Mit kell tennie a CISO-nak, hogy megfeleljen az új SEC-szabályoknak?

Mit kell tennie a CISO-nak, hogy megfeleljen az új SEC-szabályoknak?

Időbélyeg: 18. december 2023. 6:06
What Do CISOs Have to Do to Meet New SEC Regulations? PlatoBlockchain Data Intelligence. Vertical Search. Ai.

Kérdés: Hogyan tudnak lépést tartani a CISO-k a változó kiberbiztonsági előírásokkal?

Ilona Cohen, a HackerOne jogi és politikai igazgatója: Soha nem könnyű információbiztonsági vezetőnek (CISO) lenni, de az elmúlt néhány hónap különösen nagy kihívást jelentett. A munka szokásos stressztényezőihez – mint például a ransomware támadások számának folyamatos növekedése és a bennfentes fenyegetések terjedése – most hozzáadhatjuk a fokozott szabályozási ellenőrzést.

Az elmúlt díjakat az Egyesült Államok Biztonsági és Tőzsdefelügyeletétől (SEC) a SolarWinds CISO ellen az első alkalom, hogy a CISO-t ilyen módon emeli ki az ügynökség. Ez nagyobbra utal növekvő elszámoltathatóság tendenciája szervezetbiztonsági programok irányításával megbízott személyek számára.

Ezen túlmenően az amerikai tőzsdén kereskedett cégeknek meg kell felelniük a SEC új kiberbiztonsági nyilatkozatának, ill. Az incidens jelentési szabályok most kezdődnek, és a minősített kisebb cégeknek 2024 tavaszán meg kell felelniük az incidensek jelentésére vonatkozó szabályoknak. Ezek a változtatások még nagyobb ellenőrzés alá helyezik a szervezeti biztonsági programokat, és megnövelik a CISO-k által követendő felelősségi köröket.

Nem meglepő, hogy sok CISO nagyobb nyomást érez, mint valaha.

Ezek új szabályok és kötelezettségek nem feltétlenül akadályozzák a CISO munkáját – sőt, valójában támogatási forrást jelenthetnek a CISO-k számára. A kiberbiztonsági közzétételekre és incidensekre vonatkozó SEC-szabályokat a történelem során kissé nehéz volt felismerni. A biztonsági kockázatkezelési programok, az irányítás és a kiberincidensek közzétételére vonatkozó követelmények tisztázásával a SEC útmutatót ad a CISO-knak.

Ezen túlmenően, a SEC megnövekedett elvárásai a kockázatkezeléssel és az irányítással szemben a CISO-knak nagyobb tekintélyt biztosítanak belső erőforrásokat és folyamatokat követelni az elvárásoknak való megfelelés érdekében. A tőzsdén jegyzett társaságokra vonatkozó, kockázatkezelési gyakorlatok befektetők számára történő közzétételére vonatkozó új követelmények további ösztönzőket teremtenek a proaktív kiberbiztonsági védelem megerősítésére. A SEC új szabályai már hatályba lépésük előtt is felkeltették a kiberbiztonsági gyakorlatok tudatosságát a vállalati igazgatóságok és a nem CISO vállalatvezetés körében, ami valószínűleg kiterjedtebb kiberbiztonsági forrásokat fog eredményezni.

A sérülékenységek folyamatos azonosítását és csökkentését magában foglaló robusztus biztonsági programokkal rendelkező állami vállalatok kockázatkezelési, biztonsági érettségi és vállalatirányítási szempontból vonzóbbak lehetnek a befektetők számára. Ugyanakkor azok a vállalatok, amelyek proaktív álláspontot képviselnek a biztonsági kockázatok csökkentése érdekében – például a legjobb kiberbiztonsági gyakorlatok megvalósítása és megfelelő erőforrások biztosítása, mint amilyenek az ISO 27001, 29147 és 30111 szabványokban szerepelnek – kisebb valószínűséggel szenvednek el olyan anyagi kibertámadásokat, amelyek károsítják a vállalat márkáját. .

Ez az új szabályozási környezet lehetőséget kínál a CISO-k számára, hogy számba vegyék belső jelentéstételi eljárásaikat, és megbizonyosodjanak arról, hogy azok megfelelnek a színvonalnak. Ha a tőzsdén jegyzett társaságok még nem rendelkeznek olyan eljárásokkal, amelyekkel a jelentős biztonsági kérdéseket a vezetőség felé terelnék, ezeket a folyamatokat azonnal meg kell teremteni. A CISO-knak segíteniük kell a vállalati kockázatkezelési folyamatokról szóló közzétételek elkészítésében, valamint biztosítaniuk kell a a cég biztonsággal kapcsolatos nyilvános nyilatkozatai pontosak, alaposak és nem félrevezetőek.

Az új SEC-szabály szerint az állami vállalatoknak négy munkanapon belül nyilvánosságra kell hozniuk minden „lényegesnek” ítélt kiberbiztonsági incidenst. Sok incidensre válaszoló azonban kíváncsi, mit jelent „anyagnak” lenni, különösen akkor, amikor a SEC nem volt hajlandó elfogadni a „lényegesség” kiberbiztonsággal kapcsolatos meghatározását a szabályban, és megőrizte a befektetők és állami vállalatok számára ismert szabványt. Egy incidens akkor „lényeges”, ha az incidensről szóló információ olyan, amelyre egy ésszerű részvényes támaszkodott volna, hogy megalapozott befektetési döntéseket hozzon, vagy ha az jelentősen megváltoztatta volna a részvényes rendelkezésére álló információk „teljes összetételét”.

Gyakorlatilag annak meghatározása, hogy mi az anyag és mi nem nem mindig nyilvánvaló. Míg az incidens válaszadója felhasználható az incidens biztonsági vonatkozásainak felmérésére, például arra, hogy hány rekordot érintett, hány jogosulatlan felhasználó férhetett hozzá, vagy milyen típusú információk voltak veszélyben, előfordulhat, hogy kevésbé szokott rá, hogy a szélesebb körben gondolkodjon. következményei a vállalat számára. Ez az oka annak, hogy sok vállalat protokollokat vezet be – például biztonsági szakemberekből, jogászokból és a C-suite tagjaiból álló belső bizottsághoz fordul –, hogy értékelje. nem csak a biztonsági kockázat egy incidens okozta, hanem a vállalatra gyakorolt ​​összességében. Egy interdiszciplináris csapat nagyobb valószínűséggel képes felmérni, hogy az incidens felelősségre vonja-e a vállalatot, befolyásolja-e a vállalat pénzügyi helyzetét, megzavarja-e a cég és ügyfelei közötti kapcsolatot, vagy a jogosulatlan hozzáférés vagy a szolgáltatás megszakadása miatt befolyásolja-e a vállalat működését. amelyek a lényegesség megállapítása szempontjából relevánsak.

A szokásos működési eljárások néhány lelkiismeretes kiigazításával a CISO-k hatékonyan alkalmazkodhatnak ehhez az új szabályozási környezethez anélkül, hogy drasztikusan megnövelnék a munkaterhelést vagy az amúgy is magas szintű stresszt.

Időbélyeg:

Még több Sötét olvasmány