच रहे हैं कि "भौतिक" होने का क्या मतलब है, खासकर जब एसईसी ने नियम में "भौतिकता" की साइबर सुरक्षा-संबंधी परिभाषा को अपनाने से इनकार कर दिया और मानक को निवेशकों और सार्वजनिक कंपनियों से परिचित रखा। एक घटना "महत्वपूर्ण" होती है यदि उस घटना के बारे में जानकारी कुछ ऐसी होती है जिस पर एक उचित शेयरधारक ने सूचित निवेश निर्णय लेने के लिए भरोसा किया होगा या जब इसने शेयरधारक के लिए उपलब्ध जानकारी के "कुल मिश्रण" को महत्वपूर्ण रूप से बदल दिया होगा।

व्यावहारिक रूप से बोल रहा हूँ, यह निर्धारित करना कि क्या भौतिक है और क्या नहीं है हमेशा स्पष्ट नहीं होता. जबकि एक घटना प्रत्युत्तरकर्ता का उपयोग किसी घटना के सुरक्षा निहितार्थों का आकलन करने के लिए किया जा सकता है, जैसे कि कितने रिकॉर्ड प्रभावित हुए, कितने अनधिकृत उपयोगकर्ताओं की पहुंच थी, या किस प्रकार की जानकारी खतरे में थी, वे व्यापक के बारे में सोचने के कम आदी हो सकते हैं कंपनी के लिए निहितार्थ. यही कारण है कि कई कंपनियां मूल्यांकन के लिए प्रोटोकॉल लागू कर रही हैं - जैसे कि सुरक्षा पेशेवरों, वकीलों और सी-सूट के सदस्यों से बनी आंतरिक समिति को रेफर करना। सिर्फ सुरक्षा जोखिम नहीं एक घटना के कारण, लेकिन कुल मिलाकर कंपनी पर प्रभाव पड़ा। एक अंतःविषय टीम यह आकलन करने में सक्षम होने की अधिक संभावना है कि क्या घटना किसी कंपनी को दायित्व में लाती है, कंपनी की वित्तीय स्थिति को प्रभावित करती है, कंपनी और उसके ग्राहकों के बीच संबंधों को परेशान करती है, या अनधिकृत पहुंच या सेवा में व्यवधान के कारण कंपनी के संचालन को प्रभावित करती है, ये सभी जिनमें से भौतिकता निर्धारण के लिए प्रासंगिक हैं।

मानक संचालन प्रक्रियाओं में कुछ ईमानदार समायोजन के साथ, सीआईएसओ कार्यभार में अत्यधिक वृद्धि किए बिना या पहले से ही उच्च स्तर के तनाव को बढ़ाए बिना इस नए नियामक माहौल को प्रभावी ढंग से अनुकूलित कर सकते हैं।

• एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
• प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
• प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
• प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
• प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
• स्रोत: https://www.darkreading.com/cybersecurity-operations/what-do-cisos-have-to-do-to-meet-new-sec-regulations-