Kérdés: Hogyan tudnak lépést tartani a CISO-k a változó kiberbiztonsági előírásokkal?
Ilona Cohen, a HackerOne jogi és politikai igazgatója: Soha nem könnyű információbiztonsági vezetőnek (CISO) lenni, de az elmúlt néhány hónap különösen nagy kihívást jelentett. A munka szokásos stressztényezőihez – mint például a ransomware támadások számának folyamatos növekedése és a bennfentes fenyegetések terjedése – most hozzáadhatjuk a fokozott szabályozási ellenőrzést.
Az elmúlt díjakat az Egyesült Államok Biztonsági és Tőzsdefelügyeletétől (SEC) a SolarWinds CISO ellen az első alkalom, hogy a CISO-t ilyen módon emeli ki az ügynökség. Ez nagyobbra utal növekvő elszámoltathatóság tendenciája szervezetbiztonsági programok irányításával megbízott személyek számára.
Ezen túlmenően az amerikai tőzsdén kereskedett cégeknek meg kell felelniük a SEC új kiberbiztonsági nyilatkozatának, ill. Az incidens jelentési szabályok most kezdődnek, és a minősített kisebb cégeknek 2024 tavaszán meg kell felelniük az incidensek jelentésére vonatkozó szabályoknak. Ezek a változtatások még nagyobb ellenőrzés alá helyezik a szervezeti biztonsági programokat, és megnövelik a CISO-k által követendő felelősségi köröket.
Nem meglepő, hogy sok CISO nagyobb nyomást érez, mint valaha.
Ezek új szabályok és kötelezettségek nem feltétlenül akadályozzák a CISO munkáját – sőt, valójában támogatási forrást jelenthetnek a CISO-k számára. A kiberbiztonsági közzétételekre és incidensekre vonatkozó SEC-szabályokat a történelem során kissé nehéz volt felismerni. A biztonsági kockázatkezelési programok, az irányítás és a kiberincidensek közzétételére vonatkozó követelmények tisztázásával a SEC útmutatót ad a CISO-knak.
Ezen túlmenően, a SEC megnövekedett elvárásai a kockázatkezeléssel és az irányítással szemben a CISO-knak nagyobb tekintélyt biztosítanak belső erőforrásokat és folyamatokat követelni az elvárásoknak való megfelelés érdekében. A tőzsdén jegyzett társaságokra vonatkozó, kockázatkezelési gyakorlatok befektetők számára történő közzétételére vonatkozó új követelmények további ösztönzőket teremtenek a proaktív kiberbiztonsági védelem megerősítésére. A SEC új szabályai már hatályba lépésük előtt is felkeltették a kiberbiztonsági gyakorlatok tudatosságát a vállalati igazgatóságok és a nem CISO vállalatvezetés körében, ami valószínűleg kiterjedtebb kiberbiztonsági forrásokat fog eredményezni.
A sérülékenységek folyamatos azonosítását és csökkentését magában foglaló robusztus biztonsági programokkal rendelkező állami vállalatok kockázatkezelési, biztonsági érettségi és vállalatirányítási szempontból vonzóbbak lehetnek a befektetők számára. Ugyanakkor azok a vállalatok, amelyek proaktív álláspontot képviselnek a biztonsági kockázatok csökkentése érdekében – például a legjobb kiberbiztonsági gyakorlatok megvalósítása és megfelelő erőforrások biztosítása, mint amilyenek az ISO 27001, 29147 és 30111 szabványokban szerepelnek – kisebb valószínűséggel szenvednek el olyan anyagi kibertámadásokat, amelyek károsítják a vállalat márkáját. .
Ez az új szabályozási környezet lehetőséget kínál a CISO-k számára, hogy számba vegyék belső jelentéstételi eljárásaikat, és megbizonyosodjanak arról, hogy azok megfelelnek a színvonalnak. Ha a tőzsdén jegyzett társaságok még nem rendelkeznek olyan eljárásokkal, amelyekkel a jelentős biztonsági kérdéseket a vezetőség felé terelnék, ezeket a folyamatokat azonnal meg kell teremteni. A CISO-knak segíteniük kell a vállalati kockázatkezelési folyamatokról szóló közzétételek elkészítésében, valamint biztosítaniuk kell a a cég biztonsággal kapcsolatos nyilvános nyilatkozatai pontosak, alaposak és nem félrevezetőek.
Az új SEC-szabály szerint az állami vállalatoknak négy munkanapon belül nyilvánosságra kell hozniuk minden „lényegesnek” ítélt kiberbiztonsági incidenst. Sok incidensre válaszoló azonban kíváncsi, mit jelent „anyagnak” lenni, különösen akkor, amikor a SEC nem volt hajlandó elfogadni a „lényegesség” kiberbiztonsággal kapcsolatos meghatározását a szabályban, és megőrizte a befektetők és állami vállalatok számára ismert szabványt. Egy incidens akkor „lényeges”, ha az incidensről szóló információ olyan, amelyre egy ésszerű részvényes támaszkodott volna, hogy megalapozott befektetési döntéseket hozzon, vagy ha az jelentősen megváltoztatta volna a részvényes rendelkezésére álló információk „teljes összetételét”.
Gyakorlatilag annak meghatározása, hogy mi az anyag és mi nem nem mindig nyilvánvaló. Míg az incidens válaszadója felhasználható az incidens biztonsági vonatkozásainak felmérésére, például arra, hogy hány rekordot érintett, hány jogosulatlan felhasználó férhetett hozzá, vagy milyen típusú információk voltak veszélyben, előfordulhat, hogy kevésbé szokott rá, hogy a szélesebb körben gondolkodjon. következményei a vállalat számára. Ez az oka annak, hogy sok vállalat protokollokat vezet be – például biztonsági szakemberekből, jogászokból és a C-suite tagjaiból álló belső bizottsághoz fordul –, hogy értékelje. nem csak a biztonsági kockázat egy incidens okozta, hanem a vállalatra gyakorolt összességében. Egy interdiszciplináris csapat nagyobb valószínűséggel képes felmérni, hogy az incidens felelősségre vonja-e a vállalatot, befolyásolja-e a vállalat pénzügyi helyzetét, megzavarja-e a cég és ügyfelei közötti kapcsolatot, vagy a jogosulatlan hozzáférés vagy a szolgáltatás megszakadása miatt befolyásolja-e a vállalat működését. amelyek a lényegesség megállapítása szempontjából relevánsak.
A szokásos működési eljárások néhány lelkiismeretes kiigazításával a CISO-k hatékonyan alkalmazkodhatnak ehhez az új szabályozási környezethez anélkül, hogy drasztikusan megnövelnék a munkaterhelést vagy az amúgy is magas szintű stresszt.
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
- Forrás: https://www.darkreading.com/cybersecurity-operations/what-do-cisos-have-to-do-to-meet-new-sec-regulations-
- :van
- :is
- :nem
- $ UP
- 2024
- 27001
- 7
- a
- Képes
- Rólunk
- hozzáférés
- pontos
- tulajdonképpen
- alkalmazkodni
- hozzá
- mellett
- További
- kiigazítások
- elfogadja
- ellen
- ügynökség
- Minden termék
- már
- Is
- megváltozott
- mindig
- között
- an
- és a
- bármilyen
- megfelelő
- VANNAK
- körül
- AS
- értékeli
- értékelése
- At
- Támadások
- vonzó
- elérhető
- tudatosság
- BE
- óta
- előtt
- BEST
- legjobb gyakorlatok
- között
- márka
- tágabb
- üzleti
- de
- by
- C-lakosztály
- TUD
- okozott
- kihívást
- Változások
- változó
- díj
- fő
- információbiztonsági vezető
- CISO
- Klíma
- Cohen
- bizottság
- Companies
- vállalat
- megfelelnek
- tartalmazott
- folyamatosan
- Társasági
- teremt
- Ügyfelek
- cyber
- cyberattacks
- Kiberbiztonság
- kár
- Nap
- határozatok
- tekinteni
- definíció
- Kereslet
- meghatározás
- megkülönböztet
- nyilvánosságra
- Közzététel
- közzététel
- Zavar
- do
- drasztikusan
- két
- könnyű
- hatás
- hatékonyan
- végrehajtás
- biztosítására
- eszkalálódnak
- különösen
- megalapozott
- Még
- EVER
- példa
- csere
- Feltételek
- végrehajtó
- menedzsment
- kiterjedt
- várakozások
- tény
- ismerős
- érzés
- hiba
- kevés
- pénzügyi
- vezetéknév
- első
- A
- négy
- ból ből
- kormányzás
- nagyobb
- kellett
- Kemény
- Legyen
- fokozott
- segít
- Magas
- akadály
- történelmileg
- Hogyan
- HTTPS
- azonosító
- if
- azonnal
- Hatás
- befolyásolta
- végrehajtási
- következményei
- in
- Ösztönzők
- incidens
- tartalmaz
- Növelje
- <p></p>
- növekvő
- egyének
- információ
- információ biztonság
- tájékoztatták
- Bennfentes
- belső
- bele
- beruházás
- Befektetők
- Hát
- kérdések
- IT
- ITS
- Munka
- jpg
- éppen
- Tart
- tartotta
- táj
- nagyobb
- ügyvédek
- Vezetés
- Jogi
- kevesebb
- szintek
- felelősség
- mint
- Valószínű
- kiszámításának
- készült
- csinál
- vezetés
- kezelése
- sok
- anyag
- érettség
- Lehet..
- eszközök
- Találkozik
- Partnerek
- félrevezető
- enyhítő
- keverje
- hónap
- több
- kell
- szükségszerűen
- Szükség
- soha
- Új
- nem
- Most
- Nyilvánvaló
- of
- Tiszt
- on
- folyamatban lévő
- üzemeltetési
- Művelet
- Alkalom
- or
- szervezeti
- ki
- átfogó
- különösen
- múlt
- perspektívák
- Hely
- Plató
- Platón adatintelligencia
- PlatoData
- politika
- pozíció
- gyakorlat
- Készít
- nyomás
- proaktív
- eljárások
- Folyamatok
- tehetséges alkalmazottal
- Programok
- protokollok
- amely
- nyilvános
- állami társaságok
- nyilvánosan
- tesz
- elhelyezés
- képesítő
- ransomware
- Ransomware támadások
- RE
- ésszerű
- új
- nyilvántartások
- csökkentő
- Ajánlói
- előírások
- szabályozók
- szabályozási táj
- kapcsolat
- Jelentő
- jelentése
- követelmények
- Tudástár
- felelősség
- Kockázat
- kockázatkezelés
- erős
- Szabály
- szabályok
- s
- azonos
- ellenőrzéssel
- SEC
- biztonság
- biztonsági kockázatkezelés
- szolgáltatás
- részvényes
- kellene
- jelentős
- jelentősen
- kisebb
- SolarWinds
- néhány
- valami
- némileg
- forrás
- beszélő
- tavasz
- állás
- standard
- Kezdve
- nyilatkozatok
- készlet
- Meg kell erősíteni
- feszültség
- ilyen
- javasolja,
- támogatás
- biztos
- meglepetés
- Vesz
- csapat
- mint
- hogy
- A
- azok
- Ezek
- ők
- Gondolkodás
- ezt
- azok
- fenyegetések
- idő
- nak nek
- Végösszeg
- vágány
- forgalmazott
- fordít
- típus
- jogtalan
- alatt
- us
- használt
- Felhasználók
- szokásos
- sérülékenységek
- volt
- Út..
- we
- ment
- voltak
- Mit
- Mi
- amikor
- vajon
- ami
- míg
- miért
- lesz
- val vel
- belül
- nélkül
- csodálkozó
- Munka
- lenne
- zephyrnet