A vállalatoknak vállalati kiberbiztonsági szakértőkkel kell rendelkezniük, mondja a SEC

Az US Security and Exchange Commission (SEC) nagyítót emelt egy vállalat kiberbiztonsági szakértelme elé.

Az eredeti a SEC javaslata 2022 márciusában kijelentette, hogy azt szeretné, ha a vállalatok nyilvánosan bejelentenének egy kiberbiztonsági szakértőt az igazgatótanácsba és egyet a menedzsmentbe. Ma a SEC meghátrált az igazgatótanács szakértőjének követelménye – bár továbbra is azt szeretné, ha „a regisztrálók leírják a kiberbiztonsági fenyegetésekből eredő kockázatok igazgatótanácsának felügyeletét, valamint a menedzsment szerepét és szakértelmét a kiberbiztonsági fenyegetésekből eredő lényeges kockázatok felmérésében és kezelésében”.

Ez azt jelenti, hogy a SEC nem szorgalmazza aktívan az igazgatóság kiberbiztonsági szakértőinek jogosítványait, legalábbis jelenleg. De továbbra is ragaszkodik ahhoz, hogy a vezetőség kiberbiztonsági szakértelmét jelentsék nekik.

De miből áll ez a szakértelem? A szakértők egyetértenek abban, hogy ez nagyon nehéz kérdés.

A SEC nem határozta meg kifejezetten a kiberbiztonsági szakértelmet, és ezt a kritikus döntést minden vállalatra bízta. Tippeket adott néhány lehetséges területre a szakértelem meghatározásához, megemlítve a bizonyítványokat, a tudományos fokozatokat és a munkatapasztalatot.

„Bár a szándék vélelmezhető, a SEC kiberre vonatkozó javasolt szabálya valójában nem igényel több kiberbiztonsági szakértelmet az igazgatótanácsokban vagy a felső vezetésben. Előfordulhat, hogy a … szabály nem körvonalazza egyértelműen, hogy mi képezi ezt a szakértelmet, de ez nem különbözik az igazgatókra vonatkozó egyéb SEC közzétételi követelményektől, például az audit bizottságban dolgozó igazgatók pénzügyi szakértelmének nyilvánosságra hozatalától” – mondja Andrew Morrison, a A Deloitte kockázati és pénzügyi tanácsadója.

A piac dönti el, ki a szakértő

Különböző megkérdezett szakemberek azt mondják, hogy a SEC nem hagyja jóvá vagy tagadja meg senkinek a hitelesítését, és megállapítja, hogy az megfelel-e a nem meghatározott követelményeknek. Ezt a piacra bízza.

Ez kétféleképpen történhet. Először is, amikor a vállalkozás különösen pusztító adatszivárgást szenved el, a részvényesek és a befektetők a részvényárfolyam csökkentésével büntethetik a társaságot, ha a piaci erők úgy ítélik meg, hogy a hitelesítő adatok nem voltak elegendőek. Másodszor, egy vállalat felülvizsgálhatja eredetileg jóváhagyott bizonyítványait, ha az adott szegmens többi vállalata lenyűgözőbb minősítéssel rendelkező szakértőket állít elő.

„A SEC valószínűleg abban reménykedik, hogy az új közzétételi követelmények egészséges versenyt teremtenek majd a kiberbiztonság körül. A szervezetek megvizsgálják, mit tettek közzé társaik, és megpróbálnak jobbat, vagy legalábbis lényegesen rosszabbat tenni” – mondja Brian Levine, az EY (korábban Ernst & Young) ügyvezető igazgatója.

Arra a kérdésre, hogy szerinte az új szabály miatt az új tagokat kereső testületek előtérbe helyezik-e a kiberbiztonsági tapasztalatokat, Levine szkeptikus, de megengedi, hogy „legalább döntetlent jelenthet”.

A tapasztalat kulcsfontosságú

A SEC által megosztott kategóriák megvitatásakor a legtöbb biztonsági szakember nagy hangsúlyt fektet a tapasztalatra, és keveseket nyűgözött le akár a legtöbb tanúsítvány, akár az egyetemi képzés. Ennek ellenére a legnépszerűbb oklevelek – köztük a Certified Information System Security Professional (CISSP), a Certified Information Systems Auditor (CISA), a CompTIA Security+, a Certified Ethical Hacker (CEH) és a Certified Information Security Manager (CISM) – és a számítástechnikai diplomák általában hasznosnak tekinthető a vezetői szerephez, ha túl specifikus az igazgatósági szerephez.

Andy Ellis, az YL Ventures operatív partnere aggódik amiatt, hogy egyes vállalatok túlságosan nagymértékben támaszkodnak majd könnyen számszerűsíthető mérőszámokra – például bizonyítványokra és diplomákra –, mert így könnyebb lesz megtalálni a tehetségeket, feltéve, hogy a vállalat ezt a vezetőséget keresi. szakértő külsőleg.

„A toborzók végezhetnek Google-keresést a mutatók alapján, és megtalálhatják a tökéletes jelöltet, aki minden jelölőnégyzetet bejelöl, még akkor is, ha minőségileg nem jó jelölt” – mondja Ellis.

Ellis szerint az igazgatótanácsi szerepkör esetében sokkal kevésbé fontos a válaszok ismerete, mint inkább a megfelelő kérdések ismeretében kérdezni. Ha a CISO közli a testülettel, hogy megfelelően hajtották végre az MFA-t, akkor az igazgatósági tag eleget tud-e az MFA-ról és a hitelesítésről ahhoz, hogy megkérdezze: „Hány tényezőt használunk, és melyeket? A legszigorúbb pontos módszereket alkalmazzuk, vagy a legalacsonyabb költségű és legkevésbé hatékony módszereket? És ha megérkezik a válasz, vajon az igazgatósági tag tudni fogja, hogy a válaszok érvényesek?

Brian Walker, a The CAP Group biztonsági tanácsadó cég vezérigazgatója szintén szkeptikus azzal kapcsolatban, hogy a minősítések hasznosak a Fortune 500-as szinten. A kiberbiztonsági szakértő – akár a vezetőségben, akár az igazgatóságban – nagy értéke abban rejlik, hogy kritikus helyszíni biztonsági döntéseket hoz, például, hogy valami valóban jelentendő jogsértés-e. Walker azt mondja: „Mikor számít egy incidensnek? Egyszerűen annak meghatározása, hogy lényeges-e vagy sem, nem egy gyors tevékenység. Mikor nyilatkozik?"

Toborozni, kiképezni vagy…?

Az igazgatótanácsi pozícióhoz a vállalkozásoknak két út áll rendelkezésére: valódi kiberszakértőket toborozni, hogy csatlakozzanak az igazgatósághoz, vagy a meglévő igazgatósági tagokat kiberszakértőkké alakítják.

Az első lehetőség nehéz. A Fortune 500-as cégeknek szinte mindig három hely valamelyikéről vannak igazgatósági tagjai: más vállalatok vezérigazgatói és korábbi vezérigazgatói; mindenféle befektető; és a belső igazgatósági tagok, jellemzően a vezérigazgató és a pénzügyi igazgató vagy a COO. Nehéz igazi kiberbiztonsági szakértőket találni ezekben a csoportokban.

„Ha az igazgatótanácsnak csak szakértelmét kell bemutatnia, és a SEC nyitva hagyja az ajtót az iparági minősítés révén szakértelmet tanúsító igazgatók előtt, akkor ebből az következne, hogy az ülő igazgatók a tanúsítási táborokban vagy a vezetői kiberiskolákban végeznek” – mondja Igor Volovich. a Qmulos megfelelőségi stratégiáért felelős alelnöke. „Miután az ilyen erőfeszítéseket első kézből figyeltem meg, tanúsíthatom, hogy az ilyen erőfeszítések hasznossága igen korlátozott.”

A A SEC megpróbálja megoldani a komoly figyelem hiánya jellemzően a nagyvállalatoknál kap a kiberbiztonságot. Az igazgatótanács tagjai általában támogató dolgokat mondanak a meglétről alacsony kockázattűrés és a biztonsági védelem fontossága.

De amikor a tábla teszi költségvetési döntéseket és fontolgatja, hogy sokkal nagyobb felhatalmazást adjon a CISO-nak, túlnyomórészt hajlamosak nem támogatni a kiberbiztonságot tetteikkel.

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Autóipar / elektromos járművek, Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• BlockOffsets. A környezetvédelmi ellentételezési tulajdon korszerűsítése. Hozzáférés itt.
• Forrás: https://www.darkreading.com/edge-articles/companies-must-have-corporate-cybersecurity-experts-sec-says